Modification de la gravité d'un problème en modifiant son score CVSS

La modification de la gravité d'un problème s'effectue problème par problème afin que vous puissiez analyser chaque vulnérabilité en fonction de vos risques métier. Lors du tri des problèmes, vous pouvez modifier la gravité d'un problème en remplaçant manuellement le score CVSS précalculé par la valeur de gravité afin de pouvoir hiérarchiser sa gravité par rapport à d'autres problèmes. La modification de la gravité vous aide à transmettre le niveau de criticité d'un problème au développement et à la direction afin que les vulnérabilités les plus critiques soient corrigées en premier.

Pourquoi et quand exécuter cette tâche

Cet exemple montre comment remplacer la gravité d'un problème.

Procédure

  1. Dans une application, cliquez sur l'ID de problème du problème.

    La liste des problèmes d'une application.
  2. Cliquez sur Modifier les attributs dans la boîte de dialogue À propos de ce problème.
    Remarque :
    Si l'autorisation Restreindre l'accès à la modification de la valeur de gravité et des attributs CVSS est sélectionnée pour votre type d'utilisateur, vous ne pouvez pas modifier la valeur de gravité et les attributs CVSS d'un problème. Contactez l'administrateur de votre produit.
  3. Si les métriques de base (Vecteur d'attaque, Complexité de l'attaque, Privilèges requis, Interaction utilisateur, Portée, Impact sur la confidentialité, Impact sur l'intégrité, Impact sur la disponibilité) s'affichent comme inconnues (vides), sélectionnez une valeur pour chacune d'entre elles.
    Dans cette capture d'écran, les métriques de base CVSS sont inconnues, il n'y a pas de score CVSS et la gravité du problème est Élevée.
    Important :
    Vous ne pouvez modifier que les attributs CVSS 3.1. Les attributs Score CVSS 4.0 et Vecteur CVSS 4.0 sont en lecture seule. Lorsque vous modifiez les métriques de base ou les attributs CVSS, AppScan Enterprise recalcule les scores CVSS 3.1 et CVSS 4.0. Cependant, la valeur de Gravité (Élevée, Moyenne ou Faible) provient uniquement du score CVSS 3.1. Une icône d'information sur la page Problèmes indique que la gravité est basée sur le CVSS 3.1.

    La boîte de dialogue À propos de ce problème pour un problème.
  4. Changez la Valeur de gravité en Utiliser CVSS.
    Remarque :
    Si vous modifiez uniquement la valeur de gravité mais que vous ne modifiez pas les métriques de base, le problème est catégorisé dans la liste des problèmes comme Indéterminé, ce qui signifie que la formule de gravité ne peut pas calculer la gravité avec précision car des informations qu'elle utilise dans son calcul sont manquantes.
    Dans cette capture d'écran, nous avons activé l'affichage de la colonne Valeur de gravité afin de pouvoir voir que la gravité est remplacée manuellement.La liste des problèmes mise à jour d'une application.

Résultats

Voici comment nous avons trié les problèmes mis en évidence dans cette capture d'écran suivante :
  • Problème #5 : Nous avons modifié les métriques de base CVSS mais n'avons pas changé la Valeur de gravité de sa catégorisation Élevée d'origine. Le score CVSS calculé est maintenant de 5,3 et la catégorisation de gravité Élevée reste inchangée.
  • Problème #7 : Nous avons modifié les métriques de base CVSS et changé la Valeur de gravité en Utiliser CVSS. Le score CVSS calculé est de 6,4, et maintenant la catégorisation de la gravité est Moyenne.
  • Problème #3 : Nous n'avons pas modifié les métriques de base CVSS, mais avons changé la Valeur de gravité en Utiliser CVSS. Étant donné que les métriques de base sont inconnues, il n'y a pas assez d'informations pour calculer le score CVSS, et donc la catégorisation de gravité est Indéterminée.

Exemples de tri de la gravité des problèmes