Criar uma solicitação de avaliação de teste de invasão a partir de solicitações existentes (v19.0)

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • A partir da v19.0, você cria solicitações de avaliação de teste de invasão diretamente da lista de solicitações existentes. Você também pode copiar solicitações existentes no estado Encerrado nesta lista para criar solicitações.

    Antes de Iniciar

    Função necessária: gerente de App-Sec

    Por Que e Quando Desempenhar Esta Tarefa

    A partir da v19.0 de Vulnerability Response, se você estiver usando o Veracode Vulnerability Integration, os testes de avaliação de invasão no Veracode Vulnerability Integration serão descobertas manuais de Veracode. Eles não estão vinculados a nenhuma solicitação de avaliação de teste de invasão configurada em Application Vulnerability Response. Para obter mais informações sobre avaliações de teste de invasão de Veracode, consulte o Veracode Vulnerability Integration.

    Procedimento

    1. Navegar até Todos > Solicitações de avaliação de teste de invasão > Todos.
    2. Opcional: Como alternativa, você pode criar uma solicitação replicando solicitações encerradas.
      Todos os valores da solicitação original são preservados no novo formulário. Os itens vulneráveis da aplicação (IVAs) são copiados automaticamente para a nova solicitação. Selecione Copiar e criar solicitação de registros no estado Encerrado.
    3. Selecione Novo e preencha os campos.
      Tabela 1. Formulário de solicitação de avaliação de teste de invasão
      Campo Descrição
      Número Identificador exclusivo gerado para a solicitação de avaliação de teste de invasão.
      Estado Selecione um valor com base no status da solicitação.
      Solicitados por Pessoa que está solicitando a avaliação da aplicação.
      Grupo de atribuição Grupo selecionado para trabalhar nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente de App-Sec.

      Para configurar grupos, consulte Configurar teste de invasão.
      Aplicação Selecione uma aplicação usando a opção de pesquisa.
      Atribuído a Indivíduo do grupo de atribuição selecionado que trabalha nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente de App-Sec.
      Tipo de aplicação Selecione uma opção de:
      • Serviço Web (conhecido como API antes da v16.1)
      • Aplicação Web
      • Cliente espesso
      • Móvel (se você selecionar Móvel, a guia Móvel será exibida na parte inferior do formulário com campos adicionais)
      Sprint Exibe os sprints com largura de banda disponível para acomodar a solicitação de avaliação com base no campo de tipo de avaliação selecionado.

      Consulte Configurar sprints para teste de invasão e Configurar tipos de avaliação para teste de invasão para obter mais informações sobre como modificar a capacidade do sprint e o escopo de teste.
      v19.0: tamanho da aplicação Selecione o tamanho da aplicação que você deseja testar.
      • Pequeno
      • Médio(a)
      • Grande
      • Padrão (selecione esta opção se você não tiver certeza do tamanho)

      Consulte mais Configurar teste de invasão mais informações sobre como modificar a capacidade de sprint e testar o escopo com o tamanho da aplicação e a capacidade de sprint.
      Criado em Data e hora em que a solicitação foi criada.
      Tipo de avaliação Selecione o tipo de avaliação em:
      • Teste de invasão completo
      • Teste focado
      • Testar novamente
      Para obter mais detalhes sobre como testar combinações e escopo de teste, consulte Configurar tipos de avaliação para teste de invasão.
      Atualizado em Data e hora em que a solicitação foi atualizada pela última vez.
      Data da demonstração Data em que esta aplicação pode ser demonstrada.
      Implantação de produto planejada em Data planejada para implantar esta aplicação na produção.
      Versão/liberação da aplicação planejada para implantação Versão da aplicação planejada para implantação de produção.
      v19.0: aplicação de propriedade de fornecedor terceirizado ou de uma guia de empreendimento conjunto

      Se você selecionar Sim para este campo, a guia Informações do fornecedor/empreendimento conjunto será exibida. Preencha os campos adicionais.
      Existe uma cláusula que nos permite executar o teste de invasão? O termo "Cláusula" pode se referir a padrões de teste que incluem quaisquer acordos existentes entre duas ou mais partes que você deseja adicionar. Se você selecionar Sim, adicione a cláusula.
      A cláusula que menciona a permissão para executar o teste de invasão
      Nome jurídico completo e endereço do fornecedor
      Sistema de detecção de intrusão
      Contato técnico do fornecedor
      As informações registradas em log foram revisadas para formar atividade mal-intencionada?
      A aplicação é hospedada por outro fornecedor terceirizado?
      Contato do fornecedor que encerrará o teste de invasão
      Guia Detalhes da aplicação
      Finalidade da aplicação Descrição da funcionalidade da aplicação.
      Detalhes das stacks de tecnologia Pilha de tecnologia completa do front-end ao back-end, bancos de dados e outras tecnologias importantes.
      É uma aplicação de terceiros? Confirma se esta aplicação pertence a um fornecedor terceirizado.
      Tipos de lista de dados confidenciais acessíveis pela aplicação Tipos de dados confidenciais acessíveis pela aplicação. Por exemplo, dados PII, dados PHI e dados financeiros, como números de cartão de crédito.
      Tipo de autenticação Especifica se esta aplicação usa autenticação LDAP, sua própria autenticação nativa ou outras formas de autenticação.
      A aplicação está no escopo de algum programa de conformidade? Especifica se esta aplicação afeta algum programa de conformidade, como o PCI.
      Contatos da equipe de aplicações Membros da equipe de aplicações a serem contatados pela equipe de hacking ético em caso de dúvidas.
      Lista de programas de conformidade
      Interfaces ou aplicações de terceiros relacionados
      Endereço IP
      Número aproximado de usuários em produção?
      Existe um script automatizado?
      A versão de produção desta aplicação é externa?
      v 19.0: Impacto nos negócios
      Dano financeiro Selecione um na lista.
      Não conformidade Selecione um na lista.
      Dano à reputação Selecione um na lista.
      Violação de privacidade Selecione um na lista.
      Guia Detalhes do teste
      URLs para teste URLs que devem ser incluídos no teste de invasão.
      URLs a serem excluídos URLs que devem ser excluídos do teste de invasão.
      Essa aplicação já foi testada? Especifica se esta aplicação já foi testada quanto à invasão.
      Motivo para testar novamente Motivo para solicitar uma reavaliação do teste de invasão se a aplicação foi testada anteriormente.
      Quando a aplicação foi testada? Intervalo de tempo em que a aplicação foi testada quanto à invasão.
      Detalhes da conta de teste Detalhes da conta de teste que podem ser usados pela equipe de hackers éticos para testes de invasão.
      Funções da aplicação Funções compatíveis com a aplicação para seus usuários.
      Funções mais usadas Funções usadas com mais frequência na aplicação.
      Guia Comentários adicionais
      Anotações de trabalho
    4. Selecione Salvar para salvar suas edições ou Enviar para iniciar a solicitação.