內建公式

請以內建公式為起點,開始建立或自訂您自己的公式。

註: 使用者角色:產品管理者

風險評級

風險評級是根據偵測到的最高問題嚴重性及業務影響的組合得出。數字越大,表示風險越高。請將安全測試工作優先集中在這些應用程式上。

IF(業務影響 = 0, 0, IF(測試狀態 > 0, 0, 業務影響 * rr_maxseverity))

預設風險評級的計算會得出一個值 (0 - 25)。這些值會對映至摘要圖表中的說明文字。

說明
0 不明
1-8
9-14
15-19
20-25 重要:
註:
  1. 如果應用程式未完整測試,或是業務衝擊是「未指定的」,則風險評級為 0(不明)。
  2. 如果測試狀態標示為「已完成」,且沒有中或高的問題,則計算時不考慮業務衝擊。在此情況下,「已完成」並不表示已發現所有漏洞,只是您關注的漏洞已解決,而其餘問題沒有對應用程式帶來任何風險。
  3. 如果您修改風險評級公式,從您變更該公式的那個月開始,「安全風險評級」趨勢圖就會變更。
1. 應用程式屬性公式
名稱 公式
RR_MaxSeverity IF(嚴重問題 > 0 , 5, IF(高問題 > 0, 4, IF(中問題 > 0, 3, IF(低問題 > 0, 2, 1))))
最高嚴重性 IF(MAX(嚴重性、狀態=新、狀態=開放、狀態=重新開放、狀態=進行中、分類=最終、分類=可疑) > 0、MAX(嚴重性、狀態=新、狀態=開放、狀態=重新開放、狀態=進行中,分類=確定,分類=可疑),-1)
新的問題 COUNT(狀態=新​​的,分類=確定的,分類=可疑的)
重要問題 COUNT(狀態=新​​、狀態=打開、狀態=重新打開、狀態=進行中、分類=最終、分類=可疑、嚴重性=嚴重)
高嚴重性問題 COUNT(狀態=新​​、狀態=打開、狀態=重新打開、狀態=進行中、分類=確定、分類=可疑、嚴重性=高)
中嚴重性問題 COUNT(狀態=新​​、狀態=打開、狀態=重新打開、狀態=進行中、分類=確定、分類=可疑、嚴重性=中)
低嚴重性問題 COUNT(狀態=新​​、狀態=打開、狀態=重新打開、狀態=進行中、分類=確定、分類=可疑、嚴重性=低)
待解決問題 COUNT(狀態=新​​、狀態=打開、狀態=重新打開、狀態=進行中、分類=最終、分類=可疑、嚴重性=嚴重、嚴重性=高、嚴重性=中、嚴重性=低)
已修正問題 COUNT(狀態=固定、分類=確定、分類=可疑、嚴重性=嚴重、嚴重性=高、嚴重性=中、嚴重性=低)
問題總計 COUNT(狀態=新​​、狀態=打開、狀態=重新打開、狀態=進行中、狀態=已修復、分類=確定、分類=可疑、嚴重性=嚴重、嚴重性=高、嚴重性=中、嚴重性=低)
工作進行中 COUNT(狀態=進行中、分類=最終、分類=可疑、嚴重性=嚴重、嚴重性=高、嚴重性=中、嚴重性=低)
2. 問題屬性公式
名稱 公式
嚴重性 IF(ISNULL(嚴重性值, -1) = -1, cvss, 嚴重性值)
過期 IF(分類=掃描覆蓋率結果,0,IF(狀態=噪聲,0,IF(狀態=通過,0,IF(狀態=固定,0,AGE()-IF(嚴重性>8.9, 3, IF(嚴重性>6.9, 5, 如果(嚴重性>3.9, 7, 如果(嚴重性>0, 14, 100))))))))
註:
  1. AGE 不能編輯。這是自建立問題起的天數。
  2. 如果您編輯嚴重性公式的範圍,則還必須編輯逾期公式,否則它將不同步。
逾期公式的分解方式如下:如果問題狀態為噪音、已通過或已修復,則問題未逾期。否則,公式是「問題經歷時間 - 嚴重性對映」。
3. 將嚴重性對映至逾期天數
嚴重性範圍逾期天數
大於 9.0重要:5
大於 7.07
大於 4.09
大於 0.114
小於 0.1資訊100