报告
为在应用程序中发现的问题生成报告。将报告发送给开发人员、内部审计员、渗透测试者、经理和 CISO。安全信息可能比较广泛,并可根据您的需要进行过滤。
应用程序和扫描报告
在应用程序和扫描页面中,您可以生成有关应用程序当前状态的各种报告。
要生成应用程序或扫描执行报告:
- 对于应用程序,在应用程序页面上选择 。对于扫描:
- 在扫描和会话页面上,在列表中所需扫描最右侧选择省略号 (…),然后选择下载报告,或者
- 在扫描摘要页面上,选择 。
此时会打开报告对话框。 - 选择报告类型:
- 安全性报告:在应用程序中发现的所有问题的可配置报告。
- 行业标准报告:在下一步中从列表中选择一个报告。
- 合规性报告:在下一步中从列表中选择一个报告。
- 开源报告(仅 SAST 和 SCA):此报告列出了在您的代码中找到的所有开源库(及其许可证)以及关联的开源风险级别。由于开源库可以有多个许可证,因此如果发现多个许可证,则此报告可能包含单个库的多个列表。
- 软件物料清单 (SBOM)(仅 SCA):应用程序中开源库的行业标准列表。此报告类型仅适用于 SCA 扫描。
- 为报告指定名称(或保留缺省名称),然后选择文件类型(
HTML
、PDF
,某些情况下还有CSV
和XML
)。 - 添加将在报告顶部添加的注释。可选。
- 单击下一步继续。
有关安全性报告、行业标准和合规性报告、SBOM 报告和扫描导出格式的其他信息,请参阅下文。
安全性报告
可以为以下项生成安全性报告:
- 整个应用程序
- 特定扫描(如果该扫描已运行多次,您需要指定使用哪个执行)
- 过滤后的问题列表
- 修复组
要生成安全性报告:
- 请执行下列其中一项操作:
- 在“应用程序”页面上,选择 。
- 在“扫描”页面上,选择 。
- 在问题或修复组页面上,请应用过滤器以仅显示您希望包含在报告中的问题,然后单击安全性报告
- 为报告指定名称(或保留缺省名称),然后选择文件类型(
HTML
、PDF
,某些情况下还有CSV
和 \)。 - 添加将在报告顶部添加的注释。可选。
- 如有请求,指明报告范围。
- 不合规问题:活动问题(状态如下且满足以下条件的问题:“未解决”、“进行中”、“已重新打开”和“新”(已弃用)且也不符合一个或多个策略。)
- 所有问题:应用程序中的所有问题,包括所有状态、严重性和合规性;并基于设置页面中的范围。当“设置”页面中的范围为“基于状态”时,“所有问题”将包括每个问题。如果将范围定义为“基于状态和策略”,则它将包括不符合一个或多个策略的所有问题。请注意,活动问题过滤器在此处不适用,因此所有问题都将包括在内。
- 选中需要包含在报告中的部分对应的复选框,并取消选中不需要的部分对应的复选框。
- 单击生成报告。系统将生成报告并将其保存到您的计算机中。注: 对于过滤后的列表,单击该按钮时,将生成安全性报告。因此,与反映扫描完成时数据的常规安全性报告不同,过滤后的报告将反映发现问题的最新状态。例如,状态从新更改为已修订的问题在此报告中显示为已修订。注: 如果报告非常大,生成
PDF
可能会失败。在这种情况下,将改为生成HTML
报告。如果发生这种情况而又需要PDF
格式,请使用过滤器来创建较小的问题块,然后生成两份或更多报告。
行业标准报告和合规性报告
为应用程序选择以下报告:
行业标准 | 合规性 |
---|---|
2021 年 CWE Top 25 最危险的软件漏洞 | 加拿大信息自由与隐私保护法 (FIPPA) |
国际标准 - ISO 27001 | 欧盟通用数据保护条例 (GDPR) |
国际标准 - ISO 27002 | 网络与信息安全指令 (NIS2) |
NIST 特刊 800-53 | 支付应用程序数据安全标准 |
2019 年 OWASP 十大 API 安全风险 | PCI 合规性 |
2023 年 OWASP 十大 API 安全风险 | 美国加州消费者隐私法 (CCPA) - AB-375 |
OWASP 云原生应用程序安全性前 10 名 | 美国 DISA 应用程序安全和开发 STIG。V5R2 |
2017 年 OWASP 十大安全漏洞 | 美国电子资金和转账法案 (EFTA) |
2021 年 OWASP 十大安全漏洞 | 美国联邦信息安全现代化法案 (FISMA) |
2016 年 OWASP 移动端十大安全漏洞 | 美国联邦风险和授权管理程序 (FedRAMP) |
2023 年 CWE Top 25 最危险的软件漏洞 | 美国健康保险可移植性和责任法案 (HIPAA) |
WASC 威胁分类 2.0 | 美国萨班斯法案 (SOX) |
要为结果的子部分生成报告,例如仅高和严重,或仅在特定日期后发现的问题,您可以在生成报告之前对结果应用过滤器。
软件物料清单 (SBOM) 报告
软件物料清单 (SBOM) 报告是构成软件工件的组件的嵌套清单,包括完整的依赖关系和层次结构信息。SBOM 报告仅适用于 SCA 扫描,需要有效的 SCA 许可证。
要生成 SBOM 报告,请执行以下操作:
- 执行以下任一项操作:
- 从扫描和会话页面中,在列表中所需扫描最右侧选择省略号 (…),然后选择下载报告,或者
- 从扫描摘要页面中,选择 。
- 选择软件物料清单 (SBOM) 作为报告类型,并指定文件名和格式(
TV
或JSON
)。 - 单击下一步。
- 指定将在最终报告中显示的以下必填字段:
- 文档名:SBOM 报告的标题。
- 组织名称:要生成报告的组织。
- 创建者名称:创建报告的人员的电子邮件。
- 单击生成报告。
将扫描数据导出为 CSV
、JSON
或 SARIF
您可以从应用程序或扫描的问题列表中将数据导出为
CSV
、JSON
或 SARIF
文件。注:
- 只有管理员能够导出。
SARIF
选项仅适用于 SAST 问题,不包括 SCA(开源)问题。它不适用于免费订阅。
要导出数据:
- 根据需要过滤问题列表,直到仅显示要导出的问题为止。
- 使用表右上方的列下拉列表,选择要包含的列。
- 在表顶部,单击导出。
此时会打开导出数据对话框。
- 输入文件的名称,然后选择
CSV
、JSON
或SARIF
。 - 单击导出。
数据便会导出到文件。