Stratégie de test et optimisation

Définissez la collection de tests qui seront envoyés à l'application pendant le test, la stratégie de test, et appliquez l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit lorsque la vitesse est plus importante pour vous que la profondeur de l'examen.

Stratégie de test

Nombre de test AppScan possibles pour qu'un site puisse atteindre les milliers. Plutôt que de filtrer manuellement un grand nombre de tests et de variantes de test, vous pouvez définir une "stratégie" pour le type de test que vous souhaitez exécuter sur votre application.

La zone Stratégie de test affiche la stratégie en cours pour l'examen. Cliquer sur Editer pour effectuer les actions suivantes :

Afficher les détails sur la stratégie
Editer la stratégie pour créer une stratégie de test définie par l'utilisateur qui vous est propre
Choisir une autre stratégie prédéfinie ou une stratégie définie par l'utilisateur enregistrée précédemment

Dans la boîte de dialogue qui s'affiche, les tests sont groupés et répertoriés dans la partie supérieure des deux panneaux. Les suggestions Comment résoudre le problème du test sélectionné apparaissent dans le panneau inférieur.

Conseil : Si vous appliquez l'optimisation du test à la configuration, certaines vulnérabilités de la stratégie sélectionnée peuvent ne pas être testées. Par conséquent, si vous avez sélectionné la stratégie de test "Complète" et souhaitez que tous ses tests soient envoyés, vous devez définir l'optimisation sur Pas d'optimisation.


Zone/Panneau/Option	Détails
Stratégie de test	Affiche le nom de la stratégie de test en cours. Les tests sont groupés et répertoriés dans le panneau supérieur. Les informations Comment résoudre le problème du test sélectionné apparaissent dans le panneau inférieur.
Méthode de regroupement	Utilisez la liste déroulante pour sélectionner une méthode de regroupement pour les tests dans le panneau supérieur.
Rechercher	Si vous entrez du texte dans la zone de recherche, seuls les tests contenant la chaîne recherchée s'afficheront. La liste déroulante Loupe vous permet de définir si vous devez rechercher la chaîne dans toutes les zones de test ou uniquement dans certaines zones (par exemple, Nom du test ou ID CVE).
Exporter	Cliquez pour sauvegarder la stratégie de test en cours afin de pouvoir la charger ultérieurement.
Importer	Cliquez pour charger une stratégie de texte prédéfinie ou définie par l'utilisateur (voir Importer une stratégie de test).
Description de règle	Le panneau supérieur droit affiche la description de la stratégie en cours. Pour les stratégies définies par l'utilisateur, cette zone peut être éditée.
Panneau Test	Le panneau principal supérieur répertorie tous les tests AppScan® qui répondent aux critères de filtre/recherche. Pour chaque test, les informations suivantes sont affichées : Nom, ID variante, ID CVE, ID CWE, niveau de gravité attribué au problème (et s'il est attribué par CVSS ou l'utilisateur), XFID (ID X-Force), type, invasivité et classification des menaces. Vous pouvez Trier des tests en fonction de certaines de ces zones en cliquant sur l'en-tête de colonne. Les tests dont la case à cocher est sélectionnée sont inclus dans la stratégie en cours. Vous pouvez modifier la stratégie en sélectionnant/désélectionnant des tests (voir Editer une stratégie de test).
Mettre à jour un lien de paramètres	Ce lien ouvre une boîte de dialogue qui permet de définir les types de test pouvant être ajoutés à cette stratégie lorsque de nouveaux tests sont ajoutés à la base de données. Pour plus de détails, voir Paramètres de mise à jour de stratégie de test
Onglet Comment résoudre le problème	Le panneau principal inférieur indique les détails de la résolution du problème, y compris les informations spécifiques au code, le cas échéant.
Fichiers de stratégies	Chargez une stratégie de test existante en cliquant sur Stratégies récentes ou Stratégies prédéfinies, ou en cliquant sur Parcourir… et en accédant à la stratégie requise.

Optimisation du test

L'option Optimisation du test utilise les filtres de test intelligents de AppScan pour obtenir des examens plus rapides, lorsque la rapidité est nécessaire, avec une perte minimale de la couverture des problèmes. Vous choisissez entre quatre niveaux d'optimisation en fonction de vos besoins.

A full regular AppScan Standard scan typically sends thousands of tests and may take hours, in some cases days, to complete. Au cours des premières étapes de développement, ou pour avoir une évaluation globale rapide du contexte de sécurité actuel de votre produit, vous pouvez utiliser Optimisation du test pour obtenir les résultats requis dans un délai plus court, en optant pour un compromis entre rapidité et couverture des problèmes. On compte trois niveaux d'optimisation. Le tableau ci-dessous montre quelques cas d'utilisation suggérés pour chaque niveau.

Nos filtres de test intelligents s'appuient sur l'analyse statistique et filtrent certains tests (ou même des variantes de test spécifiques) pour générer un examen plus court qui identifie uniquement les vulnérabilités les plus fréquentes, graves et importantes. Les groupes de correctif et les correctifs iFixes AppScan permettent de vous maintenir à jour grâce aux filtres d'optimisation les plus récents. Grâce à l'option Optimisation du test, vous pouvez réduire considérablement la durée de l'examen, lorsque vous accordez davantage d'importance à la vitesse qu'à la profondeur de l'examen.

L'option Optimisation du test s'applique à toutes les stratégies de test que vous sélectionnez pour l'examen, de sorte que les stratégies de test ne sont pas toutes envoyées. Veuillez noter que les paramètres d'optimisation ne changent en rien la Phase d'exploration. Seule l'étape de test (plus longue) peut être considérablement réduite.


Paramètre	Couverture des vulnérabilités*	Rapidité de l'étape de test	Utilisation suggérée
Pas d'optimisation	Maximum	Examen pleine longueur (selon la configuration)	Pour les experts en sécurité, avant les sorties majeures, les tests de conformité et les valeurs de référence, lorsqu'un examen plus long n'interrompra pas votre flux de travaux de développement. Cette configuration des paramètres teste tous les problèmes de la stratégie de test sélectionnée.
Rapide (par défaut)	~97 %	Jusqu'à deux fois plus rapide	Pour les experts en sécurité, pour leurs examens plus fréquents.
Plus rapide	~85 %	Jusqu'à cinq fois plus rapide	Pour les DevSecOps, pendant l'évaluation continue.
Rapide	~70 %	Jusqu'à dix fois plus rapide	Pour Dev et QA, pendant l'évaluation initiale.

*Par rapport à un examen équivalent, non optimisé, et s'applique aux vulnérabilités actuelles, non aux problèmes informatifs.

Important : Les valeurs indiquées dans le tableau ci-dessous sont des estimations basées sur certaines applications classiques. Cependant, la réduction actuelle du temps d'examen et l'étendue de la couverture des problèmes varieront en fonction de votre application spécifique.

Conseil : Si l'optimisation est appliquée, certaines vulnérabilités de la stratégie de test que vous avez définie peuvent ne pas être testées. Par conséquent, si vous utilisez la stratégie de test "Complète" et souhaitez que tous ses tests soient envoyés, vous devez désactiver l'option Optimisation du test en sélectionnant Pas d'optimisation.

Voir aussi : Compréhension de l'option Optimisation du test