Mise en route

La sécurité traite de la protection des ressources importantes. Votre organisation possède des ressources importantes sous forme d'informations, d'éléments de propriété intellectuelle, de plans stratégiques et de données client. La protection de ces informations est critique pour que votre organisation fonctionne, soit compétitive et réponde aux exigences en matière de réglementation.

Introduction

HCL AppScan on Cloud (ASoC) est une solution SaaS pour tous les besoins de test de sécurité des applications. Celle-ci regroupe toutes les fonctionnalités de test d'HCL Security en un service unique qui offre une expérience uniforme pour toutes les technologies. HCL Security ASoC peut examiner les applications Web, mobiles et de bureau en utilisant des techniques dynamiques et statiques.
Dynamic Analysis (DAST)
ASoC effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert. Voir Examens dynamiques (DAST)
Static Analysis (SAST)
ASoC effectue des examens de sécurité pour les applications Web et de bureau. Son analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente). L'IFA peut réduire considérablement l'effort manuel de tri des résultats de sécurité pour se concentrer uniquement sur les questions essentielles. L'ICA aide à réduire ou à éviter complètement la configuration complexe requise dans les autres technologies, améliorant automatiquement la précision des examens. Voir Examens statiques (SAST)
Analyse des applications mobiles
ASoC effectue des analyses de sécurité d'exécution pour les applications Android et iOS. En téléchargeant simplement l'image de l'application (fichiers APK ou IPA), une analyse d'exécution est effectuée et les problèmes trouvés sont renvoyés avec des instructions d'émission pour faciliter le débogage et la résolution. Comme pour l'analyse dynamique, les applications mobiles de pré-production avec des backends de services accessibles uniquement au sein de l'entreprise peuvent être testées en utilisant la technologie d'examen de site privé. Voir Examens mobiles
Analyse interactive (IAST)
A l'aide d'un agent installé sur le serveur Web d'une application en cours d'examen, ASoC surveille le flux de données dans l'application et analyse le code de l'application qui s'exécute. Le processus est "passif", dans le sens où l'examen ISAT n'envoie pas ses propres tests et, par conséquent, ne peut pas s'exécuter indéfiniment. Voir Examens interactifs (IAST)
Analyse open source
ASoC identifie les packages open source utilisés dans l'application, reporte ceux qui ont des vulnérabilités connues et propose des conseils de résolution. Les tests open source peuvent être exécutés seuls ou faire partie d'un examen statique. Voir Test Open Source

ASoC est doté d'une interface utilisateur Web activant toutes ses fonctionnalités. Toutefois, il est également possible d'utiliser des plug-ins d'environnement de développement intégré et de systèmes d'automatisation. Ainsi, l'interaction avec le service en lui-même n'est pas requise si elle n'est pas nécessaire. Les développeurs, par exemple, restent dans leur propre environnement de développement intégré (IDE) sans avoir à basculer entre l'IDE et le navigateur. Les plug-ins d'environnement de développement intégré activent également des interactions de code qui seraient impossibles en utilisant l'interface utilisateur Web.

Pour parfaire ses fonctionnalités, ASoC affiche également un jeu complet d'API REST qui coordonne les opérations dans ASoC. ASoC convient donc parfaitement pour l'intégration dans des environnements d'automatisation. Les clients peuvent composer leurs propres flux de travaux en utilisant les API REST, plutôt que d'être rattachés à un flux de travaux ASoC.

ASoC aide au respect de la stratégie de sécurité. En utilisant ces stratégies prédéfinies ou en définissant des stratégies personnalisées, il est facile d'identifier les applications non conformes et qui nécessitent une attention particulière. En utilisant les filtres selon des stratégies définies, les problèmes et leur résolution peuvent être classés par ordre de priorité. Au lieu de se perdre en traitant de multiples problèmes, le filtrage selon des stratégies spécifiques aide à établir des priorités pour résoudre des problèmes spécifiques.

ASoC vous permet également effectuer des examens personnels qui s'affichent dans la liste des examens d'une application, mais dont les données d'examens ne sont pas fusionnées avec le reste des résultats de l'application. Les développeurs peuvent donc effectuer des examens sans prendre en compte les problèmes qui s'affichent dans les données globales de l'application. Les résultats des examens personnels peuvent ainsi être analysés en vue de rechercher des problèmes importants avant que le code ne soit inscrit dans le flux de code principal.

La solution ASoC permet d'exploiter toutes les fonctionnalités d'examen pour analyser de nombreux types d'applications, de gérer la conformité de l'ensemble de l'entreprise en matière de sécurité et d'automatiser les opérations d'analyse de sécurité.