Комментарии 3
Есть вопрос по поводу defectdojo, (возможно я просто не знаю как правильно его использовать):
Имеются отчёты от zap scan, которые проводятся раз в неделю. Благодаря интеграции, их можно загрузить в defectdojo, но при загрузке предлагается указывать дату сканирования и получается целая куча отчётов, которые между собой никак не связаны.
Можно ли их как то агрегировать и удалить дублирующиеся дефекты, и делать "аналитику", что то "было-стало" за выбранный промежуток времени?
Спасибо заранее!
Приветствую.
Можно настроить дедупликацию в рамках продукта или в рамках engagement'a ( в зависимости от того как вам удобнее). Это описано вот тут.
Тип дедупликации можно выбрать при импорте результатов сканирования через API (есть несколько булеан параметров), в настройках самого продукта или в настройках DD.
По аналитике могу подсказать только дашборд внутри самого продукта. Там небольшая аналитика по всем уязвимостям за всю историю продукта.
Обзор инструмента DefectDojo: почему его выбирают?