Criar uma solicitação de avaliação de teste de invasão a partir de solicitações existentes (v19.0)

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • A partir da v19.0, você cria solicitações de avaliação de teste de invasão diretamente da lista de solicitações existentes. Você também pode copiar solicitações existentes no estado Fechado nesta lista para criar solicitações.

    Antes de Iniciar

    Função necessária: gerente de App-Sec

    Por Que e Quando Desempenhar Esta Tarefa

    A partir da v19.0 de Resposta a vulnerabilidades, se você estiver usando o Veracode Vulnerability Integration, os testes de avaliação de invasão no Veracode Vulnerability Integration serão descobertas manuais do Veracode. Eles não estão vinculados a nenhuma solicitação de avaliação de teste de invasão configurada em Resposta a vulnerabilidades de aplicações. Para obter mais informações sobre avaliações de teste de invasão de Veracode, consulte Veracode Vulnerability Integration.

    Procedimento

    1. Navegar até Tudo > Solicitações de avaliação de teste de invasão > Tudo.
    2. Opcional: Como alternativa, você pode criar uma solicitação replicando solicitações encerradas.
      Todos os valores da solicitação original são preservados no novo formulário. Os itens vulneráveis da aplicação (IVAs) ativos são copiados automaticamente para a nova solicitação. Selecione Copiar e criar solicitação nos registros no estado Fechado.
    3. Selecione Novo e preencha os campos.
      Tabela 1. Formulário de solicitação de avaliação de teste de invasão
      Campo Descrição
      Número Identificador exclusivo gerado para a solicitação de avaliação de teste de invasão.
      Estado Selecione um valor com base no status da solicitação.
      Solicitado por Pessoa que está solicitando a avaliação da aplicação.
      Grupo de atribuição Grupo selecionado para trabalhar nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente do App-Sec.

      Para configurar grupos, consulte Configurar teste de invasão.
      Aplicação Selecione uma aplicação usando a opção de pesquisa.
      Atribuído a Indivíduo do grupo de atribuição selecionado que trabalha nas descobertas do teste de invasão. Pode ser adicionado ou editado manualmente por um gerente do App-Sec.
      Tipo de aplicação Selecione uma opção de:
      • Serviço web (conhecido como API antes da v16.1)
      • Aplicação Web
      • Cliente espesso
      • Móvel (se você selecionar Móvel, a guia Móvel será exibida na parte inferior do formulário com campos adicionais)
      Sprint Exibe os sprints com largura de banda disponível para acomodar a solicitação de avaliação com base no campo Tipo de avaliação selecionado.

      Consulte Configurar sprints para testes de invasão e Configurar tipos de avaliação para testes de invasão para obter mais informações sobre como modificar a capacidade de sprint e testar o escopo.
      v19.0: tamanho da aplicação Selecione o tamanho da aplicação que você deseja testar.
      • Pequeno
      • Médio(a)
      • Grande
      • Padrão (selecione esta opção se você não tiver certeza do tamanho)

      Consulte mais Configurar teste de invasão mais informações sobre como modificar a capacidade de sprint e testar o escopo com o tamanho da aplicação e a capacidade de sprint.
      Criado em Data e hora em que a solicitação foi criada.
      Tipo de avaliação Selecione o tipo de avaliação em:
      • Teste de invasão completo
      • Teste focado
      • Testar novamente
      Para obter mais detalhes sobre como testar combinações e testar escopo, consulte Configurar tipos de avaliação para testes de invasão.
      Atualizado em Data e hora em que a solicitação foi atualizada pela última vez.
      Data da demonstração Data em que esta aplicação pode ser demonstrada.
      Implantação de produto planejada em Data planejada para implantar esta aplicação na produção.
      Versão/liberação da aplicação planejada para implantação Versão da aplicação planejada para implantação de produção.
      v19.0: aplicação de propriedade de fornecedor terceirizado ou de uma guia de empreendimento conjunto

      Se você selecionar Sim para este campo, a guia Informações do fornecedor/empreendimento conjunto será exibida. Preencha os campos adicionais.
      Existe uma cláusula que nos permite realizar o teste de invasão? O termo "Cláusula" pode se referir a padrões de teste que incluem quaisquer acordos existentes entre duas ou mais partes que você deseja adicionar. Se você selecionar Sim, adicione a cláusula.
      A cláusula que cita a permissão para executar o teste de invasão
      Nome jurídico completo e endereço do fornecedor
      Sistema de detecção de intrusão
      Contato técnico do fornecedor
      As informações registradas em log foram revisadas de atividades mal-intencionadas?
      A aplicação é hospedada por outro fornecedor terceirizado?
      Contato do fornecedor que encerrará o teste de invasão
      Guia Detalhes da aplicação
      Finalidade da aplicação Descrição da funcionalidade da aplicação.
      Detalhes das stacks de tecnologia Pilha de tecnologia completa do front-end ao back-end, bancos de dados e outras tecnologias importantes.
      É uma aplicação de terceiros? Confirma se esta aplicação pertence a um fornecedor terceirizado.
      Tipos de lista de dados confidenciais acessíveis pela aplicação Tipos de dados confidenciais acessíveis pela aplicação. Por exemplo, dados PII, dados PHI e dados financeiros, como números de cartão de crédito.
      Tipo de autenticação Especifica se esta aplicação usa autenticação LDAP, sua própria autenticação nativa ou outras formas de autenticação.
      A aplicação está no escopo de algum programa de conformidade? Especifica se esta aplicação afeta quaisquer programas de conformidade, como PCI.
      Contatos da equipe de aplicações Membros da equipe de aplicações a serem contatados pela equipe de invasão ética em caso de dúvidas.
      Lista de programas de conformidade
      Interfaces ou aplicações de terceiros relacionados
      Endereço IP
      Número aproximado de usuários na produção?
      Existe um script automatizado?
      A versão de produção deste app é externa?
      v 19.0: Impacto nos negócios
      Dano financeiro Selecione uma opção da lista.
      Não conformidade Selecione uma opção da lista.
      Dano à reputação Selecione uma opção da lista.
      Violação de privacidade Selecione uma opção da lista.
      Guia Detalhes de teste
      URLs para teste URLs que devem ser incluídos no teste de invasão.
      URLs a serem excluídos URLs que devem ser excluídos do teste de invasão.
      Essa aplicação já foi testada? Especifica se esta aplicação já foi testada contra invasão.
      Motivo para testar novamente Motivo para solicitar uma reavaliação do teste de invasão se a aplicação tiver sido testada anteriormente.
      Quando a aplicação foi testada? Intervalo de tempo em que a aplicação foi testada quanto à invasão.
      Detalhes da conta de teste Detalhes da conta de teste que pode ser usada pela equipe de invasão ética para testes de invasão.
      Funções da aplicação Funções compatíveis com a aplicação para seus usuários.
      Funções mais usadas Funções mais usadas na aplicação.
      Guia Comentários adicionais
      Anotações de trabalho
    4. Selecione Salvar para salvar suas edições ou Enviar para iniciar a solicitação.