テスト・オプション
「構成」ダイアログ・ボックスの「テスト・オプション」ビューです。
このビューでは、スキャンの長さおよび完成度に影響を与えるさまざまな設定を構成できます。ただし、大抵の場合、デフォルトの設定で十分です。
設定 |
詳細 |
---|---|
テストオプション: |
|
最適化されたテストを行います (Use Adaptive Testing) |
AppScan® は何千ものテストをサイトに送信できます。ただし、スキャン時間を削減するために、送信すべきテストと省くことができるテストを賢明に判断する事前テストを送信できます。これが「適合テスト」で、効率を犠牲にせずに、スキャン時間を大幅に削減することができます。 AppScan® にすべての テストをサイトに送信させる場合は、このチェック・ボックスのチェックを外します。 |
マルチフェーズ・スキャンを許可する |
AppScan® は、ご使用のアプリケーションに送信するテストに対する応答を分析します。この分析により、AppScan® はしばしば、スキャンの最初の「フェーズ」では見えなかったリンクなどの、追加内容を発見します。マルチフェーズ・スキャンによって、AppScan® はこの新規に検出された内容に対して探査およびテスト・ステージを繰り返すことができます。(追加フェーズには新規リンクのみ含まれるため、通常は短くなります。) デフォルトで、マルチフェーズ・スキャンは最大 4 つのスキャン・フェーズを許可するように構成されます。 マルチフェーズ・スキャンは、フル・スキャンを実行する場合のみ適用されることに注意してください。「探査のみ」または「テストのみ」機能を使用する場合、結果は単一フェーズ・スキャンになります。 |
ログイン・ページへのテストの送信 |
ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan® によって変更されない限り、AppScan® がログイン・ページをテストできるようにすることをお勧めします。 |
ログイン・ページのテスト中は、セッション ID を送信しない |
「ログイン・ページへのテストの送信」チェックボックスが選択されている場合のみ有効です。ログイン・ページをテストする場合、セッション ID によってテストの成功が制限される可能性があるため、このチェック・ボックスは選択したままにしておくことをお勧めします。ログイン・ページをテストするのに有効なセッション・トークンが必要であることが確実な場合にのみ、このチェック・ボックスを選択解除します。 このチェックボックスが選択されている場合でも、誤検出結果を防ぐために一部のテストは引き続きセッション ID 付きで送信されるので注意してください。 |
ログアウト・ページへのテストの送信 |
ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan® によって変更されない限り、AppScan® がログアウト・ページをテストできるようにすることをお勧めします。 |
問題ごとに 1 つのバリアントのみを保存する | デフォルトでは、AppScan は、問題ごとに複数のバリアントをテストして、包括的な脆弱性検出を確保します。スキャン時間を最適化するには、問題の最初のバリアントが見つかるまで、AppScan をテストのみに制限するオプションを有効にできます。これによりスキャン時間が短縮されますが、異なるバリエーションを持つ一部の脆弱性が見つからない可能性があることに注意することが重要です。 |
特定のテスト・スコープを超える問題のテスト応答を分析する |
選択した場合、AppScan は、テスト対象の特定の問題に加えて、追加のセキュリティー問題に対するそれぞれのテスト応答の分析を行います。アプリケーションが非常に大きいか、またはスキャンにより大量の誤検出の結果が生成される場合には、このオプションを選択解除します。 |
特定のテスト・スコープを超える問題の 1 つのバリアントのみを分析する | デフォルトでは、AppScan は、より広範な問題タイプについて 1 つのバリアントのみを分析して、効率性を改善し、冗長性を回避します。より多くのバリアントを分析するには、このオプションの選択を解除しますが、そのようにするとスキャン時間が長くなることに注意してください。 「問題ごとに 1 つのバリアントのみを保存する」および「特定のテスト・スコープを超える問題のテスト応答を分析する」を選択した場合、このオプションはデフォルトで選択され、変更できません。 |
フォームの処理要求でのみ Cookie のセキュリティーに関する問題をテストする |
このオプションを選択すると (デフォルト)、フォームの処理要求で使用される Cookie についてのみ、Cookie に関連するテストの実行依頼が AppScan® によって送信されます。精度を上げるには (ただし、スキャン時間は長くなります)、このチェック・ボックスを選択解除します。AppScan® はすべての関連する HTTP 要求に対して Cookie テストを実行依頼します。 |
脆弱なコンポーネントのレポート |
コード内のサード・パーティー・コンポーネントは、探査のステージ中に識別され、「データ」ビューに表示されます。 このオプションを選択すると (デフォルト)、ADAC は「問題」ビューのこれらのコンポーネントの既知の脆弱性を報告し、更新を提案します。 |