취약성 정정 애플리케이션 취약성 대응
모니터링 정정은 상태 검토로 시작하여 AVIT(애플리케이션 취약한 항목)를 종결하는 프로세스입니다. 애플리케이션 취약성 대응 는 해당 프로세스를 보다 생산적이고 효율적으로 만드는 도구와 절차를 제공합니다.
애플리케이션 취약성 대응 정정 프로세스
애플리케이션 취약한 항목 정정은 수동으로 수행됩니다.
- 애플리케이션 취약성 대응 인스턴스에 로그인합니다.
- 애플리케이션 취약한 항목에 대한 규칙(CI 조회, 할당)이 예상대로 작동하는지 확인합니다. CI 조회 규칙 수정에 대한 자세한 내용은 다음 문서를 참조하십시오 에서 애플리케이션 취약성 대응 애플리케이션 자동 식별. 할당 규칙에 대한 자세한 내용은 다음 문서를 참조하십시오 에서 애플리케이션 취약 항목 애플리케이션 취약성 대응 자동 할당.
- 정정 대상이 올바른지 확인합니다. 정정 대상 규칙의 작동 방식과 수정 방법에 대한 자세한 내용은 을 참조하십시오애플리케이션 취약성 대응에서 정정 대상 추적 자동화. 애플리케이션 취약한 항목의 정정 대상 상태 보기주:정정 대상 규칙은 AVIT에 속합니다. 이러한 규칙은 AVIT를 임포트할 때 실행됩니다.
- 대시보드 또는 보고서를 검토합니다. 예를 들어 상태별 AVIT 에이징을 보여주는 대시보드를 볼 수 있습니다.주:
애플리케이션(com.snc.vulnerability.analytics)이 취약성 대응용 퍼포먼스 분석 활성화되면 특정 역할을 가진 사용자는 App-Sec 관리자 및 보안 챔피언 그룹의 구성원이 관심 있는 데이터를 볼 수 있습니다.
App-Sec 관리자의 경우에는 취약성 대응용 퍼포먼스 분석 우려 영역을 모니터링하는 데 도움이 될 수 있는 개요가 애플리케이션 취약성 대응 포함되어 있습니다. 애플리케이션 취약성 대응 및 애플리케이션 취약성 관리[PA] 대시보드에 대한 분석 및 보고 솔루션을 참조하십시오.
애플리케이션 버전 13.0 취약성 대응 부터: 보안 챔피온 취약성 대응용 퍼포먼스 분석 의 경우 우려 영역을 모니터링하는 데 도움이 될 수 있는 내 애플리케이션 취약성 대시보드가 포함되어 있습니다. 내 애플리케이션 취약성 대시보드를 참조하십시오.
애플리케이션 버전 13.0 취약성 대응 부터: 보고서 또는 관련 목록에 대해 수집되는 데이터의 양을 제한하려면 다음 문서를 참조하십시오 보고 및 관련 목록에 대한 취약성 대응 서비스 분류 정의.
- AVIT의 상태를 우선순위 순서대로 검토하고 변경된 내용을 검색합니다.
- 필요에 따라 AVIT에 대한 위험을 수정합니다. 자세한 내용은 애플리케이션 취약성 계산기 생성 문서를 참조하십시오.
- 필요한 경우 정정을 위해 AVIT를 할당 그룹에 재할당합니다.
- 다시 스캔은 외부 공급업체 임포트 일정에 따라 자동으로 트리거됩니다.
- 재스캔 후 상태가 고정인 경우 임포트 중에 AVIT가 자동으로 닫힙 니다.
- 스캔 후 상태가 고정이 아닌 경우 AVIT가 다시 열립니다.
자세한 내용은 다음을 참조하십시오. Veracode
다음 Veracode 데이터를 보려면 애플리케이션 취약 항목[sn_vul_app_vulnerable_item] 테이블에서 소스로 있는 Veracode 애플리케이션 취약 항목(AVIT)에 대한 상세 정보 가져오기를 선택하거나 취약성 대응 작업 공간의 목록 뷰에서 선택합니다.
- 동적 애플리케이션 보안 테스트(DAST) 스캔에 대한 HTTP 소스 요청 및 소스 응답 상세 정보가 HTTP 요청/응답 관련 목록에 표시됩니다.
- 의 Veracode 솔루션 권장 사항이 결과 관련 목록에 표시됩니다.
- HTTP 소스 요청, 소스 응답 및 권장 사항이 취약성 대응 취약성 대응 작업 공간의 상세 정보 탭에 표시됩니다.
- 설명 열은 애플리케이션 취약한 항목 [sn_vul_app_vulnerable_item] 테이블에서 지원됩니다.