テスト・ポリシー
テスト・ポリシーとは、Web アプリケーションのセキュリティー・スキャン設定のリストのことです。ASoC ユーザー・インターフェースからスキャンを実行するときは、定義済みのテスト・ポリシーから 1 つを選択できますが、インポートされたスキャンまたは API から実行されるスキャンには、ほかのポリシーを適用できます。AppScan Standard と AppScan Enterprise で作成したカスタム・テスト・ポリシーをアップロードすることもできます。
サイトで実施できる AppScan のテストの数は、数千に及ぶことがあります。大量のテストおよびテスト・バリアントを手動でフィルタリングするのではなく、アプリケーション上で実行するテストのタイプの「ポリシー」を設定できます。
テスト・ポリシーは、「DAST スキャンのセットアップ」で構成します。
事前定義テスト・ポリシー
|
ポリシー名 |
説明 |
|---|---|
|
完全 |
考えられるすべてのテストを含みます。 |
|
デフォルト |
安全でないテストとポート・リスナー・テストを除くすべてのテストを含みます。 |
|
OWASP トップ 10 2021 |
OWASP によってマッピングされた最新の上位 10 の脆弱性カテゴリーのすべてのテストを含みます。 |
|
OWASP の上位 10 の API セキュリティー・リスク 2023 |
OWASP によってマッピングされた最新の上位 10 の API 脆弱性カテゴリーのすべてのテストを含みます。 |
|
実動サイト |
サイトに損害を与える可能性がある安全でないテストや、他のユーザーに対するサービス妨害の原因となる可能性があるテストを除外します。 |
テスト・ポリシーの追加
AppScan Standard と AppScan Enterprise を使用して作成したカスタム・テスト・ポリシーを追加できるようになりました。
- 「テスト・ポリシー」ページで、「テスト・ポリシーの追加」をクリックします。
- テスト・ポリシー名を入力し、必要に応じて説明を追加します。
- 「ファイルの選択」をクリックし、ポリシー・ファイルを参照して開きます。
- 必要に応じて、このポリシーをデフォルトのテスト・ポリシーとして設定できます。
- 「保存」をクリックします。
カスタム・テスト・ポリシーが追加されるので、「DAST スキャンのセットアップ」中にこのポリシーを使用できます。
以下も参照してください。テスト最適化 FAQ