セキュリティー・テスト・ポリシー
セキュリティー・テスト・ポリシーは、セキュリティー・テストの定義済みセットです。ユーザーがセキュリティー・スキャンを実行するには、サーバー・グループとテスト・ポリシーの両方がユーザーにあらかじめ割り当てられている必要があります。
管理者には、テスト・ポリシーへの明示的なアクセス権限を付与する必要はありません。また、サーバー・グループに割り当てる必要もありません。使用可能なテスト・ポリシーには以下の 2 つのタイプがあります。
- Simple security test policy では、テストの概要を定義します。単純テスト・ポリシーは、AppScan® Enterprise Server で作成および編集でき、サーバー・グループに割り当てることができます。
- Advanced security test policy は、より細かいレベルでテストを定義します。詳細テスト・ポリシーは、AppScan® 7.7 以上からインポートでき、サーバー・グループに割り当てることができます。ただし、それらのプロパティーを編集することはできません。
- アプリケーションのみ: 安全でないテストとポート・リスナー・テストを除くすべてのアプリケーション・レベルのテストを含みます。
- 完全一致: すべての AppScan® テストを含みます。
- デフォルト: 安全でないテストとポート・リスナー・テストを除くすべてのテストを含みます。
- 開発者必需テスト: 検出の確率が高いアプリケーション ・テストとして選択されたものを含みます。これは、時間が制限されているときにサイトを評価する場合に役立ちます。
- インフラストラクチャーのみ: 安全でないテストとポート・リスナー・テストを除くすべてのインフラストラクチャー・レベルのテストを含みます。
- 安全でないテスト: すべての安全でないテスト (サーバーの安定度に影響を与える可能性があるテスト) を含みます。
- OWASP Top 10 - 2021: 侵襲的テストとポート リスナー テストを除くすべてのテストが含まれます。
- OWASP Top 10 API Security Risks - 2023: 侵襲的テストとポート リスナー テストを除くすべてのテストが含まれます。
- 実動サイト: サイトに損害を与える可能性がある安全でないテストや、他のユーザーに対するサービス妨害の原因となる可能性があるテストを除外します。
- 厳選テスト: 検出の確率が高いテストとして選択されたものを含みます。これは、時間が制限されているときにサイトを評価する場合に役立ちます。
- サード・パーティーのみ: 安全でないテストとポート・リスナー・テストを除くすべてのサード・パーティー・レベルのテストを含みます。
- Web サービス (非推奨): 安全でないテストとポート・リスナー・テストを除くすべての SOAP 関連のテストを含みます。
AppScan Standard の FAQ から
Web サービス、厳選テスト、および開発者必需テストのテスト・ポリシーが削除された場合に置き換えることができるテスト・ポリシー
- バージョン 10.0.5 では、今後のリリースで 3 つのテスト・ポリシーを削除することが発表されました。以下の方法でも、同様の結果が得られます。これらのポリシーを使用する場合は、提案されている代替手段を使用することが勧められています。
現在のポリシー 提案されている代替手段 Web サービス デフォルト デフォルトのテスト・ポリシーは Web サービスをカバーするようになっているため、別のポリシーは必要ありません。
厳選テスト デフォルト デフォルトのポリシーは、最も高速の「テストの最適化」設定とともに使用します。
開発者必需テスト デフォルト 「アプリケーションのみ」ポリシーは、より高速の「テストの最適化」設定のいずれかとともに使用します。