Accueil
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
Examen dynamique (DAST)
AppScan 360° peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles dans AppScan 360° ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
Automatisation des tests
Intégrez l'examen dynamique dans vos tests fonctionnels.

Démarrage
Bienvenue dans la documentation HCL AppScan 360°, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Installation
En savoir plus sur l'architecture de AppScan 360° et sur l'installation du produit.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Navigation
Cette section décrit les éléments de la barre de menus AppScan 360° principale et fournit des liens vers des informations plus détaillées.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
- A propos de l'analyse dynamique (DAST)
  Un examen AppScan 360° dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.
- Examen dynamique (DAST)
  AppScan 360° peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles dans AppScan 360° ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
  - Créer un examen
    Fournissez l'URL de départ et les données d'identification de l'utilisateur pour l'examen, sélectionnez le type de site, puis (à défaut) vérifiez votre droit à examiner le site.
  - Créer un examen à partir d'un modèle
    Vous pouvez charger votre propre modèle de fichier AppScan Standard (SCANT) pour exécuter un examen AppScan 360°.
  - Créer un examen à partir d'un fichier d'examen
    Vous pouvez charger votre propre fichier d'examen AppScan Standard (SCAN) pour exécuter un examen AppScan 360°.
  - Création d'un examen incrémentiel
  - Tester la politique
    La stratégie de test par défaut d'AppScan Standard est utilisée lors de l'exécution d'examens à partir de l'interface utilisateur AppScan 360°, mais d'autres stratégies peuvent être appliquées avec des examens importés ou des examens exécutés à partir de l'API.
  - Optimisation des tests
    L'optimisation du test utilise les filtres de test intelligents pour obtenir des examens plus rapides, avec une perte minimale de la couverture des problèmes. Lorsque la vitesse est un facteur à prendre en compte, choisissez entre quatre niveaux d'optimisation.
  - Automatisation des tests
    Intégrez l'examen dynamique dans vos tests fonctionnels.
  - Certificats client
- Enregistrement du trafic
  Vous pouvez enregistrer le trafic en tant que données d'exploration pour les examens DAST à l'aide de l'extension de navigateur AppScan Activity Recorder (pour Chrome ou Edge), du serveur proxy HCL AppScan Traffic Recorder ou d'AppScan Standard.
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.
- AppScan Standard
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories dans lesquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Reference
Quelques questions fréquentes et informations sur l'intégration d'AppScan 360° au cycle de vie du produit (SDLC).

Automatisation des examens DAST

Intégrez l'examen dynamique dans vos tests fonctionnels.

Dans l'univers des DevOps, il est de plus en plus important de pouvoir intégrer des examens de sécurité au processus de test fonctionnel pour vos applications Web. Si vous utilisez une structure d'automatisation (comme Selenium), vous pouvez tirer parti des scripts déjà écrits pour créer des examens personnalisés :

Les requêtes provenant de la structure d'automatisation vers les applications Web sont transmises via le proxy du serveur proxy.
Le serveur enregistre le trafic et le sauvegarde sous la forme d'un fichier dast.config.
Téléchargez le fichier à utiliser parAppScan 360° en tant que données Explore pour un examen.
Envoyez manuellement le trafic via le proxy du serveur d'automatisation pour créer un fichier dast.config.

AppScan 360° Flux de travaux d'automatisation :

Examens en cours :
1. Démarrez le proxy en écoutant sur le port indiqué ou sélectionné de manière aléatoire, en fonction de la configuration (voir Démarrage et arrêt de l'HCL AppScan Traffic Recorder).
2. Exécutez votre script Selenium (ou un autre test fonctionnel) via le proxy sélectionné,
  OU
  Parcourez votre application Web manuellement à l'aide d'un navigateur Web configuré pour fonctionner avec le proxy sélectionné.
3. Arrêtez le proxy et sauvegardez l'enregistrement du trafic.
4. Publiez sur AppScan 360° à l'aide de l'API REST AppScan 360°, en créant un nouvel examen sous une application spécifique. Voir API REST.

Vous pouvez télécharger notre script de démonstration pour ce flux de travaux à l'aide de l'API REST. Téléchargez le script de démonstration.

Remarque : Pour utiliser le script de démonstration avec AppScan 360° :

Dans le script Python, remplacez la self.asoc_base_url variable par l'URL du serveur AppScan 360°.
La variable self.asoc_presence_id ne s'applique pas à AppScan 360°.

Voir aussi :

API REST