Stratégie de test et optimisation
Définissez la collection de tests qui sera envoyée à l'application pendant le test (la stratégie de test) et choisissez d'appliquer l'optimisation pour des examens plus rapides à certains moments du cycle de vie du produit où vous accordez plus d'importance à la vitesse qu'à la profondeur de l'examen.
Stratégie de test
Nombre de test AppScan possibles pour qu'un site puisse atteindre les milliers. Plutôt que de filtrer manuellement un grand nombre de tests et de variantes de test, vous pouvez définir une "stratégie" pour le type de test que vous souhaitez exécuter sur votre application.
Le champ Stratégie de test affiche la stratégie en cours pour l'examen.
- Cliquez sur la liste déroulante ou sur Parcourir pour sélectionner une autre stratégie.
- Cliquez sur Gérer la stratégie de test pour afficher les détails de la stratégie sélectionnée, la modifier ou créer votre propre stratégie de test définie par l'utilisateur.
Zone/Panneau/Option |
Détails |
---|---|
Stratégie de test |
Affiche le nom de la stratégie de test en cours. Cliquez sur la liste déroulante ou sur Parcourir pour sélectionner une autre stratégie. |
Gérer la stratégie de test |
Cliquez sur cette option pour afficher les détails de la stratégie sélectionnée, la modifier ou créer votre propre stratégie de test définie par l'utilisateur. Voir Editer une stratégie de test. |
Optimisation du test
L'option Optimisation du test utilise les filtres de test intelligents de AppScan pour obtenir des examens plus rapides, lorsque la rapidité est nécessaire, avec une perte minimale de la couverture des problèmes. Vous choisissez entre quatre niveaux d'optimisation en fonction de vos besoins.
A full regular AppScan Standard scan typically sends thousands of tests and may take hours, in some cases days, to complete. Au cours des premières étapes de développement, ou pour avoir une évaluation globale rapide du contexte de sécurité actuel de votre produit, vous pouvez utiliser Optimisation du test pour obtenir les résultats requis dans un délai plus court, en optant pour un compromis entre rapidité et couverture des problèmes. On compte trois niveaux d'optimisation. Le tableau ci-dessous montre quelques cas d'utilisation suggérés pour chaque niveau.
Nos filtres de test intelligents s'appuient sur l'analyse statistique et filtrent certains tests (ou même des variantes de test spécifiques) pour générer un examen plus court qui identifie uniquement les vulnérabilités les plus fréquentes, graves et importantes. Les groupes de correctif et les correctifs iFixes AppScan permettent de vous maintenir à jour grâce aux filtres d'optimisation les plus récents. Grâce à l'option Optimisation du test, vous pouvez réduire considérablement la durée de l'examen, lorsque vous accordez davantage d'importance à la vitesse qu'à la profondeur de l'examen.
L'option Optimisation du test s'applique à toutes les stratégies de test que vous sélectionnez pour l'examen, de sorte que les stratégies de test ne sont pas toutes envoyées. Veuillez noter que les paramètres d'optimisation ne changent en rien la Phase d'exploration. Seule l'étape de test (plus longue) peut être considérablement réduite.
Paramètre | Couverture des vulnérabilités* | Rapidité de l'étape de test | Utilisation suggérée |
---|---|---|---|
Pas d'optimisation | Maximum | Examen pleine longueur (selon la configuration) | Pour les experts en sécurité, avant les sorties majeures, les tests de conformité et les valeurs de référence, lorsqu'un examen plus long n'interrompra pas votre flux de travaux de développement. Cette configuration des paramètres teste tous les problèmes de la stratégie de test sélectionnée. |
Rapide (par défaut) | ~97 % | Jusqu'à deux fois plus rapide | Pour les experts en sécurité, pour leurs examens plus fréquents. |
Plus rapide | ~85 % | Jusqu'à cinq fois plus rapide | Pour les DevSecOps, pendant l'évaluation continue. |
Rapide | ~70 % | Jusqu'à dix fois plus rapide | Pour Dev et QA, pendant l'évaluation initiale. |
Voir aussi : Compréhension de l'option Optimisation du test