セキュリティテストポリシー

セキュリティテストポリシーは、事前定義されたセキュリティテストのセットです。ユーザーがセキュリティスキャンを実行するには、サーバーグループとテストポリシーの両方が割り当てられている必要があります。

管理者は、テストポリシーへの明示的なアクセス権を付与される必要はなく、サーバーグループに割り当てられる必要もありません。利用可能なテストポリシーには2つのタイプがあります:
Standard exclusion:
完全テストポリシーを含むすべての事前定義されたテストポリシーは、デフォルトで以下のテストを除外します:

  • 古いテスト(古いCVEや古いサードパーティテストなど)

  • AppScanのパフォーマンスを低下させる可能性のある破壊的テスト(ポートリスナーテストなど)

  • シンプルセキュリティテストポリシーは、高レベルでテストを定義します。AppScan® Enterprise Serverでシンプルテストポリシーを作成および編集し、サーバーグループに割り当てることができます。
  • アドバンスドセキュリティテストポリシーは、より細かいレベルでテストを定義します。AppScan® 7.7(またはそれ以降)からアドバンスドテストポリシーをインポートしてサーバーグループに割り当てることができますが、そのプロパティを編集することはできません:
    • アプリケーションのみ:侵襲的テストを除くすべてのアプリケーションレベルテストを含みます。
    • 完全:すべてのテストを含みます。
    • デフォルト:侵襲的テスト(サーバーの安定性に影響するテスト)を除くすべてのテストを含みます。
    • Developer Essentials(非推奨):成功の可能性が高いアプリケーションテストの選択を含みます。これは、時間が限られている場合にサイトを評価するのに役立ちます。
    • インフラストラクチャのみ:侵襲的テストを除くすべてのインフラストラクチャレベルテストを含みます。
    • 侵入的:サーバーの安定性に影響を与える可能性のあるすべての侵入的テスト(テスト)を含みます。
    • OWASP Top 10 - 2021:OWASPによってマッピングされた最新のトップ10脆弱性カテゴリに対するすべてのテストを含みます。
    • OWASP Top 10 API Security Risks - 2023:OWASPによってマッピングされた最新のトップ10 API脆弱性カテゴリに対するすべてのテストを含みます。
    • 本番サイト:サイトを損傷する可能性のある侵入的テスト、または他のユーザーにサービス拒否を引き起こす可能性のあるテストを除外します。
    • The Vital Few(非推奨):成功確率の高いテストの選択を含みます。時間が限られている場合のサイト評価に有用です。
    • サードパーティのみ:侵入的テストを除く、すべてのサードパーティレベルのテストを含みます。
    • Services Web(已過時):包括所有與 SOAP 相關的測試,但不包括侵入性測試。

非推奨テストポリシーの代替案

The Vital FewおよびDevelopers Essentialsテストポリシーを置き換えることができるテストポリシーは何ですか?
  • 以下の表は、非推奨ポリシーに対する推奨代替案を示しています:
    現在のポリシー推奨代替案
    Web Services 使用現在包含 Web 服務的預設策略。
    The Vital Few

    最速のテスト最適化設定でDefaultポリシーを使用する。

    Developer Essentials

    より高速なテスト最適化設定の1つでApplication onlyポリシーを使用する。