报告

为在应用程序中发现的问题生成报告。将报告发送给开发人员、内部审计员、渗透测试者、经理和 CISO。安全信息可能比较广泛,并可根据您的需要进行过滤。

应用程序和扫描报告

应用程序扫描页面中,您可以生成有关应用程序当前状态的各种报告。

要生成应用程序或扫描执行报告:
  1. 对于应用程序,在应用程序页面上选择管理 > 报告
    对于扫描:
    • 扫描和会话页面上,在列表中所需扫描最右侧选择省略号 (),然后选择下载报告,或者
    • 扫描摘要页面上,选择管理扫描 > 下载报告
    此时会打开报告对话框。
  2. 选择报告类型
    • 安全性报告:在应用程序中发现的所有问题的可配置报告。
    • 行业标准报告:在下一步中从列表中选择一个报告。
    • 合规性报告:在下一步中从列表中选择一个报告。
    • 开源报告(仅 SAST 和 SCA):此报告列出了在您的代码中找到的所有开源库(及其许可证)以及关联的开源风险级别。由于开源库可以有多个许可证,因此如果发现多个许可证,则此报告可能包含单个库的多个列表。
  3. 为报告指定名称(或保留缺省名称),然后选择文件类型(HTMLPDF,某些情况下还有 CSVXML)。
  4. 添加将在报告顶部添加的注释。可选。
  5. 单击下一步继续。

    有关安全性报告行业标准和合规性报告、和扫描导出格式的其他信息,请参阅下文。

安全性报告

可以为以下项生成安全性报告:
  • 整个应用程序
  • 特定扫描(如果该扫描已运行多次,您需要指定使用哪个执行)
  • 过滤后的问题列表
  • 修复组
要生成安全性报告:
  1. 请执行下列其中一项操作:
    • 在“应用程序”页面上,选择管理 > 报告 > 安全性报告
    • 在“扫描”页面上,选择管理扫描 > 下载报告 > 安全性报告
    • 在问题或修复组页面上,请应用过滤器以仅显示您希望包含在报告中的问题,然后单击安全性报告
    AppScan 360° 将打开报告对话框。对话框的标题取决于您启动报告的位置。
  2. 为报告指定名称(或保留缺省名称),然后选择文件类型(HTMLPDF,某些情况下还有 CSV 和 \)。
  3. 添加将在报告顶部添加的注释。可选。
  4. 如有请求,指明报告范围。
    1. 不合规问题:活动问题(状态如下且满足以下条件的问题:“未解决”、“进行中”、“已重新打开”和“新”(已弃用)且也不符合一个或多个策略。)
    2. 所有问题:应用程序中的所有问题,包括所有状态、严重性和合规性;并基于设置页面中的范围。当“设置”页面中的范围为“基于状态”时,“所有问题”将包括每个问题。如果将范围定义为“基于状态和策略”,则它将包括不符合一个或多个策略的所有问题。请注意,活动问题过滤器在此处不适用,因此所有问题都将包括在内。
  5. 选中需要包含在报告中的部分对应的复选框,并取消选中不需要的部分对应的复选框。
  6. 单击生成报告
    系统将生成报告并将其保存到您的计算机中。
    注: 对于过滤后的列表,单击该按钮时,将生成安全性报告。因此,与反映扫描完成时数据的常规安全性报告不同,过滤后的报告将反映发现问题的最新状态。例如,状态从更改为已修订的问题在此报告中显示为已修订
    注: 如果报告非常大,生成 PDF 可能会失败。在这种情况下,将改为生成 HTML 报告。如果发生这种情况而又需要 PDF 格式,请使用过滤器来创建较小的问题块,然后生成两份或更多报告。

行业标准报告和合规性报告

为应用程序选择以下报告:
行业标准 合规性
2021 年 CWE Top 25 最危险的软件漏洞 加拿大信息自由与隐私保护法 (FIPPA)
国际标准 - ISO 27001 欧盟通用数据保护条例 (GDPR)
国际标准 - ISO 27002 网络与信息安全指令 (NIS2)
NIST 特刊 800-53 支付应用程序数据安全标准
2019 年 OWASP 十大 API 安全风险 PCI 合规性
2023 年 OWASP 十大 API 安全风险 美国加州消费者隐私法 (CCPA) - AB-375
OWASP 云原生应用程序安全性前 10 名 美国 DISA 应用程序安全和开发 STIG。V5R2
2017 年 OWASP 十大安全漏洞 美国电子资金和转账法案 (EFTA)
2021 年 OWASP 十大安全漏洞 美国联邦信息安全现代化法案 (FISMA)
2016 年 OWASP 移动端十大安全漏洞 美国联邦风险和授权管理程序 (FedRAMP)
2023 年 CWE Top 25 最危险的软件漏洞 美国健康保险可移植性和责任法案 (HIPAA)
WASC 威胁分类 2.0 美国萨班斯法案 (SOX)

要为结果的子部分生成报告,例如仅严重,或仅在特定日期后发现的问题,您可以在生成报告之前对结果应用过滤器。

将扫描数据导出为 CSVJSONSARIF

您可以从应用程序或扫描的问题列表中将数据导出为 CSVJSONSARIF 文件。
注:
  • 只有管理员能够导出。
  • SARIF 选项仅适用于 SAST 问题,不包括 SCA(开源)问题。它不适用于免费订阅。
要导出数据:
  1. 根据需要过滤问题列表,直到仅显示要导出的问题为止。
  2. 使用表右上方的下拉列表,选择要包含的列。
  3. 在表顶部,单击导出

    此时会打开导出数据对话框。

  4. 输入文件的名称,然后选择 CSVJSONSARIF
  5. 单击导出

    数据便会导出到文件。