合规性策略
您可以应用预定义合规性策略以及您自己的定制合规性策略,以仅显示与您相关的问题的数据。
AppScan 360° 包括一系列预定义合规性策略。您还可以使用预定义函数来创建自己的定制合规性策略。合规性策略的创建和管理可以通过用户界面和 REST API 进行。您最多可以将五个策略与任意应用程序关联。此外,您还可以应用基线策略,该策略将只考虑在指定日期和时间之后发现的问题。
注: 将一个合规性策略与应用程序关联时,缺省情况下将启用该策略。您可以在保持关联的同时禁用合规性策略,并在以后重新启用该策略。
注: 在删除某个合规性策略后,将移除所有关联。
注: 如果未启用任何合规性策略,则仅当没有严重性为严重、高、中或低的活动问题时,才认为应用程序合规。您可以关联并启用合规性策略以覆盖此缺省合规性。
预定义的合规性策略
所有预定义合规性策略都可以通过用户界面以及 API 获得。可用策略有:
| 行业标准 | 合规性 |
|---|---|
| 2021 年 CWE 最危险的 25 个软件漏洞 | 加拿大信息自由与隐私保护法 (FIPPA) |
| 2024 年 CWE 最危险的 25 个软件漏洞 | 欧盟数字运营韧性法案 (DORA) |
| 国际标准 - ISO 27001 | 欧盟通用数据保护条例 (GDPR) |
| 国际标准 - ISO 27002 | 网络与信息安全指令 (NIS2) |
| NIST 特刊 800-53 | 支付应用程序数据安全标准 |
| 2019 年 OWASP 十大 API 安全风险 | 南非个人信息保护法 (PoPIA) |
| 2023 年 OWASP 十大 API 安全风险 | 支付卡行业数据安全标准 (PCI DSS) - V4 |
| OWASP 应用程序安全性验证标准 V4.0.3 | 美国加州消费者隐私法 (CCPA) - AB-375 |
| OWASP 云原生应用程序安全性前 10 名 | 美国 DISA 应用程序安全和开发 STIG。V6R3 |
| 2017 年 OWASP 十大安全风险 | 美国电子资金和转账法案 (EFTA) |
| 2021 年 OWASP 十大安全风险 | 美国联邦信息安全现代化法案 (FISMA) |
| 2016 年移动端 OWASP 十大安全风险 | 美国联邦风险和授权管理程序 (FedRAMP) |
| WASC 威胁分类 v2.0 | 美国健康保险流通与责任法案 (HIPAA) |
| 美国萨班斯-奥克斯利法案 (SOX) |
基线合规性策略
基线合规性策略根据设置日期后首次在应用程序中发现的问题计算合规性。与预定义合规性策略不同,基线合规性策略特定于单个应用程序。
基线合规性策略不能算作可以与应用程序关联的五个策略之一。您可以有五个关联策略以及一个基线合规性策略。
要为应用程序设置基线策略,请执行以下操作:
- 在常规应用程序页面上,单击应用程序名称以打开特定应用程序页面。
- 单击。
- 单击添加基线合规性策略(或者,如果基线合规性策略已存在,请单击更新基线合规性策略)。
- 根据需要调整日期和时间,然后单击设置基线。
注: 如果在应用程序中使用个人扫描运行后的日期的基线合规性策略来提升个人扫描,那么在扫描中发现的问题将不会更改应用程序的状态。这是因为问题从发现时开始计数,而不是从提升扫描时开始计数。
定制合规性策略
您可以创建自己的定制合规性策略。有关详细信息,请参阅创建定制合规性策略。