Groupes de correctifs

Pour le moment, les groupes de correctifs s'appliquent uniquement aux problèmes détectés dans les examens utilisant l'analyse statique.

Les groupes de correctifs constituent une nouvelle approche en matière de gestion, de triage et de résolution des problèmes détectés dans les examens utilisant l'analyse statique. Dès que vous avez exécuté un examen statique, AppScan sur Cloud organise les problèmes détectés en groupes de correctifs, en fonction du type de vulnérabilité et de la tâche de résolution requise. Dans chaque nouvel examen statique, les nouveaux problèmes sont ajoutés à ces groupes et des groupes sont créés, si besoin.

Chaque problème relève d'un seul Groupe de correctifs, qui s'affiche dans l'onglet Groupe de correctifs de l'application et dans Rapports d'examen. Il existe trois types de groupes de correctifs :
Point de correctif commun
Contient des problèmes qui partagent la même vulnérabilité. Le groupe entier peut être corrigé à l'aide d'une résolution unique (un point de code).
API commune
Contient des problèmes qui sont liés au même appel d'API. Un groupe d'API commun place les constatations avec la même cause première si elles ne peuvent pas être classées dans un groupe de points de correctif commun. Cela réduit le changement de contexte lors de l'examen des résultats et de l'application du correctif. En général, le correctif est similaire pour chacune des constatations affectées. Le même correctif peut être appliqué à tous les problèmes du groupe.
Open Source commune
Contient des problèmes identifiés dans le code tiers, en fonction de la bibliothèque dans laquelle ils ont été trouvés. Pour chaque bibliothèque vulnérable identifiée dans l'application, un groupe de correctifs est créé. Chaque groupe de correctifs peut avoir une ou plusieurs vulnérabilités en fonction du nombre de vulnérabilités découvertes dans la bibliothèque spécifique. La même résolution peut être appliquée à tous les problèmes du groupe.

Les problèmes d'un groupe partagent tous le même type de vulnérabilité.

Gravité du groupe de correctifs

La gravité du groupe de correctifs est déterminée par la gravité la plus sévère de tous les problèmes qu'il contient.

Statut du groupe de correctifs

Le statut du groupe de correctifs n'est affecté que lorsque tous les problèmes du groupe présentent le même statut.

Lorsque vous modifiez le statut de tous les problèmes d'un groupe, vous pouvez choisir d'appliquer le même statut aux incidents ajoutés au groupe à partir des futurs examens en cochant la case Appliquer automatiquement aux futurs incidents. Notez que l'option Appliquer automatiquement aux futurs problèmes, également appelée « StickyStatus » ou « IsSticky » dans l'interface utilisateur de l'API et de la piste d'audit, est la même. En outre, sélectionner cette option vous empêche de modifier le statut de tout problème individuel faisant partie de ce groupe.

Si vous ne cochez pas la case Appliquer automatiquement aux futurs problèmes et que de nouveaux problèmes avec un statut différent sont ajoutés à partir d'examens futurs, l'état du groupe passera à Mixte.

Tutoriel

Le volet détails du problème affiche des informations complètes sur le problème, y compris une trace indiquant l'emplacement du correctif et les propriétés pertinentes du problème.