Принятие риска

Вы можете принять выявленные решением риски с учетом следующего:

• Для уязвимостей, ошибок конфигурации и конфиденциальных данных можно принять риски со всеми уровнями критичности.
• Для вредоносного ПО можно принять риски с уровнями критичности Средний, Низкий и Незначительный.

  Принятие риска в отношении вредоносного ПО с уровнями критичности Высокий и Критический невозможно.

Вы можете принять риск в следующих разделах:

• В окне результатов сканирования образа – риски принимаются для всех типов угроз (уязвимости, вредоносное ПО, ошибки конфигурации и конфиденциальные данные), выявленных в результате сканирования определенного образа.
• В разделе Исследование → Уязвимости – риски принимаются для всех выявленных решением уязвимостей. Риски принимаются в отношении всех артефактов, обнаруженных в процессе сканирования, в том числе объектов CI/CD.

Для принятия риска требуются права на управление рисками.

Чтобы принять риск по результатам сканирования образа:

1. В окне результатов сканирования образа откройте вкладку с информацией о выявленных угрозах нужного типа.
2. В таблице выберите угрозу и нажмите на кнопку Принять в столбце Принятие риска.
3. В открывшемся окне укажите параметры принятия риска:
   • Выберите, в каком объеме принимается риск:
     • для выбранного образа, в котором риск обнаружен;
     • для всех образов репозитория, в котором находится образ с обнаруженной угрозой;
     • для всех образов, в которых обнаружена или будет обнаружена эта угроза.
   • Установите срок, по истечении которого эта угроза снова будет учитываться при определении статуса безопасности образа.
   • Укажите причину принятия риска.
4. Нажмите на кнопку Принять.

Выбранная угроза не влияет на статус безопасности образа, образов репозитория или всех образов в течение указанного количества дней или бессрочно.

Принятый риск можно посмотреть в разделе Политики → Принятые риски.

Чтобы принять риск в отношении выявленной уязвимости:

1. Нажмите на идентификатор записи об уязвимости в одном из следующих разделов:
   • На вкладке Уязвимости в окне результатов сканирования образа.
   • В разделе Исследование → Уязвимости.
2. В открывшейся боковой панели перейдите на вкладку Принятие риска.

   Вкладка Принятие риска доступна, если у вас есть права на просмотр принятых рисков.

3. Нажмите на кнопку Добавить принятие риска.
4. В открывшемся окне укажите параметры принятия риска:
   • Выберите, в каком объеме принимается риск:
     • для выбранного артефакта (образа или объекта CI/CD);
     • для репозитория, в котором находится объект с обнаруженной уязвимостью;
     • для артефактов, в которых на текущий момент обнаружена эта уязвимость;
     • для всех артефактов, в том числе артефактов, которые решение может обнаружить при последующих проверках.

     Риск принимается без учета области применения.

   • Укажите период от 1 до 999 дней, по истечении которого принятие риска, связанного с этой уязвимостью, будет отозвано. По умолчанию установлен период 30 дней.
   • Укажите причину принятия риска.
5. Нажмите на кнопку Добавить.

Принятый риск отображается для уязвимости на вкладке Принятие риска. Его также можно посмотреть в разделе Политики → Принятые риски.

В начало