Принятие риска
Вы можете принять выявленные решением риски с учетом следующего:
- Для уязвимостей, ошибок конфигурации и конфиденциальных данных можно принять риски со всеми уровнями критичности.
- Для вредоносного ПО можно принять риски с уровнями критичности Средний, Низкий и Незначительный.
Принятие риска в отношении вредоносного ПО с уровнями критичности Высокий и Критический невозможно.
Вы можете принять риск в следующих разделах:
- В окне результатов сканирования образа – риски принимаются для всех типов угроз (уязвимости, вредоносное ПО, ошибки конфигурации и конфиденциальные данные), выявленных в результате сканирования определенного образа.
- В разделе Исследование → Уязвимости – риски принимаются для всех выявленных решением уязвимостей. Риски принимаются в отношении всех артефактов, обнаруженных в процессе сканирования, в том числе объектов CI/CD.
Для принятия риска требуются права на управление рисками.
Чтобы принять риск по результатам сканирования образа:
- В окне результатов сканирования образа откройте вкладку с информацией о выявленных угрозах нужного типа.
- В таблице выберите угрозу и нажмите на кнопку Принять в столбце Принятие риска.
- В открывшемся окне укажите параметры принятия риска:
- Выберите, в каком объеме принимается риск:
- для выбранного образа, в котором риск обнаружен;
- для всех образов репозитория, в котором находится образ с обнаруженной угрозой;
- для всех образов, в которых обнаружена или будет обнаружена эта угроза.
- Установите срок, по истечении которого эта угроза снова будет учитываться при определении статуса безопасности образа.
- Укажите причину принятия риска.
- Выберите, в каком объеме принимается риск:
- Нажмите на кнопку Принять.
Выбранная угроза не влияет на статус безопасности образа, образов репозитория или всех образов в течение указанного количества дней или бессрочно.
Принятый риск можно посмотреть в разделе Политики → Принятые риски.
Чтобы принять риск в отношении выявленной уязвимости:
- Нажмите на идентификатор записи об уязвимости в одном из следующих разделов:
- На вкладке Уязвимости в окне результатов сканирования образа.
- В разделе Исследование → Уязвимости.
- В открывшейся боковой панели перейдите на вкладку Принятие риска.
Вкладка Принятие риска доступна, если у вас есть права на просмотр принятых рисков.
- Нажмите на кнопку Добавить принятие риска.
- В открывшемся окне укажите параметры принятия риска:
- Выберите, в каком объеме принимается риск:
- для выбранного артефакта (образа или объекта CI/CD);
- для репозитория, в котором находится объект с обнаруженной уязвимостью;
- для артефактов, в которых на текущий момент обнаружена эта уязвимость;
- для всех артефактов, в том числе артефактов, которые решение может обнаружить при последующих проверках.
Риск принимается без учета области применения.
- Укажите период от 1 до 999 дней, по истечении которого принятие риска, связанного с этой уязвимостью, будет отозвано. По умолчанию установлен период 30 дней.
- Укажите причину принятия риска.
- Выберите, в каком объеме принимается риск:
- Нажмите на кнопку Добавить.
Принятый риск отображается для уязвимости на вкладке Принятие риска. Его также можно посмотреть в разделе Политики → Принятые риски.