混合分析的最佳做法

但因为测试方法各有不同,所以相关百分比可能相对较低。每类分析的挑战和优点均不同,如下表中所述。

粗体文本指示优点。

动态分析静态分析
认知度 超过近似值
代码覆盖范围代码/路径覆盖范围
无源 仅限于给定代码
仅 HTTP 认知度大于 HTTP 验证数
多组件支持按语言/框架提供支持
需要已部署的应用程序 无需部署应用程序
较少先决条件支持部分应用程序
以远程攻击者身份发挥作用集成/部署问题
对于最佳相关规则:
  1. 对 SAST 问题进行预过滤以对确定可疑问题施以最高严重性设置。
  2. 在发布到 AppScan® Enterprise 之前保存部分评估或配置要自动应用的过滤器。
  3. 通过 DAST,确保尽可能的探索应用程序,并使用对应用程序有意义的最完善的安全测试策略。
  4. 确保用两种方法分析相同版本的 Web 应用程序。