テスト・ポリシー

テスト・ポリシーは、テスト中にアプリケーションに送信されるテストのコレクションです。ASoC ユーザー・インターフェースからスキャンを実行するときは、定義済みのテスト・ポリシーから 1 つを選択できますが、インポートされたスキャンまたは API から実行されるスキャンには、ほかのポリシーを適用できます。

サイトで実施できる AppScan のテストの数は、数千に及ぶことがあります。大量のテストおよびテスト・バリアントを手動でフィルタリングするのではなく、アプリケーション上で実行するテストのタイプの「ポリシー」を設定できます。

テスト・ポリシーは、「DAST スキャンのセットアップ」で構成します。

事前定義テスト・ポリシー

ポリシー名

説明

完全

考えられるすべてのテストを含みます。

デフォルト

安全でないテストとポート・リスナー・テストを除くすべてのテストを含みます。

OWASP トップ 10 2021

OWASP によってマッピングされた最新の上位 10 の脆弱性カテゴリーのすべてのテストを含みます。

OWASP の上位 10 の API セキュリティー・リスク 2023

OWASP によってマッピングされた最新の上位 10 の API 脆弱性カテゴリーのすべてのテストを含みます。

実動サイト

サイトに損害を与える可能性がある安全でないテストや、他のユーザーに対するサービス妨害の原因となる可能性があるテストを除外します。

ヒント: スキャン設定に「テストの最適化」を適用すると、選択されているポリシーの脆弱性の一部はテストされない場合があります。したがって、「完全」テスト・ポリシーを選択して、そのすべてのテストを送信する場合は、「テストの最適化」「最適化なし」に設定する必要があります。

以下も参照してください。テスト最適化 FAQ