テスト・ポリシーの編集

「テスト・ポリシー」ビューを使用すると、選択されたテスト・ポリシーを微調整できます。

このタスクについて

テストの追加または削除によって現在のテスト・ポリシーを微調整できます。また、変更された構成をユーザー定義のテスト・ポリシーとして将来に使用できるようにエクスポートすることも可能です。

手順

  1. 「スキャン構成」ダイアログ・ボックスで、「テスト・ポリシー」(または「スキャン構成ウィザード」>「テスト・ポリシー」) をクリックします。

    上部の領域ではすべての AppScan® テストがリストされており、どれが現在のスキャンに含まれているかが示されます (チェック・ボックスが選択されている)。

  2. チェック・ボックスを選択/選択解除することで、テストまたはバリアントの組み込み/除外を行います。(個々のバリアントを表示するには、「テスト名」の横の + アイコンをクリックします。)
    注: テストごとに、名前、バリアント ID、 CVE ID、 CWE ID、問題に割り当てられた重大度 (およびその重大度が CVSS かユーザー割り当てによるものか)、タイプ、安全性、WASC 脅威の分類、および XFID (X-Force ID) の各情報がリストされます。列ヘッダーをクリックすることで、これらのフィールドのいずれかによりテストをソートできます。
    注: 検索機能により、フリー・テキスト検索を使用してテストを検索できます。
  3. ダイアログの右上の情報フィールドで、説明を編集することができます。
  4. AppScan のテスト・データベースには、新規テストが継続的に追加されています。デフォルトでは、安全性のテストを除くすべての新規テストが、すべてのユーザー定義テスト・ポリシーに追加されます。ただし、ポリシー内のどのグループを更新するかを定義することができます。「更新設定」をクリックし、必要に応じて「テスト・ポリシー更新設定」ダイアログ・ボックスのチェック・ボックスを選択/選択解除してから、「OK」をクリックします。


    ダイアログ・ボックスには「テスト・タイプ」、「テストの安全性」、および「テストの重大度」の 3 つのグループが存在します。3 つのグループすべての中の 選択したカテゴリーに属するテストだけが、新規テストが AppScan のテスト・データベースに追加されるときに、現在のポリシーに追加されます。以下に例を示します。例えば、重大度には「高」を選択したが、「安全でないテスト」は選択解除した場合、更新が入手可能になったときに、重大度が高くて安全でないテストはこのポリシーに追加されません

  5. オプションで、スキャンに名前を付け、将来の使用のために保存することができます (「エクスポート」をクリックし、.policy フォーマットで保存します)。
  6. 「OK」をクリックして、変更を現在のテスト・ポリシーに保存します。