“测试优化”视图

测试优化使用 AppScan 的智能测试过滤功能,可以在需要速度时实现更快的扫描速度,同时最大程度地减少问题覆盖范围的丢失。您可以根据需要在四个优化级别之间进行选择。

全面的常规 AppScan Standard 扫描通常会发送数千个测试,并且可能需要数小时(在某些情况下甚至几天)才能完成。在开发的早期阶段,或者为了快速对产品的当前安全态势进行整体评估,您可以使用测试优化来在较短时间内获得所需结果,方法是在速度和问题覆盖范围之间取得平衡。优化分为三个级别,下表所示为每个级别的一些建议用例。

我们的智能测试过滤器基于统计分析,并过滤掉某些测试(甚至特定的测试变体),以缩短扫描时间,仅识别出更常见、更严重以及其他重要的漏洞。AppScan 修订包和 ifix 使您可以随时了解最新的优化过滤器。与全面的深度扫描相比,在快速结果对您而言更为重要的情况下,使用测试优化可以大大缩短整体扫描时间。

测试优化适用于为扫描所选择的任意测试策略,因此策略中的测试并非全部发送。注意,优化设置对探索阶段并无影响,它属于可大幅缩减的(较长的)测试阶段。

设置 漏洞覆盖范围* 测试阶段速度 建议使用
不进行优化 最大值 全长度扫描(配置) 供安全专家在重要发布、合规性测试和基准设定之前使用,此时,较长的扫描不会中断开发工作流程。使用该设置测试所选测试策略中的所有问题。
快速(缺省) ~97% 速度高达两倍 供安全专家用于频次更高的扫描。
较快 ~85% 速度高达五倍 供 DevSecOps 在持续评估期间使用。
最快 ~70% 速度高达十倍 供 Dev 和 QA 在初始评估期间使用。
* 与相当的非优化扫描相比较,且适用于实际漏洞,而非消息类问题。
重要: 上表所示的值是基于一些典型应用程序的估计值,但扫描时间和问题覆盖范围的实际减少将因特定应用程序而异。
提示: 如果应用优化,所选的测试策略中的一些漏洞可能不会得到测试。因此,如果您使用的是“完整”的测试策略,并希望发送其所有测试,应该通过选择不优化禁用测试优化。

另请参阅: 了解测试优化