テスト・ポリシーと最適化

テスト中にアプリケーションに送信されるテストのコレクション (テスト・ポリシー) を定義します。また、詳細なスキャンよりも迅速なスキャンを優先する製品のライフサイクルで、スキャンを高速化するための最適化を適用します。

テスト・ポリシー

サイトで実施できる AppScan のテストの数は、数千に及ぶことがあります。大量のテストおよびテスト・バリアントを手動でフィルタリングするのではなく、アプリケーション上で実行するテストのタイプの「ポリシー」を設定できます。

「テスト・ポリシー」フィールドには、スキャンの現在のポリシーが表示されます。

  • ドロップダウン、または「参照」をクリックして、別のポリシーを選択してください。
  • 「テスト・ポリシーの管理」をクリックして、選択したポリシーの詳細を表示したり、ポリシーを編集したり、独自のユーザー定義テスト・ポリシーを作成したりします
ヒント:
  • 構成に「テストの最適化」を適用すると、選択されているポリシーの脆弱性の一部はテストされない場合があります。したがって、「完全な」テスト・ポリシーを選択して、そのすべてのテストを送信する場合は、最適化を「最適化なし」に設定する必要があります。
  • テスト・ポリシー・ページで特定のテストを有効にすることはできますが、スキャン中に送信される実際のテストは、環境定義ページの環境設定によって影響を受ける場合があります。特定のテストが、環境仕様 (Windows と Linux など) に基づいて無効化または最小化されている場合、ここで有効化されていても送信されません。
  • 脆弱なコンポーネントの重大度: - テスト・ポリシー GUI では、「脆弱なコンポーネント」の問題タイプに、設定可能な一般的な重大度レベルがあります。- AppScan が特定の脆弱なコンポーネントを検出すると、CVSS スコアとそれに対応する CVE の詳細に基づいて、CVE ごとに重大度を割り当てます。- したがって、個々の所見の重大度は、ポリシーの一般的な設定とは異なる場合があります。例えば、ポリシーが「高」に設定されていても、特定の検出結果が「中」と報告される場合があります。

フィールド/ペイン/オプション

詳細

テスト・ポリシー

現在のテスト・ポリシーの名前を表示します。ドロップダウンまたは「参照」をクリックして、別のポリシーを選択します。

テスト・ポリシーの管理

クリックすると、選択したポリシーの詳細を表示したり、編集したり、独自のユーザー定義のテスト・ポリシーを作成したりできます。「テスト・ポリシーの編集」を参照してください。

テストの最適化

テストの最適化では、AppScan のインテリジェントなテスト・フィルタリングを使用して、問題範囲の損失を最小限に抑えながら、速度が必要な場合により高速なスキャンを実現します。ニーズに応じて 4 つの最適化レベルから選択します。

通常の AppScan Standard の全体スキャンでは、一般的に数千ものテストを送信し、完了までに数時間、場合によっては数日かかることがあります。開発の初期段階で、または製品の現在のセキュリティー体制の全体をすばやく評価するために、速度と問題の範囲のバランスを取ることで、テストの最適化を使用して、より短い時間フレームで必要な結果を入手できます。最適化には 3 つのレベルがあります。以下の表に、各レベルの推奨される使用例を示します。

当社のインテリジェントなテスト・フィルターは、統計分析に基づき、特定のテストや、特定のテストのバリアントもフィルタリングによって除外し、より一般的な脆弱性、より重大な脆弱性、またはより重要な脆弱性のみを識別する短いスキャンを生成します。AppScan フィックスパックと暫定フィックスにより、最新の最適化フィルターで最新の状態に保つことができます。テストの最適化を使用することで、徹底的で詳細なスキャンよりも迅速な結果を優先する場合に、全体のスキャン時間を大幅に短縮することができます。

テストの最適化は、スキャン対象として選択したテスト・ポリシー に適用されるため、ポリシーのすべてのテストが送信されるわけではありません。最適化設定によって探索のステージは大きく異なることはありません。大きく削減される可能性があるのは (大幅に長い) テスト・ステージです。

設定 脆弱性範囲* テスト・ステージの速度 推奨される使用状況
最適化なし 最大 フル・スキャン (設定どおり) メジャー・リリース前のセキュリティー・エキスパート、コンプライアンス・テスト、およびベンチマーク向けで、スキャンが長くなっても開発ワークフローは中断されません。この設定では、選択したテスト・ポリシーのすべての問題がテスト対象になります。
高速 (デフォルト) ~97% 最大 2 倍高速 より頻繁なスキャンを行うセキュリティー・エキスパート向け。
より高速 ~85% 最大 5 倍高速 現在進行中の評価中の DevSecOps 向け。
最速 ~70% 最大 10 倍高速 初期段階の評価中の開発および QA 向け。
* 相当する非最適化スキャンとの比較。情報問題でなく、実際の脆弱性に適用されます。
重要:
上の表に示す値は、いくつかの標準的なアプリケーションに基づく推測値です。実際のスキャン時間の短縮および問題のカバー範囲は、アプリケーションによって異なります。
ヒント:
最適化が適用されると、選択されている「テスト・ポリシー」の脆弱性の一部はテストされない場合があります。したがって、「完全な」テスト・ポリシーを使用して、そのすべてのテストを送信する場合は、「最適化なし」を選択してテストの最適化を使用不可にします。

以下も参照してください。 テストの最適化の理解