Stratégie de test et optimisation

Définissez la collection de tests qui sera envoyée à l'application pendant le test (la stratégie de test) et choisissez d'appliquer l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit où vous accordez plus d'importance à la vitesse qu'à la profondeur de l'examen.

Stratégie de test

Nombre de test AppScan possibles pour qu'un site puisse atteindre les milliers. Plutôt que de filtrer manuellement un grand nombre de tests et de variantes de test, vous pouvez définir une "stratégie" pour le type de test que vous souhaitez exécuter sur votre application.

Le champ Stratégie de test affiche la stratégie en cours pour l'examen.

  • Cliquez sur la liste déroulante ou sur Parcourir pour sélectionner une autre stratégie.
  • Cliquez sur Gérer la stratégie de test pour afficher les détails de la stratégie sélectionnée, la modifier ou créer votre propre stratégie de test définie par l'utilisateur.
Conseil : Si vous appliquez l'optimisation du test à la configuration, certaines vulnérabilités de la stratégie sélectionnée peuvent ne pas être testées. Par conséquent, si vous avez sélectionné la stratégie de test "Complète" et souhaitez que tous ses tests soient envoyés, vous devez définir l'optimisation sur Pas d'optimisation.

Zone/Panneau/Option

Détails

Stratégie de test

Affiche le nom de la stratégie de test en cours. Cliquez sur la liste déroulante ou sur Parcourir pour sélectionner une autre stratégie.

Gérer la stratégie de test

Cliquez sur cette option pour afficher les détails de la stratégie sélectionnée, la modifier ou créer votre propre stratégie de test définie par l'utilisateur. Voir Editer une stratégie de test.

Optimisation du test

L'option Optimisation du test utilise les filtres de test intelligents de AppScan pour obtenir des examens plus rapides, lorsque la rapidité est nécessaire, avec une perte minimale de la couverture des problèmes. Vous choisissez entre quatre niveaux d'optimisation en fonction de vos besoins.

A full regular AppScan Standard scan typically sends thousands of tests and may take hours, in some cases days, to complete. Au cours des premières étapes de développement, ou pour avoir une évaluation globale rapide du contexte de sécurité actuel de votre produit, vous pouvez utiliser Optimisation du test pour obtenir les résultats requis dans un délai plus court, en optant pour un compromis entre rapidité et couverture des problèmes. On compte trois niveaux d'optimisation. Le tableau ci-dessous montre quelques cas d'utilisation suggérés pour chaque niveau.

Nos filtres de test intelligents s'appuient sur l'analyse statistique et filtrent certains tests (ou même des variantes de test spécifiques) pour générer un examen plus court qui identifie uniquement les vulnérabilités les plus fréquentes, graves et importantes. Les groupes de correctif et les correctifs iFixes AppScan permettent de vous maintenir à jour grâce aux filtres d'optimisation les plus récents. Grâce à l'option Optimisation du test, vous pouvez réduire considérablement la durée de l'examen, lorsque vous accordez davantage d'importance à la vitesse qu'à la profondeur de l'examen.

L'option Optimisation du test s'applique à toutes les stratégies de test que vous sélectionnez pour l'examen, de sorte que les stratégies de test ne sont pas toutes envoyées. Veuillez noter que les paramètres d'optimisation ne changent en rien la Phase d'exploration. Seule l'étape de test (plus longue) peut être considérablement réduite.

Paramètre Couverture des vulnérabilités* Rapidité de l'étape de test Utilisation suggérée
Pas d'optimisation Maximum Examen pleine longueur (selon la configuration) Pour les experts en sécurité, avant les sorties majeures, les tests de conformité et les valeurs de référence, lorsqu'un examen plus long n'interrompra pas votre flux de travaux de développement. Cette configuration des paramètres teste tous les problèmes de la stratégie de test sélectionnée.
Rapide (par défaut) ~97 % Jusqu'à deux fois plus rapide Pour les experts en sécurité, pour leurs examens plus fréquents.
Plus rapide ~85 % Jusqu'à cinq fois plus rapide Pour les DevSecOps, pendant l'évaluation continue.
Rapide ~70 % Jusqu'à dix fois plus rapide Pour Dev et QA, pendant l'évaluation initiale.
*Par rapport à un examen équivalent, non optimisé, et s'applique aux vulnérabilités actuelles, non aux problèmes informatifs.
Important : Les valeurs indiquées dans le tableau ci-dessous sont des estimations basées sur certaines applications classiques. Cependant, la réduction actuelle du temps d'examen et l'étendue de la couverture des problèmes varieront en fonction de votre application spécifique.
Conseil : Si l'optimisation est appliquée, certaines vulnérabilités de la stratégie de test que vous avez définie peuvent ne pas être testées. Par conséquent, si vous utilisez la stratégie de test "Complète" et souhaitez que tous ses tests soient envoyés, vous devez désactiver l'option Optimisation du test en sélectionnant Pas d'optimisation.

Voir aussi : Compréhension de l'option Optimisation du test