Welcome
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 3：确定风险和划分漏洞优先级
了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
确定风险
现在管理和安全分析人员具有整个企业中应用程序的综合视图，因此可以得到应用程序安全分析的完整情况。使用公式可创建用于自动化的应用程序资产分类的规则。应用程序安全风险分级的自动化计算基于应用程序的描述和所发现的漏洞。
确定问题严重性
安全性分析人员可以使用 CVSS 分数来确定问题严重性并为其组织对漏洞修订划分优先级。
CVSS 分数
CVSS 分数反映漏洞的总体安全性影响，它是一个组合分数，反映了三个不同类别中的度量：基本、时间和环境。

欢迎
欢迎使用 HCL AppScan Enterprise 10.10.0 文档，您可以在其中找到有关如何安装、维护和使用 HCL AppScan Enterprise 的信息。
企业的AppScan®无障碍功能
辅助功能选项可帮助残障人士（例如行动不便或视力不佳）顺利使用信息技术内容。
产品概述
正在安装
了解如何安装该产品。
升级和迁移
了解如何对产品进行升级。
集成
了解如何将产品与其他解决方案集成。
DevOps
了解如何通过 REST API 和插件扩展产品。
最佳实践
了解使用产品的最佳做法。
配置
了解如何配置该产品。
管理
了解如何管理该产品。
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
  - 确定风险
    现在管理和安全分析人员具有整个企业中应用程序的综合视图，因此可以得到应用程序安全分析的完整情况。使用公式可创建用于自动化的应用程序资产分类的规则。应用程序安全风险分级的自动化计算基于应用程序的描述和所发现的漏洞。
    - 公式组成部分
      产品管理员可以在您的属性公式中使用以下任何组成部分。
    - 函数示例
      这些函数在属性公式中使用。
    - 内置公式
      将内置公式用作创建或定制您自己的公式的起点。
    - 定制风险分级公式
      风险分级公式是用于描述应用程序的最重要的属性。使用此示例可定制内置风险分级。在此示例中，将根据不同应用程序属性自动计算业务影响。
    - 创建具有公式的属性
      创建和编辑包含公式的属性来计算应用程序的风险等级或显示应用程序摘要中的问题信息。删除不再相关的公式属性。
    - 修改公式
      您可以修改 AppScan Enterprise 的内置公式来根据您的业务需求对它们进行定制。例如，Open Issues 公式在其计算中包含 new、open 和 reopened 问题。这可能与您的需求不符合，因此您可以对其进行修改以仅包含 open 和 reopened 的问题。
    - 确定问题严重性
      安全性分析人员可以使用 CVSS 分数来确定问题严重性并为其组织对漏洞修订划分优先级。
      - CVSS 分数
        CVSS 分数反映漏洞的总体安全性影响，它是一个组合分数，反映了三个不同类别中的度量：基本、时间和环境。
      - 如何确定问题严重性
        AppScan® Enterprise 通过使用严重性公式或“严重性值”问题属性来确定问题严重性。
      - 通过修改问题的 CVSS 分数更改其严重性
        更改问题严重性是逐个问题来执行的，以便您可分析每个漏洞与业务风险的关联性。在问题分类期间，可以通过使用严重性值手动覆盖预先计算的 CVSS 分数来更改问题的严重性，从而能够将该问题的严重性设置为优先于其他问题。修改严重性有助于向开发和管理人员传达某个问题比较严重的信息，以便先修订更严重的漏洞。
  - 划分漏洞优先级
    了解如何在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。
故障诊断和技术支持
为了帮助您理解、隔离并解决有关 HCL® 软件的问题，故障诊断和技术支持信息中包含了关于使用 HCL 产品随带的问题确定资源的指示信息。
参考
查看该产品的参考信息。
词汇表

CVSS 分数

CVSS 分数反映漏洞的总体安全性影响，它是一个组合分数，反映了三个不同类别中的度量：基本、时间和环境。

此分数基于可用于其中一个或多个度量的信息（例如，值）进行计算。每个度量中可用的信息越多，CVSS 分数的针对性就会越强。在 AppScan Enterprise 中，每个度量的值映射到某个问题（安全漏洞）或发现该问题的应用程序的属性。在 AppScan Enterprise 中无法删除或修改这些属性，但是您可以修改其值。

表 1. CVSS 度量
度量组	度量名称	问题或应用程序属性	计算 CVSS 分数所需的定义
基本	攻击途径	问题	是
	攻击复杂性	问题	是
	所需权限	问题	是
	用户交互	问题	是
	范围	问题	是
	机密性影响	问题	是
	完整性影响	问题	是
	可用性影响	问题	是
时间	利用代码成熟度	问题	否*
	补救级别	问题	否*
	报告置信度	问题	否*
环境在应用程序的总体安全性分级中也会考虑这些度量。	已修改基本度量	应用程序	否*
	可用性要求	应用程序	否*
	机密性需求	应用程序	否*
	完整性需求	应用程序	否*

注：

* 虽然并未要求定义这些属性，但是如果定义了更多度量来描述问题，CVSS 分数的针对性会更强。
未定义的任何可选属性不会包含在 CVSS 分数计算中。
如果未定义任何必需属性，则无法计算 CVSS 分数。在此情况下，问题严重性将分类为 Undetermined。
有关 CVSS 度量的详细信息，请参阅以下链接：
- CVSS 3.1 规范
- CVSS 2.0 规范