Penetrationstest-Bewertungsanforderung aus vorhandenen Anforderungen erstellen (v19.0)

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Ab v19.0 erstellen Sie Penetrationstest-Bewertungsanforderungen direkt aus der Liste der vorhandenen Anforderungen. Sie können auch vorhandene Anforderungen im Status „Geschlossen“ in diese Liste kopieren, um Anforderungen zu erstellen.

    Vorbereitungen

    Erforderliche Rolle: App-Sec-Manager

    Warum und wann dieser Vorgang ausgeführt wird

    Ab Version 19.0 von Vulnerability ResponseVeracode Vulnerability Integrationsind die Penetrationsbewertungstests in Veracode Vulnerability Integration bei Verwendung von [] manuelle Ergebnisse von Veracode. Sie sind nicht mit Penetrationstest-Bewertungsanforderungen verknüpft, die Sie in Application Vulnerability Responsekonfigurieren. Weitere Informationen zu Penetrationstest-Bewertungen von Veracodefinden Sie unter Veracode Vulnerability Integration.

    Prozedur

    1. Navigieren zu Alle > Anforderungen für Penetrationstestbewertung > Alle.
    2. Wahlweise: Alternativ können Sie eine Anforderung erstellen, indem Sie geschlossene Anforderungen replizieren.
      Alle Werte aus der ursprünglichen Anforderung werden im neuen Formular beibehalten. Aktive angreifbare Elemente in Anwendungen (AVIs) werden automatisch in die neue Anforderung kopiert. Wählen Sie Anforderung kopieren und erstellen aus Datensätzen im Status Geschlossen aus.
    3. Wählen Sie Neu, und füllen Sie die Felder aus.
      Tabelle : 1. Formular „Anforderung für Penetrationstestbewertung“
      Feld Beschreibung
      Nummer Eindeutiger Bezeichner, der für die Penetrationstest-Bewertungsanforderung generiert wird.
      Status Wählen Sie einen Wert basierend auf dem Status der Anforderung aus.
      Angefordert von Person, die die Bewertung der Anwendung anfordert.
      Zuweisungsgruppe Gruppe, die ausgewählt wurde, um an den Ergebnissen des Penetrationstests zu arbeiten. Kann manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.

      Informationen zum Konfigurieren von Gruppen finden Sie unter Konfigurieren Sie Penetrationstests.
      Anwendung Wählen Sie mithilfe der Suchoption eine Anwendung aus.
      Zugewiesen an Einzelperson aus der ausgewählten Zuweisungsgruppe, die an den Ergebnissen des Penetrationstests arbeitet. Kann manuell von einem App-Sec-Manager hinzugefügt oder bearbeitet werden.
      Anwendungstyp Wählen Sie eine Option aus:
      • Webservice (bekannt als API vor v16.1)
      • Web-Anwendung
      • Thick Client
      • Mobile (Wenn Sie Mobileauswählen, wird die Registerkarte Mobile am unteren Rand des Formulars mit zusätzlichen Feldern angezeigt.)
      Sprint Zeigt die Sprints mit verfügbarer Bandbreite an, um die Bewertungsanforderung basierend auf dem ausgewählten Feld „Bewertungstyp“ zu erfüllen.

      Weitere Informationen zum Ändern der Sprint-Kapazität und des Testumfangs finden Sie unter Konfigurieren Sie Sprints für Penetrationstests und Konfigurieren Sie Bewertungstypen für Penetrationstests.
      v19.0: Anwendungsgröße Wählen Sie die Größe der Anwendung aus, die Sie testen möchten.
      • Klein
      • Mittel
      • Groß
      • Standard (Wählen Sie diese Option aus, wenn Sie sich bezüglich der Größe nicht sicher sind.)

      Weitere Konfigurieren Sie Penetrationstests Weitere Informationen zum Ändern der Sprint-Kapazität und zum Testen des Umfangs mit Anwendungsgröße und Sprint-Kapazität.
      Erstellt Datum und Uhrzeit der Erstellung der Anforderung.
      Bewertungstyp Wählen Sie den Typ der Bewertung aus:
      • Vollständiger Penetrationstest
      • Fokussierter Test
      • Erneut testen
      Weitere Informationen zu Testkombinationen und Testumfang finden Sie unter Konfigurieren Sie Bewertungstypen für Penetrationstests.
      Aktualisiert Datum und Uhrzeit der letzten Aktualisierung der Anforderung.
      Demo-Datum Datum, an dem diese Anwendung demonstriert werden kann.
      Produktbereitstellung geplant am Geplantes Datum für die Bereitstellung dieser Anwendung in der Produktion.
      Anwendungsversion/-release für die Bereitstellung geplant Version der Anwendung, die für die Bereitstellung in der Produktion geplant ist.
      v19.0: Registerkarte „Anwendung im Besitz eines Drittanbieters oder Joint-Venture-Unternehmens“.

      Wenn Sie Ja für dieses Feld auswählen, wird die Registerkarte Lieferanten-/Joint-Venture-Informationen angezeigt. Füllen Sie die zusätzlichen Felder aus.
      Gibt es eine Klausel, die es uns ermöglicht, Pen-Tests durchzuführen? Der Begriff „Klausel“ kann sich auf Teststandards beziehen, die alle Vereinbarungen enthalten, die zwischen zwei oder mehr Parteien bestehen, die Sie hinzufügen möchten. Wenn Sie Jaauswählen, fügen Sie die Klausel hinzu.
      Die Klausel, die die Berechtigung zum Durchführen von Pen-Tests angibt
      Vollständiger offizieller Name und Adresse des Lieferanten
      Angriffserkennungssystem
      Technischer Kontakt des Lieferanten
      Wurden die protokollierten Informationen auf böswillige Aktivitäten überprüft?
      Wird die Anwendung von einem anderen Drittanbieter gehostet?
      Kontakt des Lieferanten, der den Pen-Test abzeichnet
      Registerkarte „Anwendungsdetails“.
      Zweck der Anwendung Beschreibung der Funktionalität der Anwendung.
      Details des Technologiestapels Vollständiger Technologiestapel von Front-End bis Back-End, Datenbanken und anderen Schlüsseltechnologien.
      Ist Drittanbieteranwendung? Bestätigt, ob diese Anwendung einem Drittanbieter gehört.
      Listet die Arten sensibler Daten auf, auf die über die Anwendung zugegriffen werden kann. Arten vertraulicher Daten, auf die über die Anwendung zugegriffen werden kann. Zum Beispiel PII-Daten, PHI-Daten und Finanzdaten wie Kreditkartennummern.
      Authentifizierungstyp Gibt an, ob diese Anwendung die LDAP-Authentifizierung, ihre eigene native Authentifizierung oder andere Formen der Authentifizierung verwendet.
      Fällt die Anwendung unter ein Compliance-Programm? Gibt an, ob sich diese Anwendung auf Compliance-Programme wie PCI auswirkt.
      Kontakte im Anwendungsteam Mitglieder des Anwendungsteams, die vom Team für ethisches Hacken bei Fragen kontaktiert werden sollen.
      Liste der Compliance-Programme
      Zugehörige Schnittstellen oder Anwendungen von Drittparteien
      IP-Adresse
      Ungefähre Anzahl der Benutzer in der Produktion?
      Automatisiertes Skript vorhanden?
      Ist die Produktionsversion dieser App nach außen gerichtet?
      v 19.0: Geschäftsauswirkung
      Finanzieller Schaden Wählen Sie einen aus der Liste aus.
      Nichteinhaltung Wählen Sie einen aus der Liste aus.
      Reputationsschaden Wählen Sie einen aus der Liste aus.
      Datenschutzverletzung Wählen Sie einen aus der Liste aus.
      Registerkarte „Testdetails“.
      Zu testende URLs URLs, die in Penetrationstests enthalten sein müssen.
      Auszuschließende URLs URLs, die von Penetrationstests ausgeschlossen werden müssen.
      Wurde diese Anwendung zuvor getestet? Gibt an, ob diese Anwendung bereits Penetrationstests unterzogen wurde.
      Grund für erneuten Test Grund für die Anforderung einer Neubewertung des Penetrationstests, wenn die Anwendung zuvor getestet wurde.
      Wann wurde die Anwendung getestet? Zeitrahmen, in dem die Anwendung Penetrationstests unterzogen wurde.
      Details des Test-Accounts Details des Test-Accounts, der vom Team für ethisches Hacken für Penetrationstests verwendet werden kann.
      Anwendungsrollen Rollen, die von der Anwendung für ihre Benutzer unterstützt werden.
      Meistverwendete Rollen Am häufigsten verwendete Rollen in der Anwendung.
      Registerkarte „Zusätzliche Kommentare“.
      Arbeitsnotizen
    4. Wählen Sie Speichern, um Ihre Änderungen zu speichern, oder Absenden, um die Anforderung zu initiieren.