代码的白盒扫描如何在漏报率与误报率之间折中?
目前在白盒扫描出的结果其实误报率不小,需要行方在理解开发框架的情况下有针对性的梳理,一般首先关注行方使用最多的语言,针对性分析扫描出的问题,能明确哪些是明确的误报,能明确哪些是明确的问题,剩下的部分需要和开发一同确认。如此往复,大概针对性的3轮左右可出一个行内的策略及整改建议。供参考。
对代码的测试建议对经典业务框架建立测试用例库,白盒测试时就会有用例数据参照,从而避免或减少漏报和误报。
对代码过程的临界值进行测试,分区域测试。BUG的查找需要靠经验。当然完全100%做到没有BUG的程序是难于做到的。
要想减少误报和漏报,AppScan支持对私有框架进行标注,如:哪些是参数入口方法,哪些是执行高风险操作(如:查询数据库)的方法,这样可以提高扫描质量。另外,也可以将黑盒测试结果与白盒测试结果进行碰撞,以增加可信度。
关于TWT使用指南社区专家合作厂商入驻社区企业招聘投诉建议版权与免责声明联系我们 © 2024talkwithtrend — talk with trend,talk with technologist京ICP备09031017号-30