透過修改 CVSS 評分來變更問題的嚴重性
變更問題嚴重性是在逐個問題的基礎上完成的,以便您根據業務風險分析每個漏洞。在問題分類期間,您可以透過使用嚴重性值手動覆寫預先計算的 CVSS 評分來變更問題的嚴重性,以便您可以相對於其他問題確定其嚴重性的優先順序。修改嚴重性有助於您向開發和管理人員傳達問題的嚴重程度,以便首先修復更嚴重的漏洞。
執行這項作業的原因和時機
程序
- 在應用程式中,按一下問題的問題 ID。
-
如果基本指標(攻擊向量、攻擊複雜性、所需權限、使用者互動、範圍、機密性影響、完整性影響、可用性影響)顯示為未知(空白),請為每個指標選取一個值。
在此螢幕擷取畫面中,CVSS 基本指標未知,沒有 CVSS 評分,且問題嚴重性為高。重要:您只能修改 CVSS 3.1 屬性。CVSS 4.0 評分和 CVSS 4.0 向量屬性是唯讀的。當您變更基本指標或 CVSS 屬性時,AppScan Enterprise 會重新計算 CVSS 3.1 和 CVSS 4.0 評分。但是,嚴重性值(高、中或低)僅來自 CVSS 3.1 評分。問題頁面上的資訊圖示表明嚴重性基於 CVSS 3.1。
- 將嚴重性值變更為使用 CVSS。註:如果您僅變更嚴重性值但不變更基本指標,則問題在問題清單中被分類為未確定,這意味著嚴重性公式無法準確計算嚴重性,因為缺少其在計算中使用的資訊。在此螢幕擷取畫面中,我們啟用了嚴重性值直欄的顯示,以便我們可以看到嚴重性已被手動覆寫。
結果
以下是我們在下一個螢幕擷取畫面中對醒目提示的問題進行分類的方式:
- 問題 #5:我們修改了 CVSS 基本指標,但未將其嚴重性值從原來的高分類進行變更。計算出的 CVSS 評分現在為 5.3,且高嚴重性分類保持不變。
- 問題 #7:我們修改了 CVSS 基本指標並將嚴重性值變更為使用 CVSS。計算出的 CVSS 評分為 6.4,現在的嚴重性分類為中。
- 問題 #3:我們未修改 CVSS 基本指標,但將嚴重性值變更為使用 CVSS。由於基本指標未知,因此沒有足夠的資訊來計算 CVSS 評分,所以嚴重性分類為未確定。
