混合分析的最佳做法
但因为测试方法各有不同,所以相关百分比可能相对较低。每类分析的挑战和优点均不同,如下表中所述。
| 动态分析 | 静态分析 |
|---|---|
| 认知度 | 超过近似值 |
| 代码覆盖范围 | 代码/路径覆盖范围 |
| 无源 | 仅限于给定代码 |
| 仅 HTTP 认知度 | 大于 HTTP 验证数 |
| 多组件支持 | 按语言/框架提供支持 |
| 需要已部署的应用程序 | 无需部署应用程序 |
| 较少先决条件 | 支持部分应用程序 |
| 以远程攻击者身份发挥作用 | 集成/部署问题 |
对于最佳相关规则:
- 对 SAST 问题进行预过滤以对确定可疑问题施以最高严重性设置。
- 在发布到 AppScan® Enterprise 之前保存部分评估或配置要自动应用的过滤器。
- 通过 DAST,确保尽可能的探索应用程序,并使用对应用程序有意义的最完善的安全测试策略。
- 确保用两种方法分析相同版本的 Web 应用程序。