混合式分析的最佳實務

因為測試方法之間有很大的不同,而相關性百分比則相對地較低。各種分析類型的挑戰和強項都有所不同,如本表所述。

粗體字表示強項。

動態分析靜態分析
感知 近似值
程式碼涵蓋面程式碼/路徑涵蓋面
不需原始碼 限用於給定程式碼
僅 HTTP 感知超過 HTTP 驗證
多元件支援依語言/架構提供支援
需要部署應用程式 不需部署應用程式
必備項目較少支援局部應用程式
以遠端攻擊者形式運作整合/部署問題
如果要取得最佳相關性結果:
  1. 預先過濾 SAST 問題,達到「明訂,可疑」問題的最高嚴重性設定。
  2. 在您發佈至 AppScan® Enterprise 前儲存局部評量或配置過濾器以自動套用。
  3. 使用 DAST 來確保您盡可能地探索了大部分的應用程式,並使用了最完整且適合應用程式的安全測試原則。
  4. 確定您以這兩種方法分析了相同版本的 Web 應用程式。