測試原則和最佳化
定義將在測試期間傳送至應用程式的測試集合;測試原則,以及在速度對您而言比掃描深度更為重要時,在產品生命週期中,有時會套用最佳化以進行更快速的掃描。
測試原則
網站所可能有的 AppScan 測試數目可以達到數千個。您可以設定想要在應用程式上執行之測試類型的「原則」,而不需要手動過濾大量的測試和測試變式。
「測試原則」區域會顯示掃描的現行原則。按一下編輯,以:
- 檢視原則的詳細資料
- 編輯原則來建立您自己的使用者定義測試原則
- 選擇不同的預先定義原則,或先前儲存的使用者定義原則
在開啟的對話框中,測試會在兩個窗格的上方窗格中分組並列出。所選取測試的如何修正建議會出現在下方窗格中。
欄位/窗格/選項 |
詳細資料 |
|---|---|
測試原則 |
顯示現行「測試原則」的名稱。測試會在兩個窗格的上方窗格中分組並列出。所選測試的「如何修正」資訊會出現在下方窗格中。 |
分組方法 |
使用下拉清單來選取在上方窗格中的測試分組方法。 |
搜尋 |
在「搜尋」欄位中輸入文字,將只顯示包含搜尋字串的測試。「放大鏡」下拉清單可讓您定義是否要尋找在所有測試欄位或僅特定欄位(例如「測試名稱」或 CVE ID)中的字串。 |
匯出 |
按一下這個選項,會儲存現行「測試原則」,供您在其他時機載入。 |
匯入 |
按一下以載入預先定義或使用者定義的「測試原則」(請參閱匯入測試原則)。 |
原則說明 |
右上方窗格顯示現行原則的說明。對於使用者定義的原則,可以編輯這個欄位。 |
測試窗格 |
上方主要窗格列出符合過濾/搜尋準則的所有 AppScan® 測試。會針對每一個測試列出下列資訊:名稱、變式 ID、CVE ID、CWE ID、指派給問題的嚴重性(無論嚴重性為 CVSS 還是使用者指派)、XFID (X-Force ID)、類型、侵入性及威脅分類。您可以按一下直欄標頭,依這些欄位中的部分欄位來排序測試。 選取了勾選框的測試會併入現行原則中。您可以選取/取消選取測試來編輯原則(請參閱編輯測試原則)。 |
「更新設定」鏈結 |
這個鏈結會開啟一個對話框,供您定義在新測試加到資料庫時,能夠加到這個原則的測試類型。 如需詳細資料,請參閱測試原則更新設定 |
「如何修正」分頁 |
下方主窗格會顯示如何修正問題的詳細資料,包括可用的程式碼特定資訊。 |
原則檔 |
按一下最近的原則或預先定義的原則,或按一下瀏覽...,然後瀏覽至所需要的原則,以載入現有的「測試原則」。 |
測試最佳化
「測試最佳化」會使用 AppScan 的智慧型測試過濾,以在需要速度時實現更快的掃描,並將問題涵蓋範圍的損失降至最低。您可以在四種最佳化層次之間進行選擇,取決於您的需求。
完整一般 AppScan Standard 掃描通常會傳送數千個測試並且耗費數小時,有些情況下甚至要數天才能完成。在早期開發階段期間,或是針對您的產品目前的安全性狀態進行快速整體評估時,您可以使用「測試最佳化」,以在較短的時間範圍內取得您需要的結果,方法是在速度與問題涵蓋面之間選擇平衡。有三種層次的最佳化,而且下表顯示一些針對每一種層次建議的使用案例。
我們的智慧型測試過濾器是以統計分析的基礎,並過濾掉特定測試(甚至是特定測試變式)以產生簡短掃描,僅識別更為常見、嚴重或者重要的漏洞。AppScan 修正套件和 iFix 可讓您保持使用最新的最佳化過濾器。使用「測試最佳化」,在比起徹底、深度掃描,更需要快速結果時,可大幅減少整體掃描時間。
「測試最佳化」會套用至您針對掃描選取的任何「測試原則」,因此並不會傳送原則中的所有測試。請注意,最佳化設定不會對「探索」階段產生任何差異,它是可以大幅縮短的(更長)「測試」階段。
| 設定 | 漏洞涵蓋範圍* | 測試階段速度 | 建議使用 |
|---|---|---|---|
| 不最佳化 | 最長 | 完整長度掃描(如同配置) | 對於安全專家,指的是主要版本釋出、相符性測試及基準性能測試之前,此時更長的掃描將不會中斷您的開發工作流程。啟用這項設定後,系統會測試所選取「測試原則」中的所有問題。 |
| 快速(預設) | (97) | 高達兩倍快速 | 對於安全專家,進行更頻繁的掃描。 |
| 快 | =85" | 高達五倍快速 | 對於 DevSecOps,在持續評估期間。 |
| 最快 | ~70% | 速度高達十倍 | 對於 Dev 及 QA,在初始評估期間。 |
另請參閱: 瞭解測試最佳化