Criar uma solicitação de avaliação de teste de invasão a partir de solicitações existentes (v19.0)

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • A partir da v19.0, você cria solicitações de avaliação de teste de invasão diretamente da lista de solicitações existentes. Você também pode copiar solicitações existentes no estado Encerrado nesta lista para criar solicitações.

    Antes de Iniciar

    Função necessária: Gerenciador de apps-sec

    Por Que e Quando Desempenhar Esta Tarefa

    A partir da v19.0 de Resposta a vulnerabilidades se você estiver usando Integração de Resposta a vulnerabilidades com Veracode, os testes de avaliação de invasão no Integração de Resposta a vulnerabilidades com Veracode são descobertas manuais de Veracode. Eles não estão vinculados a nenhuma solicitação de avaliação de teste de invasão que você configura em Resposta a vulnerabilidades de aplicações. Para obter mais informações sobre avaliações de teste de invasão de Veracode, consulte Integração de Resposta a vulnerabilidades com Veracode.

    Procedimento

    1. Navegar até Tudo > Solicitações de avaliação de teste de invasão > Tudo.
    2. Opcional: Como alternativa, você pode criar uma solicitação replicando solicitações encerradas.
      Todos os valores da solicitação original são preservados no novo formulário. Itens vulneráveis à aplicação (Avis) ativos são copiados automaticamente para a nova solicitação. Selecione Copiar e criar solicitação De registros no estado Encerrado.
    3. Selecione Novo e preencha os campos.
      Tabela 1. Formulário de solicitação de avaliação de teste de invasão
      Campo Descrição
      Número Identificador exclusivo gerado para a solicitação de avaliação de teste de invasão.
      Estado Selecione um valor com base no status da solicitação.
      Solicitação de Pessoa que solicita a avaliação da aplicação.
      Grupo de atribuição Grupo selecionado para trabalhar nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente da App-Sec.

      Para configurar grupos, consulte Configurar testes de invasão.
      Aplicação Selecione uma aplicação usando a opção de pesquisa.
      Atribuição a Indivíduo do grupo de atribuição selecionado que trabalha nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente da App-Sec.
      Tipo de aplicação Selecione uma opção de:
      • Serviço web (conhecido como API anterior à v16.1)
      • Aplicação Web
      • Cliente espesso
      • Mobile (se você selecionar Mobile , A guia Mobile é exibida na parte inferior do formulário com campos adicionais)
      Sprint Exibe os sprints com largura de banda disponível para acomodar a solicitação de avaliação com base no campo Tipo de avaliação selecionado.

      Consulte Configurar sprints para teste de invasão e. Configure tipos de avaliação para testes de invasão para obter mais informações sobre como modificar a capacidade de sprint e o escopo de testes.
      V19.0: Tamanho da aplicação Selecione o tamanho da aplicação que você deseja testar.
      • Pequeno
      • Médio(a)
      • Grande
      • Padrão (selecione esta opção se você não tiver certeza do tamanho)

      Veja mais Configurar testes de invasão mais informações sobre como modificar a capacidade de sprint e o escopo de teste com o tamanho da aplicação e a capacidade de sprint.
      Criação em Data e hora em que a solicitação foi criada.
      Tipo de avaliação Selecione o tipo de avaliação:
      • Teste de invasão completa
      • Teste focado
      • Testar novamente
      Para obter mais detalhes sobre combinações de teste e escopo de teste, consulte Configure tipos de avaliação para testes de invasão.
      Atualização em Data e hora em que a solicitação foi atualizada pela última vez.
      Data da demonstração Data em que esta aplicação pode ser demonstrada.
      Implantação do produto planejada em Data planejada para implantar esta aplicação em produção.
      Versão/liberação da aplicação planejada para implantação Versão da aplicação planejada para implantação de produção.
      V19.0: Aplicação de propriedade de um fornecedor terceirizado ou de uma guia de joint venture

      Se você selecionar Sim para este campo, a guia Informações do fornecedor/Joint Venture será exibida. Preencha os campos adicionais.
      Existe cláusula que nos permite executar testes de caneta? O termo "cláusula" pode se referir a padrões para testes que incluem quaisquer acordos existentes entre duas ou mais partes que você deseja adicionar. Se você selecionar Sim , adicione a cláusula.
      A cláusula que cita a permissão para executar o teste de caneta
      Nome jurídico completo e endereço do fornecedor
      Sistema de detecção de intrusão
      Contato técnico do fornecedor
      As informações registradas foram revisadas de forma de atividade mal-intencionada?
      A aplicação é hospedada por outro fornecedor terceirizado?
      Contato do fornecedor que encerrará o teste de invasão
      Guia Detalhes da aplicação
      Finalidade da aplicação Descrição da funcionalidade da aplicação.
      Detalhes das stacks de tecnologia Pilha de tecnologia completa do front-end ao back-end, bancos de dados e outras tecnologias importantes.
      É uma aplicação de terceiros? Confirma se esta aplicação pertence a um fornecedor de terceiros.
      Tipos de lista de dados confidenciais acessíveis pela aplicação Tipos de dados confidenciais acessíveis na aplicação. Por exemplo, dados PII, dados PHI e dados financeiros, como números de cartão de crédito.
      Tipo de autenticação Especifica se esta aplicação usa autenticação LDAP, sua própria autenticação nativa ou outras formas de autenticação.
      A aplicação está no escopo de algum programa de conformidade? Especifica se esta aplicação afeta algum programa de conformidade, como PCI.
      Contatos da equipe de aplicações Os membros da equipe de aplicações devem ser contatados pela equipe de hacking ético em caso de dúvidas.
      Lista de programas de conformidade
      Interfaces ou aplicações de terceiros relacionados
      Endereço IP
      Número aproximado de usuários em produção?
      Existe um script automatizado?
      A versão de produção deste app é externa?
      v 19,0: Impacto nos negócios
      Dano financeiro Selecione uma opção da lista.
      Não conformidade Selecione uma opção da lista.
      Dano à reputação Selecione uma opção da lista.
      Violação de privacidade Selecione uma opção da lista.
      Guia Detalhes do teste
      URLs para teste URLs que devem ser incluídos no teste de invasão.
      URLs a serem excluídos URLs que devem ser excluídos do teste de invasão.
      Essa aplicação já foi testada? Especifica se esta aplicação já foi testada para invasão.
      Motivo para testar novamente Motivo para solicitar uma reavaliação de teste de invasão se a aplicação tiver sido testada anteriormente.
      Quando a aplicação foi testada? Intervalo de tempo em que a aplicação foi testada para invasão.
      Detalhes da conta de teste Detalhes da conta de teste que pode ser usada pela equipe de hacking ético para testes de invasão.
      Funções da aplicação Funções compatíveis com a aplicação para seus usuários.
      Funções mais usadas Funções mais usadas na aplicação.
      Guia Comentários adicionais
      Anotações de trabalho
    4. Selecione Salvar para salvar suas edições ou Enviar para iniciar a solicitação.