Настройки корреляции уязвимостей приложения
Примечание
Для выполнения нижеописанных действий требуется роль Администратора.
AppSec.Hub определяет корреляцию между проблемами безопасности, импортированными из инструментов AST, и группирует их по результатам проведенного анализа.
Система выполняет автоматический анализ выявленных проблем безопасности. На основе используемой модели корреляции выявленные проблемы безопасности группируются для дальнейшей работы с ними, например, для включения в дефекты безопасности.
Расчет корреляции и формирование групп корреляции в системе производится после каждого импорта уязвимостей по всему сканируемому приложению без привязки, например, только к одной выбранной кодовой базе.
Система определяет корреляцию для проблем безопасности одного типа (SAST, DAST или SCA Security), в том числе обнаруженных разными инструментами сканирования.
Примечание
Корреляция для проблем безопасности SCA Compliance в системе не рассчитывается.
Примечание
Корреляция для проблем безопасности DAST, импортированных из инструмента Стингрей, в системе не рассчитывается.
Нажмите на иконку Administration в правом верхнем углу экрана. На экране появится страница администрирования.
Выберите пункт меню AVC (Application Vulnerabilities Correlation) в меню слева, чтобы обновить настройки корреляции уязвимостей приложения (AVC). Страница AVC содержит две вкладки: Common и Correlation.
Вкладка Common содержит следующие настройки:
- AVC authorization token — токен для авторизации в сервисе AVC. Если токен не указан, авторизация не будет использоваться.
- Number of issues — количество проблем безопасности, единовременно передаваемых в сервис AVC для анализа и предсказания.
- Observable statuses — выбор статусов проблем безопасности, для которых выполняется AVC-анализ. В раскрывающемся меню выберите статусы проблем, для которых будет выполняться анализ, и нажмите на кнопку
, расположенную в правой части поля.
- Enable auto-review — включение автоматического анализа выявленных проблем безопасности после каждого импорта проблем из инструмента AST в AppSec.Hub. Это позволяет автоматически присваивать импортированным проблемам статус «ложно-положительный» (False Positive) или «истинно-положительный» (True Positive). Чтобы получать результаты AVC-анализа (анализа корреляции уязвимостей приложения) и оценку «истинно/ложноположительный» для проблем безопасности SAST, переведите селектор в положение «включено». Для проблем безопасности SAST, имеющих оценку «истинно/ложноположительный», в системе отображаются три дополнительных поля: AVC status, AVC Accuracy и AVC Model (см. раздел «Проблемы безопасности»).
Примечание
Сервис AVC поддерживает анализ проблем безопасности в следующих языках и их написаниях:
- Java (в написаниях Java, JAVA).
- JavaScript (в написаниях JavaScript, JAVASCRIPT).
- Python (в написаниях Python, PYTHON).
- CSharp (в написаниях CSharp, Csharp, C#, CS).
- CONFIG (в написании CONFIG).
- PHP (в написании PHP).
- PLSQL (в написаниях PLSQL, TSQL).
Внимание
Для следующих CWE ID в некоторых языках качество классификации низкое:
CWE ID | |
---|---|
CONFIG | 1032 |
CSharp | 1032 |
JavaScript | 1032 |
PLSQL | 265 |
Python | 617 |
Если в результатах сканирования для перечисленных выше языков присутствуют уязвимости с указанными CWE ID, то система может неверно классифицировать их как False Positive, поэтому не рекомендуется включать такие уязвимости в автоматические правила на False Positive.
На вкладке Correlation находится переключатель Apply correlation rules by default, который включает или отключает применение правил корреляции к уязвимостям, полученным в результате импорта проблем безопасности. Если данная настройка отключена, корреляция после импорта рассчитываться не будет.
В разделе Correlation rules отображаются правила, по которым будет определяться корреляция. Для каждого правила указаны:
- Название правила.
- Статус правила в системе (активное/неактивное).
- Является ли данное правило правилом по умолчанию (Default).
- Type — тип проблем безопасности, к которым применяется данное правило.
- Parameters — параметры, по которым в правиле определяется корреляция между проблемами безопасности.
По умолчанию в системе существует четыре правила корреляции:
- SCA Security & component version — для проблем безопасности SCA Security. Корреляция в этом правиле определяется с помощью алгоритма, использующего параметры scan_target, component_name и component_version.
- SCA Security & fix version — для проблем безопасности SCA Security, сгруппированных с учетом исправленной версии. Корреляция в этом правиле определяется с помощью алгоритма, использующего параметры scan_target, component_name и fix_version.
- SAST — для проблем безопасности SAST. Корреляция в этом правиле определяется с помощью алгоритма, использующего параметры cwe и path.
- DAST — для проблем безопасности DAST. Корреляция в этом правиле определяется с помощью алгоритма, использующего параметры cwe и url.
Примечание
В случае удаления какого-либо из объектов сканирования из приложения в AppSec.Hub, система производит автоматический пересчет групп корреляции с учетом произошедших изменений в проблемах безопасности.