ハイブリッド分析のベスト・プラクティス

ただし、テスト・アプローチは非常に異なるため、相関率は比較的低くなる可能性があります。以下の表に示すように、各分析タイプの課題および長所は異なります。

太字のテキストは、長所を示しています。

動的分析静的分析
認識 過剰推量
コード・カバレッジコード/パス・カバレッジ
ソース・フリー 特定のコードに制限
HTTP の認識のみHTTP の検証にとどまらない
マルチ・コンポーネント・サポート言語/フレームワークごとのサポート
デプロイされたアプリケーションが必要 アプリケーションのデプロイは不要
ほとんど前提条件がない部分的なアプリケーションをサポート
リモート・アタッカーとして動作統合/デプロイメントの問題
相関結果を最適化するには、以下のようにします。
  1. SAST で検出された問題を事前にフィルタリングして、最も高い重大度設定の確定、要確認の問題に絞り込む。
  2. 部分的な評価を保存するか、AppScan® Enterprise に公開する前にフィルターが自動的に適用されるように構成する。
  3. DAST では、必ず、アプリケーションのできるだけ多くの部分を探査し、またそのアプリケーションにとって妥当な、最も包括的なセキュリティー・テスト・ポリシーを使用する。
  4. 必ず、両方のアプローチで同じバージョンの Web アプリケーションを分析する。