了解测试优化
本部分介绍测试优化的工作原理,以及如何最好地将其纳入开发生命周期。
工作方式
全面的常规 AppScan Standard 扫描通常会发送数千个测试,并且可能需要数小时(在某些情况下甚至几天)才能完成。在开发的早期阶段,或者为了快速对产品的当前安全态势进行整体评估,您可以使用测试优化来在较短时间内获得所需结果,方法是在速度和问题覆盖范围之间取得平衡。优化分为三个级别,下表所示为每个级别的一些建议用例。
我们的智能测试过滤器基于统计分析,并过滤掉某些测试(甚至特定的测试变体),以缩短扫描时间,仅识别出更常见、更严重以及其他重要的漏洞。AppScan 修订包和 ifix 使您可以随时了解最新的优化过滤器。与全面的深度扫描相比,在快速结果对您而言更为重要的情况下,使用测试优化可以大大缩短整体扫描时间。
测试优化适用于为扫描所选择的任意测试策略,因此策略中的测试并非全部发送。注意,优化设置对探索阶段并无影响,它属于可大幅缩减的(较长的)测试阶段。
常见问题解答
问题:测试优化是否适用于所有测试策略?
回答:是。测试优化基于我们对测试结果的统计分析来过滤测试策略,该分析定期更新。
问题:测试优化是否过滤完整测试?
回答:它只过滤出特定的测试变体。如果这在将来发生变化,则变化将被记录。
问题:我有什么办法可以确切地知道哪些测试或变体是从我选择的测试策略中过滤出来的?
回答:目前不支持此功能。
问题:测试优化是否更改了其他配置设置,我是否可以在配置对话框中看到这些更改?
回答:当前未进行任何配置更改。在未来的 AppScan 版本中可能会发生更改,如果是这样,将会对所做的更改进行指示。
问题:如果扫描速度更快,为什么我不应该总是使用测试优化?
回答:当您需要更快的结果时,测试优化很有用,但它不像非优化扫描那样彻底。我们建议在速度很重要时进行优化扫描,但您也可以定期以全面扫描进行备份。
问题:我能否期望同一站点上的两个优化扫描的结果相同?
回答:我们的团队不断分析和更新设置,每次 AppScan 更新都改进了优化设置,因此即使站点保持不变,结果也可能不同。但是,在早期扫描中发现问题的测试不太可能从稍后具有同样优化级别的扫描中过滤出来。