混合式分析的最佳實務
因為測試方法之間有很大的不同,而相關性百分比則相對地較低。各種分析類型的挑戰和強項都有所不同,如本表所述。
| 動態分析 | 靜態分析 |
|---|---|
| 感知 | 近似值 |
| 程式碼涵蓋面 | 程式碼/路徑涵蓋面 |
| 不需原始碼 | 限用於給定程式碼 |
| 僅 HTTP 感知 | 超過 HTTP 驗證 |
| 多元件支援 | 依語言/架構提供支援 |
| 需要部署應用程式 | 不需部署應用程式 |
| 必備項目較少 | 支援局部應用程式 |
| 以遠端攻擊者形式運作 | 整合/部署問題 |
如果要取得最佳相關性結果:
- 預先過濾 SAST 問題,達到「明訂,可疑」問題的最高嚴重性設定。
- 在您發佈至 AppScan® Enterprise 前儲存局部評量或配置過濾器以自動套用。
- 使用 DAST 來確保您盡可能地探索了大部分的應用程式,並使用了最完整且適合應用程式的安全測試原則。
- 確定您以這兩種方法分析了相同版本的 Web 應用程式。