テストの最適化の理解
このセクションでは、テストの最適化の動作と、テストの最適化を開発ライフサイクルに組み込むための最善の方法について説明します。
動作説明
通常の AppScan Standard の全体スキャンでは、一般的に数千ものテストを送信し、完了までに数時間、場合によっては数日かかることがあります。開発の初期段階で、または製品の現在のセキュリティー体制の全体をすばやく評価するために、速度と問題の範囲のバランスを取ることで、テストの最適化を使用して、より短い時間フレームで必要な結果を入手できます。最適化には 3 つのレベルがあります。以下の表に、各レベルの推奨される使用例を示します。
当社のインテリジェントなテスト・フィルターは、統計分析に基づき、特定のテストや、特定のテストのバリアントもフィルタリングによって除外し、より一般的な脆弱性、より重大な脆弱性、またはより重要な脆弱性のみを識別する短いスキャンを生成します。AppScan のフィックスパックと iFix により、最適化フィルターが最新の状態に保たれます。テストの最適化を使用することで、徹底的で詳細なスキャンよりも迅速な結果を優先する場合に、全体のスキャン時間を大幅に短縮することができます。
テストの最適化は、スキャン対象として選択したテスト・ポリシー に適用されるため、ポリシーのすべてのテストが送信されるわけではありません。最適化設定によって探索のステージは大きく異なることはありません。大きく削減される可能性があるのは (大幅に長い) テスト・ステージです。
テストの最適化は、「構成」 > 「テスト・ポリシーと最適化」からアクティブ化されます。
よくある質問
Q: テストの最適化はすべてのテスト・ポリシーに適用されますか?
A: はい。テストの最適化は、定期的に更新されるテスト結果の統計分析に基づいてテスト・ポリシーをフィルタリングします。
Q: テストの最適化はテスト全体をフィルタリングによって除外しますか?
A: 特定のテストのバリアントのみをフィルタリングによって除外することもあります。将来この変更が行われる場合は、変更内容が文書化されます。
Q: 選択したテスト・ポリシーからフィルタリングによって除外されたテストまたはバリアントを正確に把握する方法はありますか?
A: 現在は不可能です。
Q: テストの最適化は他の構成設定を変更しますか? また、「構成」ダイアログ・ボックスでその変更を確認できますか?
A: 現在のところ、構成は変更されません。今後の AppScan リリースでは変更されるようになる可能性がありますが、その場合は加えられた変更が示されるようになります。
Q: スキャンが高速化するのであれば、常にテストの最適化を使用するべきではないですか?
A: テストの最適化は、より速く結果を出す必要がある場合には優れていますが、非最適化スキャンほど徹底的ではありません。速さが重要な場合には最適化されたスキャンを推奨しますが、定期的にフル・スキャンで補完することも推奨します。
Q: 同じサイトでは、2 つの最適化されたスキャンの結果は同一になりますか?
A: 当社のチームは絶えず設定の分析と更新を行っているため、AppScan が更新されるたびに最適化の設定が改善されています。そのため、サイトが変更されていなくても結果が同一にならない可能性があります。ただし、前のスキャンで問題を明らかにしたテストが、同じ最適化レベルの後のスキャンでフィルタリングによって除外されることはほとんどありません。