報告
產生在應用程式中發現之問題的報告。傳送報告給開發人員、內部審核員、滲透測試人員、經理及 CISO。安全資訊可能很廣泛,您可根據需求進行過濾。
應用程式和掃描報告
您可以從「應用程式」和「掃描」頁面中產生應用程式當前狀態的各式報告。
若要產生應用程式或掃描執行報告:
- 若為應用程式,請在「應用程式」頁面上,選取 。掃描:
- 在「掃描及階段作業」頁面上,於清單上所需的掃描最右側選取省略符號 (...),然後選取「下載報告」,或
- 在「掃描」摘要頁面上選取 。
這時會開啟「報告」對話框。 - 選取報告「類型」:
- 安全報告:應用程式中所有發現問題的可配置報告。
- 業界標準報告:在下一個步驟的清單中選取報告。
- 法規相符性報告:在下一個步驟的清單中選取報告。
- 開放原始碼報告(僅限 SAST 和 SCA):報告會列出在您的程式碼中找到的所有開放原始碼程式庫(與其授權),以及其相關聯的開放原始碼風險層次。由於開放原始碼程式庫可擁有多個授權,因此,若找到多個授權,此報告可能會包含單一程式庫的多個清單。
- 軟體物料清單 (SBOM)(僅限 SCA):應用程式中開放原始碼程式庫的產業標準清單。此報告類型僅適用於 SCA 掃描。
- 請為報告命名或保留預設名稱,然後選取檔案類型(
HTML
、PDF
,在某些情況下也請選取CSV
和XML
)。 - 您可新增位於報告最上方的註解。選用。
- 按下一步以繼續。
如需安全報告、業界標準和法規相符性報告、SBOM 報告,和掃描匯出格式的其他資訊,請參閱以下內容。
安全報告
可以針對下列項目產生安全報告:
- 整個應用程式
- 特定掃描(如果該掃描執行超過一次,您需指定使用哪項執行)
- 已過濾的問題清單
- 修正群組
如果要產生安全報告:
- 請執行下列其中一項動作:
- 在「應用程式」頁面上選取 。
- 在「掃描」頁面上選取 。
- 在「問題」或「修正群組」頁面上套用過濾器,以僅顯示您要在報告中包含的問題,然後按一下「安全性報告」
- 請為報告命名或保留預設名稱,然後選取檔案類型(
HTML
、PDF
,在某些情況下也請選取CSV
和 \)。 - 您可新增位於報告最上方的註解。選用。
- 若有要求,請指出報告範圍。
- 不符規範的問題:作用中的問題(包含狀態如下的問題:「待解決」、「處理中」、「已重新開啟」和「新建」(已淘汰)),而且還不符合一或多項原則。
- 所有問題:應用程式中的所有問題,包括所有狀態、嚴重程度和合規性,並根據設定頁面中的範圍而定。當設定頁面中的範圍是「根據狀態」時,「所有問題」會包含每個問題。如果範圍定義為「根據狀態和原則」,則會包含所有不符合一或多項原則的問題。請注意,作用中的問題過濾器不適用於此處,且所有問題都會包含在內。
- 請選取報告中所需區段的勾選框,並清除不需要的區段。
- 按一下產生報告。報告會產生並儲存至您的機器。註: 「過濾的安全報告清單」會在您按一下按鈕時產生。因此,與反映掃描完成時資料的一般「安全報告」不同,過濾的報告會反映所找到問題的最新狀態。例如,從「新的」變更為「已修正」狀態的問題會在此報告中顯示為「已修正」。註: 若是容量非常大的報告,可能無法產生
PDF
檔。在此情況下,會改為產生HTML
報告。若發生此情況但您需要PDF
格式,請使用過濾器建立較小的問題片段,並產生兩個以上的報告。
業界標準和法規相符性報告
從下列報告為應用程式選擇:
業界標準 | 法規相符性 |
---|---|
2021 年 CWE 前 25 大最危險的軟體弱點 | 加拿大資訊自由與隱私權保護法規 (FIPPA) |
國際標準 - ISO 27001 | 歐盟一般資料保護法規 (GDPR) |
國際標準 - ISO 27002 | 網路與資訊安全指引 (NIS2) |
NIST 專刊 800-53 | 支付應用程式資料安全標準 |
2019 年 OWASP 前 10 大 API 安全性 | PCI 合規性 |
2023 年 OWASP 前十大 API 安全性 | 美國加州消費者隱私保護法 (CCPA) - AB-375 |
OWASP 雲端原生應用程式安全前 10 | 美國 DISA 的應用程式安全及開發 STIG。V5R2 |
2017 年 OWASP 前 10 大 | 美國電子資金移轉法案 (EFTA) |
2021 年 OWASP 前 10 | 美國聯邦政府資訊安全現代化法案 (FISMA) |
2016 年 OWASP 前 10(行動式) | 美國聯邦風險與授權管理計畫 (FedRAMP) |
2023 CWE 前 25 大最危險的軟體弱點 | 美國健康保險可攜性與責任法案 (HIPAA) |
WASC 威脅分類 2.0 | 美國沙賓法案 (SOX) |
若要為結果的子區段產生報告,例如僅限「高」或「重大」,或是僅在特定日期後發現問題,您可以在產生報告前先將過濾器套用至結果。
軟體物料清單 (SBOM) 報告
軟體物料清單 (SBOM) 報告是構成軟體成品之元件的巢狀目錄清單,包括完整相依性與階層資訊。SBOM 報告僅適用於 SCA 掃描,需要有效的 SCA 授權。
若要產生 SBOM 報告:
- 其中之一:
- 在「掃描與階段作業」頁面上,於清單上所需的掃描最右側選取省略符號 (...),然後選取「下載報告」,或
- 從「掃描摘要」頁面上選取 。
- 選取「軟體物料清單 (SBOM)」作為報告類型,並指定檔案名稱和格式(
TV
或JSON
)。 - 按「下一步」。
- 指定將出現在最終報告中的下列必備欄位:
- 文件名稱:SBOM 報告的標題。
- 組織名稱:產生報告的組織。
- 建立者名稱:建立報告者的電子郵件。
- 按一下產生報告。
將掃描資料匯出為 CSV
、JSON
或 SARIF
您可以從應用程式的問題清單匯出資料,或掃描為
CSV
、JSON
或 SARIF
檔。註:
- 只有管理員才能匯出。
SARIF
選項僅適用於 SAST 問題,不包含 SCA(開放程式碼)問題。無法用於免費訂閱。
若要匯出資料:
- 請視需要過濾問題清單,直到畫面僅顯示您要匯出的問題。
- 請使用表格右上方的「直欄」下拉清單,選取要併入的直欄。
- 請在表格頂端按一下匯出。
此時將開啟「匯出資料」對話框。
- 輸入檔案名稱,選取
CSV
、JSON
或SARIF
。 - 按一下匯出。
資料會匯出至檔案。