Aceitação de riscos

É possível aceitar riscos encontrados pela solução considerando que:

• No caso de vulnerabilidades, erros de configuração e dados sensíveis, é possível aceitar riscos com todos os níveis de gravidade.
• No caso de malware, só é possível aceitar riscos com os níveis de gravidade Medium (Médio), Low (Baixo) e Negligible (Insignificante).

  Não é possível aceitar riscos com os níveis de gravidade High (Alto) e Critical (Crítico).

Os riscos podem ser aceitos nas seguintes seções:

• Na janela de resultados da verificação da imagem, os riscos associados a todos os tipos de ameaças (vulnerabilidade, malware, erros de configuração e dados sensíveis) detectados durante a verificação de uma imagem específica podem ser aceitos.
• Na seção Investigation → Vulnerabilities, são aceitos os riscos de todas as vulnerabilidades detectadas pela solução. Os riscos são aceitos em relação a todos os artefatos detectados durante o processo de verificação, incluindo objetos de CI/CD.

Para aceitar riscos, é necessário ter direitos de gerenciamento de riscos.

Para aceitar um risco com base nos resultados da verificação da imagem:

1. Na janela de resultados da verificação da imagem, abra a guia com informações sobre o tipo de ameaça necessário.
2. Na tabela, selecione uma ameaça e clique no botão Accept na coluna Risk acceptance.
3. Na janela aberta, especifique os parâmetros de aceitação de riscos:
   • Selecione a extensão da aceitação de risco:
     • Para a imagem selecionada com o risco detectado;
     • Para todas as imagens no repositório que contém a imagem com a ameaça à segurança detectada;
     • Para todas as imagens em que a ameaça à segurança foi ou será encontrada.
   • Especifique após que período a ameaça à segurança deve voltar a ser considerada ao determinar o status de segurança da imagem.
   • Especifique o motivo para a aceitação do risco.
4. Clique no botão Accept.

A ameaça selecionada não afetará o status de segurança da imagem específica, de imagens no repositório ou de todas as imagens pelo número de dias definido (ou por tempo ilimitado).

Um risco aceito pode ser visualizado na seção Policies → Risk acceptance.

Para aceitar o risco de uma vulnerabilidade detectada:

1. Clique no ID de registro da vulnerabilidade em uma das seguintes seções:
   • Na guia Vulnerabilities, na janela de resultados da verificação da imagem.
   • Na seção Investigation → Vulnerabilities.
2. Na barra lateral aberta, acesse a guia Risk acceptance.

   A guia Risk acceptance está disponível caso você tenha direitos de visualização de riscos aceitos.

3. Clique no botão Add risk acceptance.
4. Na janela aberta, especifique os parâmetros de aceitação de riscos:
   • Selecione a extensão da aceitação de risco:
     • para o artefato selecionado (imagem ou objeto de CI/CD)
     • para o repositório que contém o objeto com a vulnerabilidade detectada
     • para os artefatos em que a vulnerabilidade é detectada neste momento
     • para todos os artefatos que a solução venha a encontrar durante verificações posteriores.

     O risco é assumido independentemente do escopo.

   • Especifique um período de 1 a 999 dias após o que a aceitação do risco dessa vulnerabilidade será revogada. Por padrão, o período é 30 dias.
   • Especifique o motivo para a aceitação do risco.
5. Clique no botão Add.

O risco aceito para a vulnerabilidade é exibido na guia Risk acceptance. Também pode ser visualizado na seção Policies → Accepted risks.

Topo da página