混合分析的最佳做法
但因为测试方法各有不同,所以相关百分比可能相对较低。每类分析的挑战和优点均不同,如下表中所述。
动态分析 | 静态分析 |
---|---|
认知度 | 超过近似值 |
代码覆盖范围 | 代码/路径覆盖范围 |
无源 | 仅限于给定代码 |
仅 HTTP 认知度 | 大于 HTTP 验证数 |
多组件支持 | 按语言/框架提供支持 |
需要已部署的应用程序 | 无需部署应用程序 |
较少先决条件 | 支持部分应用程序 |
以远程攻击者身份发挥作用 | 集成/部署问题 |
对于最佳相关规则:
- 对 SAST 问题进行预过滤以对确定可疑问题施以最高严重性设置。
- 在发布到 AppScan® Enterprise 之前保存部分评估或配置要自动应用的过滤器。
- 通过 DAST,确保尽可能的探索应用程序,并使用对应用程序有意义的最完善的安全测试策略。
- 确保用两种方法分析相同版本的 Web 应用程序。