テスト・オプション

追加のテスト・オプション。

このビューでは、スキャンの長さおよび完成度に影響を与えるさまざまな設定を構成できます。ただし、大抵の場合、デフォルトの設定で十分です。
注: スキャンの後にテスト・オプションを変更する場合、すべての変更を既存の結果に適用できるわけではないため、再スキャンするようにプロンプトが出されることがあります。

設定

詳細(D)

全般

最適化されたテストを使用する

AppScan は何千ものテストをサイトに送信できます。ただし、スキャン時間を削減するために、送信すべきテストと省くことができるテストを賢明に判断する事前テストを送信できます。これが「最適化されたテスト」で、効率を犠牲にせずに、スキャン時間を大幅に削減することができます。

すべての テストをサイトに送信させる場合は、このチェック・ボックスのチェックを外します。

マルチフェーズ・スキャンを許可する

AppScan は、ご使用のアプリケーションに送信するテストに対する応答を分析します。この分析により、AppScan® はしばしば、スキャンの最初の「フェーズ」では見えなかったリンクなどの、追加内容を発見します。マルチフェーズ・スキャンによって、AppScan はこの新規に検出された内容に対して探査およびテスト・ステージを繰り返すことができます。(追加フェーズには新規リンクのみ含まれるため、通常は短くなります。)

デフォルトで、マルチフェーズ・スキャンは最大 4 つのスキャン・フェーズを許可するように構成されます。

マルチフェーズ・スキャンは、フル・スキャンを実行する場合のみ適用されることに注意してください。「探査のみ」または「テストのみ」機能を使用する場合、結果は単一フェーズ・スキャンになります。

意図せずにトリガーされたセキュリティーの問題を分析 (Analyze results for inadvertently-triggered issues)

選択した場合、AppScan® は、テスト対象として指定された問題に加えて、追加のセキュリティー問題に対するそれぞれのテスト応答の分析を行います。アプリケーションが非常に大きいか、またはスキャンにより大量の誤検出の結果が生成される場合には、このオプションを選択解除します。

各問題のすべてのバリアントを含める

(前のチェック・ボックスが選択されている場合にのみアクティブ)選択すると、AppScan は、意図せずにトリガーされたそれぞれの問題のすべてのバリアントを分析します。選択解除すると、問題ごとに 1 つのバリアントのみ分析されます。このチェック・ボックスを選択することは通常は不要であり、選択するとスキャン時間が大幅に増える可能性があります。

フォームの処理要求でのみ Cookie のセキュリティーに関する問題をテストする

このオプションを選択すると (デフォルト)、フォームの処理要求で使用される Cookie についてのみ、Cookie に関連するテストの実行依頼が AppScan によって送信されます。精度を上げるには (ただし、スキャン時間は長くなります)、このチェック・ボックスを選択解除します。はすべての関連する HTTP 要求に対して Cookie テストを実行依頼します。

脆弱なコンポーネントのレポート

コード内のサード・パーティー・コンポーネントは、探査のステージ中に識別され、 「データ」ビューに表示されます。

このオプションを選択すると (デフォルト)、AppScan は「問題」ビューのこれらのコンポーネントの既知の脆弱性を報告し、更新を提案します。詳しくは、『Components』を参照してください。

AppScan が脆弱なコンポーネントのデータベースの最新バージョンを使用することを確実にするには、最新の更新プログラムをダウンロードし、「ツール」 > 「オプション」の「インポート・ファイル」オプションを使用してインポートします。詳細については、「インポート・ファイル」セクションを参照してください。

ログイン/ログアウト・テスト

ログイン・ページへのテストの送信(T)

ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan® によって変更されない限り、AppScan がログイン・ページのテストを行えるようにすることをお勧めします。

ログイン・ページのテスト中は、セッション ID を送信しないでください。

(前のチェック・ボックスが選択されている場合にのみアクティブ)ログイン・ページをテストする場合、セッション ID によってテストの成功が制限される可能性があるため、このチェック・ボックスは選択したままにしておくことをお勧めします。ログイン・ページをテストするのに有効なセッション・トークンが必要であることが確実な場合にのみ、このチェック・ボックスを選択解除します。

このチェック・ボックスが選択されている場合でも、誤検出結果を防ぐために一部のテストは引き続きセッション ID 付きで送信されるので注意してください。

ログアウト・ページへのテストの送信(S)

ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan® によって変更されない限り、AppScan がログイン・ページとログアウト・ページのテストを行えるようにすることをお勧めします。

非脆弱

非脆弱情報の保存

スキャン中に、AppScan は何千ものテスト・バリアントを、テスト中のサイトに送信します。これらの多くに対する応答は、どのような種類のセキュリティー上の脅威ももたらされないことを示し、デフォルトで AppScan® は「脆弱でなかった」すべての結果を廃棄するので、結果データのボリュームが大幅に削減されます。

このチェックボックスを選択すると、AppScan はすべての非脆弱を保存します。このオプションを選択すると、AppScan® のパフォーマンスが低下し、必要なディスク領域が大幅に増加する可能性があることを示す警告が表示されます。

詳しくは、次を参照してください。 非脆弱

問題管理

以前のノイズ分類をこのスキャンに適用

以前のスキャンで 1 つ以上の問題を「ノイズ」(アプリケーションに無関係) に分類した場合、このチェック・ボックスを選択解除していなければ、同じ設定が将来のスキャンに自動的に適用されます。

詳しくは、次を参照してください。 問題の状態: 「オープン」または「ノイズ」