テスト・オプション

追加のテスト・オプション。

このビューでは、スキャンの長さおよび完成度に影響を与えるさまざまな設定を構成できます。ただし、大抵の場合、デフォルトの設定で十分です。
注: スキャンの後にテスト・オプションを変更する場合、すべての変更を既存の結果に適用できるわけではないため、再スキャンするようにプロンプトが出されることがあります。

設定

詳細

全般

最適化されたテストを使用する

AppScan は何千ものテストをサイトに送信できます。ただし、スキャン時間を削減するために、送信すべきテストと省くことができるテストを賢明に判断する事前テストを送信できます。これが「最適化されたテスト」で、効率を犠牲にせずに、スキャン時間を大幅に削減することができます。

AppScanすべての テストをサイトに送信させる場合は、このチェック・ボックスのチェックを外します。

マルチフェーズ・スキャンを許可する

AppScan は、ご使用のアプリケーションに送信するテストに対する応答を分析します。この分析により、AppScan はしばしば、スキャンの最初の「フェーズ」では見えなかったリンクなどの、追加内容を発見します。マルチフェーズ・スキャンによって、AppScan はこの新規に検出された内容に対して探査およびテスト・ステージを繰り返すことができます。(追加フェーズには新規リンクのみ含まれるため、通常は短くなります。)

デフォルトで、マルチフェーズ・スキャンは最大 4 つのスキャン・フェーズを許可するように構成されます。

マルチフェーズ・スキャンは、フル・スキャンを実行する場合のみ適用されることに注意してください。「探査のみ」または「テストのみ」機能を使用する場合、結果は単一フェーズ・スキャンになります。

問題ごとに 1 つのバリアントのみ保存する

デフォルトでは包括的に脆弱性を検出できるように、AppScan は問題ごとに複数のバリアントをテストします。スキャン時間を最適化するため、このオプションを有効にして、AppScan によるテストを問題の最初のバリアントが見つかるまでに制限することができます。これによりスキャン時間が短縮されますが、一部のさまざまなバリエーションがある脆弱性を見落とす可能性がある点に注意してください。

特定のテスト・スコープを超える問題のテスト応答を分析する

選択した場合、AppScan は、テスト対象として指定された問題に加えて、追加のセキュリティー問題に対するそれぞれのテスト応答の分析を行います。アプリケーションが非常に大きいか、またはスキャンにより大量の誤検出の結果が生成される場合には、このオプションを選択解除します。

特定のテスト・スコープを超える問題の 1 つのバリアントのみを分析する

デフォルトでは、AppScan は広範な問題タイプに対して 1 つのバリアントのみを分析し、効率を向上させて冗長性を回避します。より多くのバリアントを分析するには、このオプションの選択を解除しますが、解除するとスキャン時間が長くなることに注意してください。

「問題ごとに 1 つのバリアントのみ保存する」および「特定のテスト・スコープを超える問題のテスト応答を分析する」を選択した場合、このオプションはデフォルトで選択され、変更できません。

特定のテスト・スコープを超える問題のすべてのバリアントを含める

(前のチェック・ボックスが選択されている場合にのみアクティブ)選択すると、AppScan は、テスト対象として指定された問題に加えて、それぞれの問題のすべてのバリアントを分析します。選択解除すると、問題ごとに 1 つのバリアントのみ分析されます。このチェック・ボックスを選択することは通常は不要であり、選択するとスキャン時間が大幅に増える可能性があります。

フォームの処理要求でのみ Cookie のセキュリティーに関する問題をテストする

このオプションを選択すると (デフォルト)、フォームの処理要求で使用される Cookie についてのみ、Cookie に関連するテストの実行依頼が AppScan によって送信されます。精度を上げるには (ただし、スキャン時間は長くなります)、このチェック・ボックスを選択解除します。AppScan はすべての関連する HTTP 要求に対して Cookie テストを実行依頼します。

脆弱なコンポーネントのレポート

コード内のサード・パーティー・コンポーネントは、探査のステージ中に識別され、「データ」ビューに表示されます。

このオプションを選択すると (デフォルト)、AppScan は「問題」ビューのこれらのコンポーネントの既知の脆弱性を報告し、更新を提案します。詳しくは、「Components」を参照してください。

AppScan が脆弱なコンポーネントのデータベースの最新バージョンを使用することを確実にするには、最新の更新プログラムをダウンロードし、「ツール」 > 「オプション」「インポート・ファイル」オプションを使用してインポートします。詳細については、「インポート・ファイル」セクションを参照してください。

ログイン/ログアウト・テスト

ログイン・ページへのテストの送信

ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan によって変更されない限り、AppScan がログイン・ページのテストを行えるようにすることをお勧めします。

ログイン・ページのテスト中は、セッション ID を送信しない

「ログイン・ページへのテストの送信」チェック・ボックスが選択されている場合のみ有効です。ログイン・ページをテストする場合、セッション ID によってテストの成功が制限される可能性があるため、このチェック・ボックスは選択したままにしておくことをお勧めします。ログイン・ページをテストするのに有効なセッション・トークンが必要であることが確実な場合にのみ、このチェック・ボックスを選択解除します。

このチェック・ボックスが選択されている場合でも、誤検出結果を防ぐために一部のテストは引き続きセッション ID 付きで送信されるので注意してください。

ログアウト・ページへのテストの送信

ご使用のアプリケーションが不正な入力を行うユーザーをロックアウトしない限り、またはアプリケーション・フローがこれらのページをテストする AppScan によって変更されない限り、AppScan がログアウト・ページのテストを行えるようにすることをお勧めします。

脆弱でない項目

脆弱でない項目の情報を保存

スキャン中に、AppScan は何千ものテスト・バリアントを、テスト中のサイトに送信します。これらの多くに対する応答は、どのような種類のセキュリティー上の脅威ももたらされないことを示し、デフォルトで AppScan は「脆弱でなかった」すべての結果を廃棄するので、結果データのボリュームが大幅に削減されます。

すべての脆弱でないテスト・バリアントを検討する場合、これらを保存するように、このチェック・ボックスを選択して AppScan を構成することができます。

注意: 脆弱でないテスト・バリアントを保存すると AppScan® のパフォーマンスが低下し、必要なディスク領域が大幅に増加する場合があります。

詳しくは、「脆弱でない項目」を参照してください。

問題管理

以前のノイズ分類をこのスキャンに適用

以前にスキャンで 1 つ以上の問題が「ノイズ」として識別された場合 (アプリケーションと関連がないことを示します)、このチェック・ボックスのチェックを外さない限り、システムは自動的に後続のスキャンに同じ設定を適用します。

詳しくは、「問題の状態: 未解決またはノイズ」を参照してください。

Azure OpenAI 構成

エンドポイント 次の形式で値を入力します。
{azure_openai_endpoint}/openai/deployments/{deployment_name}/completions
例: https://aoairesource.openai.azure.com/openai/deployments/GPT-4o/completions

詳しくは、「Azure OpenAI 構成」を参照してください。

API キー API キーを入力してください。詳しくは、「Azure OpenAI 構成」を参照してください。