組み込み数式
組み込み数式を基に、独自の数式を作成あるいはカスタマイズします。
注: ユーザー・ロール: 製品管理者
リスク等級
リスク等級の計算は、検出された問題の最も高い重大度とビジネスへの影響の組み合わせに基づいて行われます。高い値はリスクが高いことを示します。そのようなアプリケーションに対しては、最初に集中してセキュリティー・テストを行うようにしてください。
IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity))
デフォルトのリスク等級の計算では、結果が値 (0 から 25) で得られます。これらの値は、概要グラフの説明テキストにマップされます。
値 | 説明 |
---|---|
0 | 不明 |
1-8 | 低 |
9-14 | ミディアム |
15-19 | 高 |
20-25 | きわめて重要 |
注:
- アプリケーションが完全にはテストされていない場合、またはビジネスへの影響が「未指定」の場合、リスク等級は 0 (不明) となります。
- テスト状況が「完了」とマークされ、重大度が「中」また「高」の問題が存在しない場合、計算ではビジネスへの影響は考慮されません。これに関連して、「完了」は、すべての脆弱性が検出されたことを意味せず、むしろ、注意するべき脆弱性が解決されて、残りの問題はアプリケーションにリスクをもたらさないことを意味します。
- リスク等級の数式を変更する場合、「セキュリティー・リスク等級」傾向グラフは、数式を変更した月から変更されます。
名前 | 数式 |
---|---|
RR_MaxSeverity | IF(criticalissues > 0 , 5, IF(highissues > 0, 4, IF(mediumissues > 0, 3, IF(lowissues > 0, 2, 1)))) |
最大重大度 | IF(MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect) > 0, MAX(severity, status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect), -1) |
新規の問題 | COUNT(status=new,classification=definitive,classification=suspect) |
「重大」問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical) |
「高」の問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=high) |
「中」の問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=medium) |
「低」の問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=low) |
未解決の問題 | COUNT(status=new,status=open,status=reopened,status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low) |
解決済みの問題 | COUNT(status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low) |
問題の総数 | COUNT(status=new,status=open,status=reopened,status=inprogress,status=fixed,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low) |
処理中の作業 | COUNT(status=inprogress,classification=definitive,classification=suspect,severity=critical,severity=high,severity=medium,severity=low) |
名前 | 数式 |
---|---|
重大度 | IF(ISNULL(severityvalue, -1) = -1, cvss, severityvalue) |
期限超過 | IF(classification=scancoveragefindings,0,IF(status=noise,0,IF(status=passed,0,IF(status=fixed,0,AGE()-IF(severity>10, 3, IF(severity>7.4, 5, IF(severity>5, 7, IF(severity>1.9, 14, 100)))))))) 注:
|
以下に期限切れの数式がどのように分類されるかを示します。問題状況がノイズ、パス済み、または修正済みである場合、問題は期限切れになりません。それ以外の場合は、数式は「issue AGE - severity mapping」です。
重大度の範囲 | 値 | 期限切れの日数 |
---|---|---|
10 より大 | きわめて重要 | 3 |
7.4 より大 | 高 | 5 |
5 より大 | ミディアム | 7 |
1.9 より大 | 低 | 14 |
1.9 より小 | 情報 | 100 |