策略
您可以应用预定义策略以及您自己的定制策略,以仅显示与您相关的问题的数据。
ASoC 包括一系列预定义策略。您还可以使用预定义函数来创建自己的定制策略。策略创建和管理可以通过用户界面和 REST API 进行。您最多可以将五个策略与任意应用程序关联。此外,您还可以应用基线策略,该策略将只考虑在指定日期和时间之后发现的问题。
注: 将一个策略与应用程序关联时,缺省将启用该策略。您可以在维护关联的同时禁用策略,并在以后重新启用策略。
注: 在删除某个策略后,将移除所有关联。
注: 如果未启用策略,则仅当没有严重性为严重、高、中或低的活动问题时,才认为应用程序合规。您可以关联并启用策略以覆盖此缺省合规性。
预定义策略
所有预定义策略都可以通过用户界面以及 API 获得。可用策略有:
行业标准 | 合规性 |
---|---|
2021 年 CWE Top 25 最危险的软件漏洞 | 加拿大信息自由与隐私保护法 (FIPPA) |
国际标准 - ISO 27001 | 欧盟通用数据保护条例 (GDPR) |
国际标准 - ISO 27002 | 网络与信息安全指令 (NIS2) |
NIST 特刊 800-53 | 支付应用程序数据安全标准 |
2019 年 OWASP 十大 API 安全风险 | PCI 合规性 |
2023 年 OWASP 十大 API 安全风险 | 美国加州消费者隐私法 (CCPA) - AB-375 |
OWASP 云原生应用程序安全性前 10 名 | 美国 DISA 应用程序安全和开发 STIG。V5R2 |
2017 年 OWASP 十大安全漏洞 | 美国电子资金和转账法案 (EFTA) |
2021 年 OWASP 十大安全漏洞 | 美国联邦信息安全现代化法案 (FISMA) |
2016 年 OWASP 移动端十大安全漏洞 | 美国联邦风险和授权管理程序 (FedRAMP) |
2023 年 CWE Top 25 最危险的软件漏洞 | 美国健康保险可移植性和责任法案 (HIPAA) |
WASC 威胁分类 2.0 | 美国萨班斯法案 (SOX) |
基线策略
基线策略根据设置日期后首次在应用程序中发现的问题计算合规性。与预定义策略不同,基线策略特定于单个应用程序。
基线策略不能算作可以与应用程序关联的五个策略之一。您可以有五个关联策略以及一个基线策略。
要为应用程序设置基线策略,请执行以下操作:
- 在常规应用程序页面上,单击应用程序名称以打开特定应用程序页面。
- 在策略区域中,单击管理策略。
- 单击添加基线策略(或者,如果基线策略已存在,请单击更新基线策略)。
- 根据需要调整日期和时间,然后单击设置基线。
注: 如果在应用程序中使用个人扫描运行后的日期的基线策略来提升个人扫描,那么在扫描中发现的问题将不会更改应用程序的状态。这是因为问题从发现时开始计数,而不是从提升扫描时开始计数。
定制策略
您可以创建自己的定制策略。有关详细信息,请参阅创建定制策略。