AppScan Enterprise でのスキャン・プロパティーを使用したセキュリティー・スキャンの構成
セキュリティー・スキャンを、ステージング・サーバーまたは品質保証サーバーなど、 実動前環境で実行する必要があります。これを行うことによって、セキュリティー・スキャン実行に関連するリスクを 含めることに役立ちます。実動前環境は、可能な限り実稼働環境と同じである必要があります。アプリケーションは、両方の環境に同じ実行可能ファイルを保有する必要があり、これによって公開済みアプリケーションを完全にテストできます。また、セキュリティー・スキャンは、ソフトウェア開発ライフサイクル (SDLC) のプロセスに統合する必要があります。これによって、実稼働環境で発生する前にセキュリティーの問題を把握することができます。
始める前に
- アプリケーションが開発環境またはテスト環境に存在していることを確認します。
- アプリケーションの所有者 (開発者または QA) とともに、アプリケーションをスキャンするための時間枠を設定します。アプリケーションは、AppScan® Enterprise Server でスキャンする間、安定して稼働している必要があります。スキャン中は、アプリケーションに対していかなる変更も加えないでください。
- マニュアル探査を行うのか自動クロールを実行するのかを前もって決定します。
- マニュアル探査では、テストするスキャン対象の正確な URL をユーザーが構成内で指示します (スキャンが自動的にクロールして新規 URL を検出することはありません)。アプリケーションをナビゲートするために多くのユーザー対話が必要な Web アプリケーションの場合、またはアプリケーションの特定のエリアのみをテストしたい場合には、この方法を使用します。
- 自動クロールでは、Web アプリケーションでのテスト対象となる URL がより多く自動的に発見されるように、スキャンを構成します。多くの静的リンクがあって多数のユーザー対話を必要としないアプリケーションでは、この方法を使用します。