Stratégies de test de sécurité

Une stratégie de test de sécurité est un ensemble de tests de sécurité prédéfini. Un groupe de serveurs et une stratégie de test doivent être affectés aux utilisateurs avant que ces derniers ne puissent effectuer des examens de sécurité.

Les administrateurs n'ont pas besoin de recevoir l'accès explicite à une stratégie de test ou d'être affectés à un groupe de serveurs. Deux types de stratégie de test sont disponibles :

  • Une stratégie Simple security test policy définit les tests à un haut niveau. Vous pouvez créer et éditer des stratégies de test simples dans AppScan® Enterprise Server et les attribuer à des groupes de serveurs.
  • Une stratégie Advanced security test policy définit les tests à un niveau plus granulaire. Vous pouvez importer des stratégies de test avancées à partir d'AppScan® 7.7 (ou une version supérieure) et les attribuer à des groupes de serveurs, mais vous ne pouvez pas éditer leurs propriétés :
    • Application uniquement : Inclut tous les tests de niveau application, à l'exception des tests invasifs et d'écouteur de port.
    • Complet : Inclut tous les tests AppScan®.
    • Valeur par défaut : Inclut tous les tests, à l'exception des tests invasifs et d'écouteur de port.
    • Fondamentaux du développeur : Inclut une sélection de tests d'application présentant une forte probabilité de réussite. Utile pour évaluer un site si vous disposez de peu de temps.
    • Infrastructure uniquement : Inclut tous les tests de niveau infrastructure, à l'exception des tests invasifs et d'écouteur de port.
    • Invasif : Inclut tous les tests invasifs (tests susceptibles d'influer sur la stabilité du serveur).
    • Site de production : Exclut les tests invasifs susceptibles de dégrader le site ou les tests pouvant entraîner un refus de service aux autres utilisateurs.
    • Le minimum indispensable : Inclut une sélection de tests présentant une forte probabilité de réussite. Utile pour évaluer un site si vous disposez de peu de temps.
    • Tiers uniquement : Inclut tous les tests de niveau tiers, à l'exception des tests invasifs et d'écouteur de port.
    • Services Web : Inclut tous les tests associés à SOAP, à l'exception des tests invasifs et d'écouteur de port.

A partir AppScan Standard - FAQ

Quelles stratégies de test peuvent remplacer les stratégies de test Web Services, The Vital Few et Developers Essentials lorsqu'elles sont supprimées ?
  • Dans la version 10.0.5, il est annoncé que trois stratégies de test seraient supprimées dans une future édition. Les méthodes suivantes peuvent être utilisées pour obtenir des résultats similaires. Si vous utilisez ces stratégies, vous pouvez commencer à utiliser les alternatives suggérées.
    Stratégie en cours Alternatives suggérées
    Services Web Par défaut

    La stratégie de test par défaut couvre désormais les services Web, de sorte qu'une stratégie distincte n'est pas nécessaire.
    Le minimum indispensable Par défaut

    Utilisez la stratégie par défaut, ainsi que le paramètre Optimisation de test le plus rapide.
    Fondamentaux du développeur Par défaut

    Utilisez la stratégie Application uniquement avec l'un des paramètres Optimisation de test plus rapides.