相符性原則
您可以套用預先定義的相符性原則以及您自己的自訂相符性原則,以只顯示與您相關的問題資料。
AppScan 360° 包含一系列預先定義的相符性原則。您也可以使用預先定義的函數來建立您自己的自訂相符性原則。透過使用者介面和 REST API 可以建立及管理相符性原則。您最多可以將五個原則與任何應用程式建立關聯。此外,您可以套用基準線原則,它只會考慮在指定的日期和時間之後找到的問題。
註: 當您將相符性原則與應用程式建立關聯時,原則預設為啟用。您可以停用相符性原則,同時維持關聯性,並且在之後重新啟用原則。
註: 刪除相符性原則時將會移除所有的關聯。
註: 如果未啟用任何相符性原則,則只有在沒有嚴重性為「重大」、「高」、「中」或「低」的作用中問題時,才會將應用程式視為符合。您可以建立及啟用相符性原則,以覆寫此預設相符性。
預先定義的相符性原則
所有預先定義的相符性原則都可透過使用者介面和 API 取得。可用的原則:
| 業界標準 | 法規相符性 |
|---|---|
| 2021 年 CWE 前 25 大最危險的軟體弱點 | 加拿大資訊自由與隱私權保護法規 (FIPPA) |
| 2024 年 CWE 前 25 大最危險的軟體弱點 | 歐盟數位營運韌性法案 (DORA) |
| 國際標準 - ISO 27001 | 歐盟一般資料保護法規 (GDPR) |
| 國際標準 - ISO 27002 | 網路與資訊安全指引 (NIS2) |
| NIST 專刊 800-53 | 支付應用程式資料安全標準 |
| 2019 年 OWASP 前 10 大 API 安全性 | 南非個人資訊保護法案 (PoPIA) |
| 2023 年 OWASP 前十大 API 安全性 | 支付卡產業資料安全標準 (PCI DSS) - V4 |
| OWASP 應用程式安全驗證標準 V4.0.3 | 美國加州消費者隱私保護法 (CCPA) - AB-375 |
| OWASP 雲端原生應用程式安全前 10 | 美國 DISA 的應用程式安全及開發 STIG。V6R3 |
| 2017 年 OWASP 前 10 | 美國電子資金移轉法案 (EFTA) |
| 2021 年 OWASP 前 10 | 美國聯邦政府資訊安全現代化法案 (FISMA) |
| 2016 年 OWASP 前 10(行動式) | 美國聯邦風險與授權管理計畫 (FedRAMP) |
| WASC 威脅分類 v2.0 | 美國健康保險可攜性與責任法案 (HIPAA) |
| 美國沙賓法案 (SOX) |
基準線相符性原則
基準線相符性原則會根據在設定日期之後第一次在應用程式中找到的問題來計算相符性。與預先定義的相符性原則不同,基準線相符性原則為單一應用程式特定。
基準線相符性原則不會計入可以與應用程式相關聯的五個原則之一。您可以有五個相關聯的原則,加上一個基準線相符性原則。
若要設定應用程式的基準線原則,請執行下列動作:
- 在一般「應用程式」頁面上,按一下應用程式名稱以開啟特定應用程式的頁面。
- 按一下。
- 按一下「新增基準線相符性原則」(或者,如果已經存在,則按一下「更新基準線相符性原則」)。
- 視需要調整日期和時間,然後按一下設定基準線。
註: 如果您在執行個人掃描之後,以基準線相符性原則來升級應用程式中的個人掃描,在掃描中發現的問題不會變更應用程式的狀態。這是因為問題是從發現時開始計算,而不是從升級掃描時計算。
自訂合相符性原則
您可以建立您自己的自訂相符性原則。如需詳細資料,請參閱建立自訂相符性原則。