セキュリティー・テストの概要

Rational® AppScan® Tester Edition を使用するセキュリティー・テストを、 Quality Manager から直接実行できます。

Rational AppScan Tester Edition ソフトウェアは、 組織がセキュリティー・テストの責任を複数のステークホルダーに分散すること、 およびユーザーがクロスサイト・スクリプティング、バッファー・オーバーフロー、SQL インジェクションなどのぜい弱性のテストを、 Web アプリケーション・デリバリーのライフ・サイクル内で早期に行うために役立つように設計されています。

セキュリティー・テストは、ステージング・サーバー上または Quality Assurance サーバー上などの、実動前の環境で実行する必要があります。 これは、セキュリティー・スキャンの実行に関連したリスクをより効率的に組み込むために役立ちます。 実動前の環境は、実稼働環境を可能な限り反映している必要があります。 つまり、両方の環境で、アプリケーションは同じ実行可能ファイルを持つ必要があります。 それにより、対象となるアプリケーションが十分にテストされたことを確認できます。

実稼働環境でセキュリティー・スキャンを実行することは、それらのスキャンに関連したリスクのために、推奨されません。 ときには、監査要件に準拠させるため、サイトがハッキングされたかどうかを検出するため、統合されるセキュリティー・スキャンの SDLC 処理が 採用されていることを検証するためなどの目的で、実稼働環境をスキャンすることが必要になることもあります。 その理由には関係なく、実動前の環境からスキャンを開始して、次に実稼働環境にスキャンを移すことが最善です。 これにより、セキュリティー・テストがサーバーに及ぼすリスクを少なくすることができます。

ブラウザー・ベースの攻撃は、Web ベース・アプリケーションのコード内の欠陥を利用します。 これらのタイプの攻撃に対して最もぜい弱なソフトウェアには、以下のものがあります。

セキュリティー・スキャンをソフトウェア開発ライフ・サイクル (SDLC) プロセスに統合して、 セキュリティー問題が実稼働環境に波及する前に、それらの問題を検出できるようにする必要があります。

詳しくは、Rational AppScan Tester Edition インフォメーション・センターを参照してください。


フィードバック