テスト・オプション

追加のテスト・オプション。

このビューでは、スキャンの長さおよび完成度に影響を与えるさまざまな設定を構成できます。ただし、大抵の場合、デフォルトの設定で十分です。
注: スキャンの後にテスト・オプションを変更する場合、すべての変更を既存の結果に適用できるわけではないため、再スキャンするようにプロンプトが出されることがあります。

設定

詳細

全般

最適化されたテストを使用する

AppScan は何千ものテストをサイトに送信できます。ただし、スキャン時間を削減するために、送信すべきテストと省くことができるテストを賢明に判断する事前テストを送信できます。これが「最適化されたテスト」で、効率を犠牲にせずに、スキャン時間を大幅に削減することができます。

AppScanすべてのテストをサイトに送信させる場合は、このチェック・ボックスのチェックを外します。

マルチフェーズ・スキャンを許可する

AppScan は、ご使用のアプリケーションに送信するテストに対する応答を分析します。この分析により、AppScan はしばしば、スキャンの最初の「フェーズ」では見えなかったリンクなどの、追加内容を発見します。マルチフェーズ・スキャンによって、AppScan はこの新規に検出された内容に対して探査ステージおよびテスト・ステージを繰り返すことができます。(追加フェーズには新規リンクのみ含まれるため、通常は短くなります。)

デフォルトで、マルチフェーズ・スキャンは最大 4 つのスキャン・フェーズを許可するように構成されます。

マルチフェーズ・スキャンは、フル・スキャンを実行する場合のみ適用されることに注意してください。「探査のみ」または「テストのみ」機能を使用する場合、結果は単一フェーズ・スキャンになります。

問題ごとに 1 つのバリアントのみを保存する

デフォルトでは、AppScan は、問題ごとに複数のバリアントをテストして、包括的な脆弱性検出を確保します。スキャン時間を最適化するには、問題の最初のバリアントが見つかるまで、AppScan をテストのみに制限するオプションを有効にできます。これによりスキャン時間が短縮されますが、異なるバリエーションを持つ一部の脆弱性が見つからない可能性があることに注意することが重要です。

特定のテスト・スコープを超える問題のテスト応答を分析する

選択した場合、AppScan は、テスト対象の特定の問題に加えて、追加のセキュリティー問題に対するそれぞれのテスト応答の分析を行います。アプリケーションが非常に大きいか、またはスキャンにより大量の誤検出の結果が生成される場合には、このオプションを選択解除します。

特定のテスト・スコープを超える問題の 1 つのバリアントのみを分析する

デフォルトでは、AppScan は、より広範な問題タイプについて 1 つのバリアントのみを分析して、効率性を改善し、冗長性を回避します。より多くのバリアントを分析するには、このオプションの選択を解除しますが、そのようにするとスキャン時間が長くなることに注意してください。

「問題ごとに 1 つのバリアントのみを保存する」および「特定のテスト・スコープを超える問題のテスト応答を分析する」を選択した場合、このオプションはデフォルトで選択され、変更できません。

特定のテスト・スコープを超える問題のすべてのバリアントを含める

(前のチェック・ボックスが選択されている場合にのみアクティブ)選択した場合、AppScan では、テスト対象の特定の問題に加えて、各問題のすべてのバリアントが分析されます。選択解除すると、1 つの問題につき 1 つのバリアントのみが分析されます。このチェック・ボックスを選択することは通常は不要であり、選択するとスキャン時間が大幅に増える可能性があります。

フォームの処理要求でのみ Cookie のセキュリティーに関する問題をテストする

このオプションを選択すると (デフォルト)、 AppScan はフォームの処理要求で使用される Cookie に対して Cookie に関連するテストを実行依頼します。精度を上げるには (ただし、スキャン時間は長くなります)、このチェック・ボックスを選択解除します。AppScan はすべての関連する HTTP 要求に対して Cookie テストを実行依頼します。

脆弱なコンポーネントのレポート

コード内のサード・パーティー・コンポーネントは、探査のステージ中に識別され、「データ」ビューに表示されます。

このオプションを選択すると (デフォルト)、AppScan は「問題」ビューのこれらのコンポーネントの既知の脆弱性を報告し、更新を提案します。詳しくは、『Components』を参照してください。

AppScan が脆弱なコンポーネントのデータベースの最新バージョンを確実に使用するようにするには、最新の更新プログラムをダウンロードし、「ツール」 > 「オプション」「インポート・ファイル」オプションを使用してインポートします。詳細については、「インポート・ファイル」セクションを参照してください。

ログイン/ログアウト・テスト

ログイン・ページへのテストの送信

ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan によって変更されない限り、AppScan がログイン・ページのテストを行えるようにすることをお勧めします。

ログイン・ページのテスト中は、セッション ID を送信しない

「ログイン・ページでテストを送信する」チェック・ボックスが選択されている場合のみアクティブになります。ログイン・ページをテストする場合、セッション ID によってテストの成功が制限される可能性があるため、このチェック・ボックスは選択したままにしておくことをお勧めします。ログイン・ページをテストするのに有効なセッション・トークンが必要であることが確実な場合にのみ、このチェック・ボックスを選択解除します。

このチェック・ボックスが選択されている場合でも、誤検出結果を防ぐために一部のテストは引き続きセッション ID 付きで送信されるので注意してください。

ログアウト・ページへのテストの送信

ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan によって変更されない限り、AppScan がログアウト・ページのテストを行えるようにすることをお勧めします。

脆弱でない項目

脆弱でない項目の情報を保存

スキャン中に、AppScan は何千ものテスト・バリアントを、テスト中のサイトに送信します。これらの多くに対する応答は、どのような種類のセキュリティー上の脅威ももたらさないことを示し、デフォルトで AppScan は「脆弱でなかった」すべての結果を廃棄するため、結果データのボリュームが大幅に削減されます。

このチェック・ボックスを選択すると、AppScan はすべての脆弱でない項目を保存します。このオプションを選択すると、AppScan のパフォーマンスが低下し、必要なディスク領域が大幅に増加する可能性があることを示す警告が表示されます。

詳しくは、次を参照してください。 脆弱でない項目

問題管理

以前のノイズ分類をこのスキャンに適用

以前にスキャンで 1 つ以上の問題が「ノイズ」として識別された場合 (アプリケーションと関連がないことを示します)、このチェック・ボックスのチェックを外さない限り、システムは自動的に後続のスキャンに同じ設定を適用します。

詳しくは、次を参照してください。 問題の状態: 未解決またはノイズ