報告

產生在應用程式中發現之問題的報告。傳送報告給開發人員、內部審核員、滲透測試人員、經理及 CISO。安全資訊可能很廣泛,您可根據需求進行過濾。

應用程式和掃描報告

您可以從「應用程式」和「掃描」頁面中產生應用程式當前狀態的各式報告。

若要產生應用程式或掃描執行報告:
  1. 若為應用程式,請在「應用程式」頁面上,選取「管理」 > 「報告」
    掃描:
    • 在「掃描及階段作業」頁面上,於清單上所需的掃描最右側選取省略符號 (...),然後選取「下載報告」,或
    • 在「掃描」摘要頁面上選取「管理掃描」 > 「下載報告」
    這時會開啟「報告」對話框。
  2. 選取報告「類型」:
    • 安全報告:應用程式中所有發現問題的可配置報告。
    • 業界標準報告:在下一個步驟的清單中選取報告。
    • 法規相符性報告:在下一個步驟的清單中選取報告。
    • 開放原始碼報告(僅限 SAST 和 SCA):報告會列出在您的程式碼中找到的所有開放原始碼程式庫(與其授權),以及其相關聯的開放原始碼風險層次。由於開放原始碼程式庫可擁有多個授權,因此,若找到多個授權,此報告可能會包含單一程式庫的多個清單。
    • 軟體物料清單 (SBOM)(僅限 SCA):應用程式中開放原始碼程式庫的產業標準清單。此報告類型僅適用於 SCA 掃描。
  3. 請為報告命名或保留預設名稱,然後選取檔案類型(HTMLPDF,在某些情況下也請選取 CSVXML)。
  4. 您可新增位於報告最上方的註解。選用。
  5. 下一步以繼續。

    如需安全報告業界標準和法規相符性報告SBOM 報告掃描匯出格式的其他資訊,請參閱以下內容。

安全報告

可以針對下列項目產生安全報告:
  • 整個應用程式
  • 特定掃描(如果該掃描執行超過一次,您需指定使用哪項執行)
  • 已過濾的問題清單
  • 修正群組
如果要產生安全報告:
  1. 請執行下列其中一項動作:
    • 在「應用程式」頁面上選取「管理」 > 「報告」 > 「安全性報告」
    • 在「掃描」頁面上選取「管理掃描」 > 「下載報告」 > 「安全性報告」
    • 在「問題」或「修正群組」頁面上套用過濾器,以僅顯示您要在報告中包含的問題,然後按一下「安全性報告
    ASoC 開啟「報告」對話框。對話框的標題取決於您啟動報告的位置。
  2. 請為報告命名或保留預設名稱,然後選取檔案類型(HTMLPDF,在某些情況下也請選取 CSV 和 \)。
  3. 您可新增位於報告最上方的註解。選用。
  4. 若有要求,請指出報告範圍。
    1. 不符規範的問題:作用中的問題(包含狀態如下的問題:「待解決」、「處理中」、「已重新開啟」和「新建」(已淘汰)),而且還不符合一或多項原則。
    2. 所有問題:應用程式中的所有問題,包括所有狀態、嚴重程度和合規性,並根據設定頁面中的範圍而定。當設定頁面中的範圍是「根據狀態」時,「所有問題」會包含每個問題。如果範圍定義為「根據狀態和原則」,則會包含所有不符合一或多項原則的問題。請注意,作用中的問題過濾器不適用於此處,且所有問題都會包含在內。
  5. 請選取報告中所需區段的勾選框,並清除不需要的區段。
  6. 按一下產生報告
    報告會產生並儲存至您的機器。
    註: 「過濾的安全報告清單」會在您按一下按鈕時產生。因此,與反映掃描完成時資料的一般「安全報告」不同,過濾的報告會反映所找到問題的最新狀態。例如,從「新的」變更為「已修正」狀態的問題會在此報告中顯示為「已修正」。
    註: 若是容量非常大的報告,可能無法產生 PDF 檔。在此情況下,會改為產生 HTML 報告。若發生此情況但您需要 PDF 格式,請使用過濾器建立較小的問題片段,並產生兩個以上的報告。

業界標準和法規相符性報告

從下列報告為應用程式選擇:
業界標準 法規相符性
2021 年 CWE 前 25 大最危險的軟體弱點 加拿大資訊自由與隱私權保護法規 (FIPPA)
國際標準 - ISO 27001 歐盟一般資料保護法規 (GDPR)
國際標準 - ISO 27002 網路與資訊安全指引 (NIS2)
NIST 專刊 800-53 支付應用程式資料安全標準
2019 年 OWASP 前 10 大 API 安全性 PCI 合規性
2023 年 OWASP 前十大 API 安全性 美國加州消費者隱私保護法 (CCPA) - AB-375
OWASP 雲端原生應用程式安全前 10 美國 DISA 的應用程式安全及開發 STIG。V5R2
2017 年 OWASP 前 10 大 美國電子資金移轉法案 (EFTA)
2021 年 OWASP 前 10 美國聯邦政府資訊安全現代化法案 (FISMA)
2016 年 OWASP 前 10(行動式) 美國聯邦風險與授權管理計畫 (FedRAMP)
2023 CWE 前 25 大最危險的軟體弱點 美國健康保險可攜性與責任法案 (HIPAA)
WASC 威脅分類 2.0 美國沙賓法案 (SOX)

若要為結果的子區段產生報告,例如僅限「」或「重大」,或是僅在特定日期後發現問題,您可以在產生報告前先將過濾器套用至結果。

軟體物料清單 (SBOM) 報告

軟體物料清單 (SBOM) 報告是構成軟體成品之元件的巢狀目錄清單,包括完整相依性與階層資訊。SBOM 報告僅適用於 SCA 掃描,需要有效的 SCA 授權。

若要產生 SBOM 報告:
  1. 其中之一:
    • 在「掃描與階段作業」頁面上,於清單上所需的掃描最右側選取省略符號 (...),然後選取「下載報告」,或
    • 從「掃描摘要」頁面上選取「管理掃描」 > 「下載報告」
  2. 選取「軟體物料清單 (SBOM)」作為報告類型,並指定檔案名稱和格式(TVJSON)。
  3. 按「下一步」。
  4. 指定將出現在最終報告中的下列必備欄位:
    • 文件名稱:SBOM 報告的標題。
    • 組織名稱:產生報告的組織。
    • 建立者名稱:建立報告者的電子郵件。
  5. 按一下產生報告

將掃描資料匯出為 CSVJSONSARIF

您可以從應用程式的問題清單匯出資料,或掃描為 CSVJSONSARIF 檔。
註:
  • 只有管理員才能匯出。
  • SARIF 選項僅適用於 SAST 問題,不包含 SCA(開放程式碼)問題。無法用於免費訂閱。
若要匯出資料:
  1. 請視需要過濾問題清單,直到畫面僅顯示您要匯出的問題。
  2. 請使用表格右上方的「直欄」下拉清單,選取要併入的直欄。
  3. 請在表格頂端按一下匯出

    此時將開啟「匯出資料」對話框。

  4. 輸入檔案名稱,選取 CSVJSONSARIF
  5. 按一下匯出

    資料會匯出至檔案。