Comment la gravité du problème est déterminée

AppScan® Enterprise détermine la gravité des problèmes en utilisant une formule de gravité ou en utilisant un attribut de problème « Valeur de gravité » (Severity Value).

La formule de gravité ne peut pas être modifiée. Cependant, vous pouvez modifier la valeur prédéterminée de l'attribut Valeur de gravité, et comme il est utilisé dans la formule de gravité, vous pouvez modifier la gravité d'un problème de cette manière.

Vous pouvez également modifier les valeurs de plage associées à la formule de gravité. Ces plages définissent l'affichage du texte pour les plages de gravité numériques. Le texte qui est utilisé comme nom de plage, tel que Information ou Critique, est généralement plus facile à comprendre lorsqu'il est appliqué en tant que regroupement de gravité dans la vue Application que la valeur numérique qui représente le résultat de la formule de gravité.
Conseil :
Si vous modifiez les plages numériques de la formule de gravité dans le modèle de profil de problème, modifiez les valeurs numériques de l'attribut Valeur de gravité dans le même modèle afin que ces valeurs soient synchronisées.

L'une des valeurs prédéterminées pour l'attribut Valeur de gravité est Utiliser CVSS. Lorsque cette valeur est utilisée, la formule de gravité utilise le score CVSS pour déterminer la gravité du problème. Si vous utilisez une autre valeur pour l'attribut Valeur de gravité, telle que le type de problème, cette valeur est utilisée comme gravité du problème au lieu d'utiliser le calcul du score CVSS.

Comment les valeurs CVSS et Gravité sont définies pour les problèmes détectés par les travaux d'analyse de contenu

Le score CVSS pour les problèmes qui sont détectés par des travaux d'analyse de contenu est automatiquement calculé car toutes les informations requises sont déterminées en fonction du type de la vulnérabilité que le problème représente.

Lorsque vous modifiez la gravité du problème via les rapports dans AppScan® Enterprise, l'attribut Valeur de gravité du problème est défini sur la même valeur. Ce processus s'applique également lorsque les problèmes sont mis à niveau à partir de versions antérieures d'AppScan® Enterprise.

Comment les valeurs CVSS et Gravité sont définies pour les problèmes importés dans AppScan® Enterprise

Tableau 1. Comment les valeurs CVSS et Gravité sont définies pour les problèmes importés dans AppScan® Enterprise

Problèmes importés
Origine du problème Comment la gravité du problème est déterminée
Importer à partir de toutes les versions d'AppScan® Source Les informations qui contribuent au calcul du score CVSS ne sont pas disponibles dans les fichiers d'importation. AppScan Enterprise définit la gravité du problème en fonction de la gravité spécifiée pour le type de problème de la vulnérabilité. Les informations CVSS sont calculées en fonction du type de vulnérabilité.
Importer depuis AppScan® Standard version 9.0 et antérieures Les informations qui contribuent au calcul du score CVSS ne sont pas disponibles dans les fichiers d'importation pour les problèmes provenant d'anciennes versions de produits. AppScan® Enterprise définit la gravité du problème en fonction de la gravité spécifiée pour le type de problème de la vulnérabilité.
Importer depuis AppScan® Standard version 9.0.1 et ultérieures Les informations qui contribuent au calcul du score CVSS sont intégrées dans AppScan® Enterprise lors de l'importation, et la Valeur de gravité est dérivée du score CVSS résultant.
Importer des problèmes à partir d'un fichier CSV Le profil du scanner permet le mappage entre les colonnes d'attributs dans le fichier CSV et les attributs de problème utilisés par AppScan Enterprise. Le calcul du score CVSS et la gravité résultante dépendent des informations disponibles dans le fichier CSV et de la manière dont elles sont mappées aux attributs qui représentent les métriques CVSS.

Si les attributs CVSS requis sont disponibles, AppScan Enterprise peut utiliser la formule CVSS pour calculer la gravité. Si le calcul du score CVSS n'est pas disponible, AppScan Enterprise définit la gravité du problème en fonction de la valeur de gravité. Si celle-ci n'est pas disponible, il utilise la gravité par défaut qui est définie sur le type de problème de la vulnérabilité.
Importer des problèmes à partir du fichier XML de rapport d'AppScan Standard v9.0.3 Les données de rapport d'AppScan Standard v9.0.3 enregistrées en tant que fichier XML peuvent être importées dans la vue Moniteur d'AppScan Enterprise. Les informations qui contribuent au calcul du score CVSS ne sont pas disponibles dans le fichier d'importation. AppScan Enterprise définit la valeur de gravité du problème en fonction de la gravité spécifiée dans le fichier d'importation. Les informations CVSS sont calculées en fonction du type de vulnérabilité.
Importer des problèmes à partir de scanners XML AppScan Enterprise définit la gravité du problème en fonction de la valeur de gravité du fichier XML.
Importer depuis AppScan® Standard version 10.11.0 et ultérieures

Les fichiers d'importation contiennent des métriques pour les versions CVSS 3.1 et CVSS 4.0, et AppScan Enterprise stocke les deux versions sans en prioriser une par rapport à l'autre. Cependant, le calcul de la notation de la Gravité du problème est basé sur le score CVSS 3.1.

Si le fichier importé ne contient pas le vecteur CVSS 4.0, le système tente de trouver les données dans la base de données AppScan Enterprise en fonction du type de problème :
  • Si les données se trouvent dans la base de données AppScan Enterprise, le système les récupère et les affiche.
  • Si le vecteur ne se trouve pas dans la base de données AppScan Enterprise, les champs Score et Vecteur CVSS 4.0 restent masqués, et l'affichage ne montre que les données CVSS 3.1.
Remarque :
Le système récupère le vecteur CVSS 3.1 à partir de la base de données même si le fichier importé ne contient que le vecteur CVSS 4.0. La base de données AppScan Enterprise obtient ces données de la base de données ASRA lors du processus de l'assistant de configuration.

Comment conserver les valeurs CVSS et de gravité définies manuellement et importées d'AppScan® Source et d'AppScan® Standard

Si vous avez géré des problèmes dans AppScan® Source ou AppScan Standard, et que vous souhaitez conserver ces paramètres lorsque vous importez ces problèmes dans AppScan® Enterprise, vous pouvez demander à votre administrateur de cocher la case Utiliser les paramètres du fichier importé sur la page Administration > Paramètres généraux > Paramètres d'Enterprise Console . Lorsque ce paramètre est activé, les règles de traitement décrites dans le tableau suivant s'appliquent.

Tableau 2. Comment conserver les valeurs CVSS et de gravité définies manuellement et importées d'AppScan® Source et d'AppScan® Standard
Origine du problème Comment la gravité du problème est déterminée
Importer à partir de toutes les versions d'AppScan® Source Les informations qui contribuent au calcul du score CVSS ne sont pas disponibles dans le fichier d'importation pour les problèmes. La gravité du problème et les attributs Valeur de gravité sont définis sur la gravité spécifiée dans le fichier d'importation.
Importer depuis AppScan® Standard version 9.0 et antérieures Les informations qui contribuent au calcul du score CVSS ne sont pas disponibles dans le fichier d'importation pour les problèmes. La gravité du problème et les attributs Valeur de gravité sont définis sur la gravité spécifiée dans le fichier d'importation.
Importer depuis AppScan® Standard version 9.0.1 et ultérieures Les informations qui contribuent au calcul du score CVSS et la gravité définie manuellement sont disponibles dans le fichier d'importation, et les deux sont définies dans AppScan® Enterprise tel que spécifié dans ce fichier.