Aceptación de riesgos
Al aceptar los riesgos que detecte la solución debe considerar lo siguiente:
- En el caso de las vulnerabilidades, los errores de configuración y los datos confidenciales, puede aceptar riesgos con todos los niveles de gravedad.
- En el caso del malware, solo puede aceptar los riesgos que tengan los niveles de gravedad Medio (Medium), Bajo (Low) e Insignificante (Negligible).
No puede aceptar los riesgos con niveles de gravedad Alto (High) ni Crítico (Critical).
Puede aceptar riesgos desde las siguientes secciones:
- En la ventana de resultados de los análisis de imágenes, puede aceptar los riesgos asociados con todos los tipos de amenazas (vulnerabilidades, malware, configuraciones incorrectas y datos confidenciales) que se detecten al analizar una imagen específica.
- En la sección Investigation → Vulnerabilities, se pueden aceptar los riesgos de todas las vulnerabilidades que detecte la solución. Los riesgos se aceptan en relación con todos los artefactos detectados durante el proceso de análisis, incluidos los objetos de CI/CD.
Para aceptar riesgos, es necesario tener derechos de gestión de riesgos.
Para aceptar un riesgo sobre la base de los resultados del análisis de imágenes:
- En la ventana de resultados de los análisis de imágenes, abra la pestaña que contiene información sobre el tipo de amenaza que desea aceptar.
- En la tabla, elija una amenaza y haga clic en el botón Accept, en la columna Risk acceptance.
- En la ventana que se abre, defina los parámetros de aceptación de riesgos:
- Elija el alcance de la aceptación de riesgos:
- Para la imagen elegida que tiene el riesgo detectado
- Para todas las imágenes en el repositorio que contienen la amenaza de seguridad detectada
- Para todas las imágenes donde se haya detectado, o se detectará, esta amenaza de seguridad
- Especifique el período después del cual debe reconsiderarse la amenaza de seguridad al determinar el estado de seguridad de la imagen.
- Detalle la razón para aceptar el riesgo.
- Elija el alcance de la aceptación de riesgos:
- Haga clic en el botón Accept.
La amenaza elegida no afecta al estado de seguridad de la imagen especificada, las imágenes en el repositorio o todas las imágenes durante el período establecido (o un período ilimitado).
En la sección Policies → Risk acceptance, puede visualizar un riesgo aceptado.
Para aceptar el riesgo de una vulnerabilidad detectada:
- Haga clic en el ID del registro de la vulnerabilidad en una de las siguientes secciones:
- En la pestaña Vulnerabilities, en la ventana de resultados de los análisis de imágenes.
- En la sección Investigation → Vulnerabilities.
- En la barra lateral que se abre, vaya a la pestaña Risk acceptance.
Podrá ver la pestaña Risk acceptance si tiene derechos para visualizar riesgos aceptados.
- Haga clic en el botón Add risk acceptance.
- En la ventana que se abre, defina los parámetros de aceptación de riesgos:
- Elija el alcance de la aceptación de riesgos:
- Para el artefacto elegido (imagen u objeto de CI/CD)
- Para el repositorio que contiene el objeto con la vulnerabilidad detectada
- Para los artefactos donde se detectó la vulnerabilidad
- Para todos los artefactos, incluidos aquellos que la solución podría encontrar en análisis posteriores
Se asume el riesgo sin importar el alcance.
- Detalle un período de entre 1-999 días después del cual se revocará la aceptación del riesgo de dicha vulnerabilidad. De forma predeterminada, el período es de 30 días.
- Detalle la razón para aceptar el riesgo.
- Elija el alcance de la aceptación de riesgos:
- Haga clic en el botón Add.
En la pestaña Risk acceptance, verá el riesgo aceptado de la vulnerabilidad. También puede visualizarlo en la sección Policies → Accepted risks.