Stratégies

Vous pouvez créer ou utiliser des règles prédéfinies pour filtrer les problèmes détectés lors des examens, puis associer une ou plusieurs règles à une application.

ASoC contient actuellement six règles prédéfinies. Vous pouvez créer vos propres règles personnalisées à l'aide de nos fonctions prédéfinies. La création et la gestion de règles sont disponibles via l'interface utilisateur et l'API REST.
Remarque : lorsque vous associez une ou plusieurs règles à une application, la règle est activée par défaut. Vous pouvez désactiver la règle tout en conservant l'association, pour la réactiver ultérieurement.
Remarque : lorsque vous supprimez une règle, toutes les associations sont supprimées.

Règles et fonctions prédéfinies

Il existe actuellement six règles et huit fonctions prédéfinies. Toutes les règles prédéfinies sont disponibles via l'interface utilisateur, ainsi que via l'API.
Tableau 1. Règles prédéfinies
Nom du rapport Description
Baseline Permet d'identifier les problèmes détectés après avoir défini la date dans le paramètre StartDate.
CWE/SANS Top 25 Permet d'identifier les problèmes définis par la liste SANS Institute and Common Weakness Enumeration (CWE) comme faisant partie des 25 principales erreurs critiques susceptibles d'entraîner des vulnérabilités au niveau du logiciel.
Règlement général sur la protection des données (RGPD) de l'Union européenne Permet d'identifier les problèmes susceptibles d'empêcher la conformité de l'application avec le Règlement général sur la protection des données applicable depuis mai 2018.
HIPAA Permet d'identifier les problèmes de conformité avec la loi HIPAA (Health Insurance Portability and Accountability Act) de 1996.
OWASP top 10 2017 Permet d'identifier les problèmes définis par l'Open Web Application Security Project (OWASP) comme faisant partie des dix principaux risques pour la sécurité des applications Web.
Conformité PCI Permet d'identifier les problèmes de conformité avec la norme Payment Card Industry (PCI) Data Security Standard.
Tableau 2. Fonctions prédéfinies
Nom Paramètres Description
StartDate Date (possibilité d'inclure l'heure) dans l'un des formats suivants :
  • "yyy-MM-dd"
  • "yyyy-MM-ddThh:mmZ" (UTC)
  • "yyyy-MM-ddThh:mm+hh:mm" (heure locale +/- décalage UTC)
Renvoie des problèmes détectés après la date (et l'heure) indiquée.
Exemples :
Date uniquement
2018-04-24
Heure UTC
2018-04-24T10:30Z
Heure locale +/- décalage UTC
2018-04-24T11:30+01:00

2018-04-24T07:30-03:00

MinSeverity Gravité au format suivant : "Information | Faible | Moyenne | Elevée | Critique" Renvoie des problèmes de gravité supérieure ou égale au paramètre indiqué.
OwaspTop10_2017 S/O Renvoie des problèmes définis par OWASP comme faisant partie des 10 principaux risques pour la sécurité.
SansTop25 S/O Renvoie des problèmes définis par SANS Institute comme faisant partie des 25 principales erreurs critiques.
EUGdpr_2016 S/O Renvoie des problèmes qui empêchent la conformité de l'application avec le RGPD.
CWE Liste des ID CWE Renvoie des problèmes qui correspondent aux ID CWE spécifiés.
architecture PCI S/O Renvoie des problèmes qui empêchent la conformité de l'application avec la norme PCI sur la sécurité des données.
HIPAA S/O Renvoie des problèmes qui empêchent la conformité de l'application avec la loi HIPAA.