テスト・オプション

追加のテスト・オプション。

このビューでは、スキャンの長さおよび完成度に影響を与えるさまざまな設定を構成できます。ただし、大抵の場合、デフォルトの設定で十分です。
注: スキャンの後にテスト・オプションを変更する場合、すべての変更を既存の結果に適用できるわけではないため、再スキャンするようにプロンプトが出されることがあります。

設定

詳細

全般

最適化されたテストを使用する

AppScan は何千ものテストをサイトに送信できます。ただし、スキャン時間を削減するために、送信すべきテストと省くことができるテストを賢明に判断する事前テストを送信できます。これが「最適化されたテスト」で、効率を犠牲にせずに、スキャン時間を大幅に削減することができます。

AppScan®すべての テストをサイトに送信させる場合は、このチェック・ボックスのチェックを外します。

マルチフェーズ・スキャンを許可する

AppScan は、ご使用のアプリケーションに送信するテストに対する応答を分析します。この分析により、AppScan® はしばしば、スキャンの最初の「フェーズ」では見えなかったリンクなどの、追加内容を発見します。マルチフェーズ・スキャンによって、AppScan はこの新規に検出された内容に対して探査およびテスト・ステージを繰り返すことができます。(追加フェーズには新規リンクのみ含まれるため、通常は短くなります。)

デフォルトで、マルチフェーズ・スキャンは最大 4 つのスキャン・フェーズを許可するように構成されます。

マルチフェーズ・スキャンは、フル・スキャンを実行する場合のみ適用されることに注意してください。「探査のみ」または「テストのみ」機能を使用する場合、結果は単一フェーズ・スキャンになります。

特定のテスト・スコープを超える問題のテスト応答を分析する

選択した場合、AppScan® は、テスト対象として指定された問題に加えて、追加のセキュリティー問題に対するそれぞれのテスト応答の分析を行います。アプリケーションが非常に大きいか、またはスキャンにより大量の誤検出の結果が生成される場合には、このオプションを選択解除します。

特定のテスト・スコープを超える問題のすべてのバリアントを含める

(前のチェック・ボックスが選択されている場合にのみアクティブ)選択した場合、AppScan では、テスト対象の特定の問題に加え各問題のすべてのバリアントが分析されます。選択解除すると、1 つの問題につき 1 つのバリアントのみが分析されます。このチェック・ボックスを選択することは通常は不要であり、選択するとスキャン時間が大幅に増える可能性があります。

フォームの処理要求でのみ Cookie のセキュリティーに関する問題をテストする

このオプションを選択すると (デフォルト)、フォームの処理要求で使用される Cookie についてのみ、Cookie に関連するテストの実行依頼が AppScan によって送信されます。精度を上げるには (ただし、スキャン時間は長くなります)、このチェック・ボックスを選択解除します。AppScan® はすべての関連する HTTP 要求に対して Cookie テストの実行を依頼します。

脆弱なコンポーネントのレポート

コード内のサード・パーティー・コンポーネントは、探査のステージ中に識別され、「データ」ビューに表示されます。

このオプションを選択すると (デフォルト)、AppScan は「問題」ビューのこれらのコンポーネントの既知の脆弱性を報告し、更新を提案します。詳しくは、『Components』を参照してください。

AppScan が脆弱なコンポーネントのデータベースの最新バージョンを使用することを確実にするには、最新の更新プログラムをダウンロードし、「ツール」 > 「オプション」の「インポート・ファイル」オプションを使用してインポートします。詳細については、「インポート・ファイル」セクションを参照してください。

ログイン/ログアウト・テスト

ログイン・ページへのテストの送信

ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan® によって変更されない限り、AppScan がログイン・ページのテストを行えるようにすることをお勧めします。

ログイン・ページのテスト中は、セッション ID を送信しない

(前のチェック・ボックスが選択されている場合にのみアクティブ)ログイン・ページをテストする場合、セッション ID によってテストの成功が制限される可能性があるため、このチェック・ボックスは選択したままにしておくことをお勧めします。ログイン・ページをテストするのに有効なセッション・トークンが必要であることが確実な場合にのみ、このチェック・ボックスを選択解除します。

このチェック・ボックスが選択されている場合でも、誤検出結果を防ぐために一部のテストは引き続きセッション ID 付きで送信されるので注意してください。

ログアウト・ページへのテストの送信

ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan® によって変更されない限り、AppScan がログイン・ページとログアウト・ページのテストを行えるようにすることをお勧めします。

非脆弱

非脆弱情報の保存

スキャン中に、AppScan は何千ものテスト・バリアントを、テスト中のサイトに送信します。これらの多くに対する応答は、どのような種類のセキュリティー上の脅威ももたらされないことを示し、デフォルトで AppScan® は「脆弱でなかった」すべての結果を廃棄するので、結果データのボリュームが大幅に削減されます。

このチェックボックスを選択すると、AppScan はすべての非脆弱を保存します。このオプションを選択すると、AppScan® のパフォーマンスが低下し、必要なディスク領域が大幅に増加する可能性があることを示す警告が表示されます。

詳しくは、次を参照してください。 非脆弱

問題管理

以前のノイズ分類をこのスキャンに適用

以前にスキャンで 1 つ以上の問題が「ノイズ」として識別された場合 (アプリケーションと関連がないことを示します)、このチェック・ボックスのチェックを外さない限り、システムは自動的に後続のスキャンに同じ設定を適用します。

詳しくは、次を参照してください。 問題の状態: 未解決またはノイズ