Meilleures pratiques pour l'analyse hybride
Les approches de test étant très différentes, le pourcentage de corrélation peut être relativement faible. Les avantages et les inconvénients de chaque type d'analyse diffèrent, comme indiqué dans ce tableau.
Analyse dynamique | Analyse statique |
---|---|
Découverte | Sur-approximation |
Couverture de code | Couverture de code/chemin |
Non lié au code source | Limité au code donné |
Découverte HTTP uniquement | Autre chose que des validations HTTP |
Prise en charge multicomposant | Prise en charge par langue/infrastructure |
Requiert l'application déployée | Pas besoin de déployer l'application |
Quelques conditions prérequises | Prise en charge partielle d'applications |
Fonctionne en tant que cyber-attaquant distant | Problèmes d'intégration/déploiement |
Pour de meilleurs résultats de corrélation :
- Effectuez un pré-filtrage sur les problèmes SAST au niveau de gravité le plus haut pour les problèmes définitifs, suspects.
- Enregistrez une évaluation partielle ou configurez le filtre à appliquer automatiquement avant de procéder à la publication dans AppScan® Enterprise.
- Avec l'outil DAST, veillez à explorer l'application de la manière la plus exhaustive possible et utilisez la stratégie de test de sécurité la plus complète qui a du sens pour l'application.
- Veillez à analyser la même version de l'application Web selon les deux approches.