测试优化
通过“配置”对话框的“测试优化”视图,您可以利用我们正在进行的统计分析来加快扫描速度。
全面的常规扫描通常会发送数千个测试,并且可能需要数小时(在某些情况下甚至几天)才能完成。在开发的早期阶段,或者为了快速对产品的当前安全态势进行整体评估,您可以使用测试优化来在较短时间内获得所需结果,方法是在速度和问题覆盖范围之间取得平衡。优化分为三个级别,下表所示为每个级别的一些建议用例。
我们的智能测试过滤器基于统计分析,并过滤掉某些测试(甚至特定的测试变体),以缩短扫描时间,仅识别出更常见、更严重以及其他重要的漏洞。ADAC 修订包和 ifix 使您可以随时了解最新的优化过滤器。与全面的深度扫描相比,在快速结果对您而言更为重要的情况下,使用测试优化可以大大缩短整体扫描时间。
测试优化适用于为扫描所选择的任意测试策略,因此策略中的测试并非全部发送。注意,优化设置对探索阶段并无影响,它属于可大幅缩减的(较长的)测试阶段。
| 设置 | 漏洞覆盖范围* | 测试阶段速度 | 建议使用 |
|---|---|---|---|
| 不进行优化 | 最大值 | 全长度扫描(配置) | 供安全专家在重要发布、合规性测试和基准设定之前使用,此时,较长的扫描不会中断开发工作流程。使用该设置测试所选测试策略中的所有问题。 |
| 快速(缺省) | ~97% | 速度高达两倍 | 供安全专家用于频次更高的扫描。 |
| 较快 | ~85% | 速度高达五倍 | 供 DevSecOps 在持续评估期间使用。 |
| 最快 | ~70% | 速度高达十倍 | 供 Dev 和 QA 在初始评估期间使用。 |
重要: 上表所示的值是基于一些典型应用程序的估计值,但扫描时间和问题覆盖范围的实际减少将因特定应用程序而异。
提示: 如果应用优化,在作业属性中设置的测试策略中的一些漏洞可能不会得到测试。因此,如果您使用的是“完整”的测试策略,并希望发送其所有测试,应该通过选择不优化禁用测试优化。