ハイブリッド分析のベスト・プラクティス
ただし、テスト・アプローチは非常に異なるため、相関率は比較的低くなる可能性があります。以下の表に示すように、各分析タイプの課題および長所は異なります。
動的分析 | 静的分析 |
---|---|
認識 | 過剰推量 |
コード・カバレッジ | コード/パス・カバレッジ |
ソース・フリー | 特定のコードに制限 |
HTTP の認識のみ | HTTP の検証にとどまらない |
マルチ・コンポーネント・サポート | 言語/フレームワークごとのサポート |
デプロイされたアプリケーションが必要 | アプリケーションのデプロイは不要 |
ほとんど前提条件がない | 部分的なアプリケーションをサポート |
リモート・アタッカーとして動作 | 統合/デプロイメントの問題 |
相関結果を最適化するには、以下のようにします。
- SAST で検出された問題を事前にフィルタリングして、最も高い重大度設定の確定、要確認の問題に絞り込む。
- 部分的な評価を保存するか、AppScan® Enterprise に公開する前にフィルターが自動的に適用されるように構成する。
- DAST では、必ず、アプリケーションのできるだけ多くの部分を探査し、またそのアプリケーションにとって妥当な、最も包括的なセキュリティー・テスト・ポリシーを使用する。
- 必ず、両方のアプローチで同じバージョンの Web アプリケーションを分析する。