アプリケーション脆弱性一致アイテム (AVI) のステータス

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • アプリケーション脆弱性対応 は、任意の時点でのアプリケーション脆弱性一致アイテム (AVI) の状態を示すステータスモデルを提供します。各ステータスが互いにどのように関連し、影響を与えているかを知ることで、AVI をいつどのように修復すればよいかを判断できます。

    アプリケーション脆弱性一致アイテムのステータス

    ステータスがどのように機能するかを理解すると、アプリケーション脆弱性一致アイテム (AVI) ルールの作成または編集に役立ちます。AVI には、サードパーティ統合からインポートされた修復ステータスからマッピングされるいくつかの想定されるステータスがあります。AVI では、[ステータス] フィールドは読み取り専用です。

    表 : 1. アプリケーション脆弱性対応ステータスフロー図
    ステータス 説明
    オープン 作成時のステータス。このステータスから、次のことができます。
    V16:詳細を取得
    Fortify からインポートされた AVI に関する次の情報を取得します。
    • 脆弱性のサマリー
    • 脆弱性の説明
    • 推奨事項
    • 参照
    • 要求
    • 応答
    V16:誤検出としてマーク
    スキャナーがシステムに脆弱性が存在することを報告したが、実際には脆弱性が存在しない場合、アイテムを誤検出としてマークします。
    V16:例外を要求
    例外、再オープン (まで) の日付、理由を要求し、オプションで追加情報を入力します。例外が要求された日付までアイテムの修復を保留します。
    V15:クローズ
    [クローズ済み] ステータス ([脆弱性一致アイテム] ダイアログボックスからの理由) を選択し、追加情報を入力します。AVI を閉じます。
    V15:解決
    オープン AVI を解決済みとしてマークし、解決済みステータスに移行します。[アプリケーション脆弱性一致アイテムを解決] ダイアログボックスに解決メモを追加する必要があります。
    保留 [V15]:これは [例外の要求 (Request Exception)] オプションによってトリガーされます。承認ワークフローの一部として、保留ステータスは [レビュー中 (In Review)] であり、承認されるまでクローズできません。

    このステータスから、次のことができます。

    V16:詳細を取得
    Fortify からインポートされた AVI に関する次の情報を取得します。
    • 脆弱性のサマリー
    • 脆弱性の説明
    • 推奨事項
    • 参照
    • 要求
    • 応答
    再オープン
    クローズ済みまたは解決済みの AVI を [オープン] ステータスに戻します。
    クローズ
    [クローズ済み] ステータス (理由) を選択し、追加情報を入力します。AVI を閉じます。
    調査中 [ステータス] リストからこのオプションを選択します。このステータスから、次のことができます。
    V20.0
    修復タスクまたは AVI レコードを手動で [ 実装待ち] に移行させます。
    V16:詳細を取得
    Fortify からインポートされた AVI に関する次の情報を取得します。
    • 脆弱性のサマリー
    • 脆弱性の説明
    • 推奨事項
    • 参照
    • 要求
    • 応答
    V16:誤検出としてマーク
    スキャナーがシステムに脆弱性が存在することを報告したが、実際には脆弱性が存在しない場合、アイテムを誤検出としてマークします。
    V16:例外を要求
    例外、再オープン (まで) の日付、理由を要求し、オプションで追加情報を入力します。例外が要求された日付までアイテムの修復を保留します。
    V15:クローズ
    [クローズ済み] ステータス ([脆弱性一致アイテム] ダイアログボックスからの理由) を選択し、追加情報を入力します。AVI を閉じます。
    V15:解決
    オープン AVI を解決済みとしてマークし、解決済みステータスに移行します。[アプリケーション脆弱性一致アイテムを解決] ダイアログボックスに解決メモを追加する必要があります。
    実装待ち

    レコードを手動でこのステータスに移行するには、AVI から [実装待ち] を選択し、[調査中] ステータスの修復タスクレコードを選択します。このステータスから、次のことができます。

    オープン
    AVI を [オープン] ステータスに戻します。
    調査中
    解決に関する詳細情報を取得します。[調査中] に移行します。
    解決
    オープン AVI を解決済みとしてマークし、解決済みステータスに移行します。[アプリケーション脆弱性一致アイテムを解決] ダイアログボックスに解決メモを追加する必要があります。
    クローズ
    [クローズ済み] ステータス ([脆弱性一致アイテム] ダイアログボックスからの理由) を選択し、追加情報を入力します。AVI を閉じます。

    このステータスでは、タスクの調査と作業が完了し、修正を実装する準備ができていてもまだ利用できない場合に、レコードを [実装待ち] に移行します。

    [修復コミットメント日] フィールドと [修復計画] フィールドを設定します。

    実装後、レコードを解決するかクローズします。
    解決済み [解決 (Resolve)] ボタンからトリガーされます。このステータスから、次のことができます。
    V16:詳細を取得
    Fortify からインポートされた AVI に関する次の情報を取得します。
    • 脆弱性のサマリー
    • 脆弱性の説明
    • 推奨事項
    • 参照
    • 要求
    • 応答
    再オープン
    [オープン] ステータスに戻します。
    クローズ
    [クローズ済み] ステータス (理由) を選択し、追加情報を入力します。グループをクローズします。

    メモおよび解決情報が [メモ] タブに表示されます。
    クローズ済み [クローズ (Close)] ボタンからトリガーされます。このステータスから、次のことができます。

    再オープン:[オープン] ステータスに戻します。
    統合ごとのステータスマッピングは次のとおりです。
    図 : 1. Veracode のステータスマッピング
    注:
    このステータスマッピングは、ServiceNow でトリアージするオプションが選択されていない場合にのみ適用されます。
    Veracode のステータスマッピング
    図 : 2. Fortify のステータスマッピング
    注:
    このステータスマッピングは、ServiceNow でトリアージするオプションが選択されていない場合にのみ適用されます。
    Fortify のオンデマンドでのステータスマッピング