瞭解測試最佳化

本節說明「測試最佳化」如何運作,以及如何最妥善地併入您的開發生命週期。

如何運作

完整一般 AppScan Standard 掃描通常會傳送數千個測試並且耗費數小時,有些情況下甚至要數天才能完成。在早期開發階段期間,或是針對您的產品目前的安全性狀態進行快速整體評估時,您可以使用「測試最佳化」,以在較短的時間範圍內取得您需要的結果,方法是在速度與問題涵蓋面之間選擇平衡。有三種層次的最佳化,而且下表顯示一些針對每一種層次建議的使用案例。

我們的智慧型測試過濾器是以統計分析的基礎,並過濾掉特定測試(甚至是特定測試變式)以產生簡短掃描,僅識別更為常見、嚴重或者重要的漏洞。AppScan 修正套件和 iFix 可讓您保持使用最新的最佳化過濾器。使用「測試最佳化」,在比起徹底、深度掃描,更需要快速結果時,可大幅減少整體掃描時間。

「測試最佳化」會套用至您針對掃描選取的任何「測試原則」,因此並不會傳送原則中的所有測試。請注意,最佳化設定不會對「探索」階段產生任何差異,它是可以大幅縮短的(更長)「測試」階段。

「測試最佳化」可以從配置精靈和主要配置對話框啟動。

常見問題 (FAQ)

問:「測試最佳化」是否會套用至所有「測試原則」?

答:是。「測試最佳化」會根據我們對於測試結果的統計分析(定期更新),來過濾「測試原則」。

問:「測試最佳化」是否會過濾掉整個測試?

答:通常僅會過濾掉特定測試變式。如果此情況在未來發生變更,則會記載該變更。

問:我要如何確切得知哪些測試或變式從我選取的「測試原則」中過濾掉?

答:目前不可行。

問:「測試最佳化」是否會變更其他配置設定,以及我能否在配置對話框中看到這些變更?

答:目前不會進行配置變更。這可能會在未來的 AppScan 版本中達成,屆時就會指出進行的變更。

問:如果它能更快速地掃描,為何我不應該一律使用「測試最佳化」?

答:「測試最佳化」在您需要更快速的結果時很棒,但是不如非最佳化掃描一般的徹底。我們建議在速度很重要時使用最佳化掃描,但是您也可以在定期間隔以完整掃描來備份。

問:我是否可以預期在相同網站上的兩個最佳化掃描結果完全相同?

答:因為我們的團隊會持續分析並更新設定,所以每個 AppScan 更新都會有改良的最佳化設定,因此即使網站未變更,結果也不一定會相同。不過,在相同的最佳化層次下,不太可能有稍早掃描中顯示出問題的測試,在稍後的掃描被過濾掉的情形發生。