Aller au contenu principal
HCL Logo Help Center
HCL TECHNOLOGIES ABOUT US PRODUCTS & SOLUTIONS RESOURCES CONTACT US
La sécurité traite de la protection des ressources importantes. Votre organisation possède des ressources importantes sous forme d'informations, d'éléments de propriété intellectuelle, de plans stratégiques et de données client. La protection de ces informations est critique pour que votre organisation fonctionne, soit compétitive et réponde aux exigences en matière de réglementation.
Configuration système requise
Cette rubrique présente des liens vers les configurations système requises et les systèmes d'exploitation compatibles, ainsi que les langages pour les analyseurs ASoC. Vous pouvez également en savoir plus sur les navigateurs pris en charge et la résolution minimum pour le service.
Mises à jour récentes
Découvrez les fonctions à venir et récemment ajoutées.
Vidéos de démo
Ces vidéos pratiques montrent l'utilisation d'ASoC et la manière dont il s'adapte dans votre flux de travail, tout en offrant des conseils et astuces.
Contact et support
Voici quelques liens qui peuvent vous sembler utiles.
Certification ISO/IEC 27001:2013
HCL AppScan on Cloud a obtenu la certification ISO/IEC 27001:2013 en avril 2018.
Flux de travaux
Cette section décrit un flux de travaux ASoC standard pour un utilisateur autorisé disposant d'un abonnement valide.
Menu principal
Cette section décrit les éléments du menu ASoC principal et propose des liens vers la documentation pertinente.
Abonnements
Mes abonnements montre le statut de tous les abonnements de votre organisation, y compris le nombre d'applications ou d'examens restants, ainsi que les dates de début et de fin.
Gestion des utilisateurs vous permet de limiter l'accès aux applications sensibles en les affectant à des groupes de fichiers métadonnées, puis en ajoutant des utilisateurs spécifiques à ces groupes.
Gestion des utilisateurs
Examinez vos utilisateurs et choisissez les personnes qui doivent accéder à certaines applications et à certains groupes de fichiers métadonnées. Envisagez de les regrouper par unité d'activité ou par emplacement géographique. Par défaut, tous les utilisateurs qui ne sont pas désignés comme administrateurs sur Cloud Marketplace sont des testeurs d'applications. Choisissez les utilisateurs qui doivent être uniquement des afficheurs de rapports et modifiez leur rôle.
Rôles utilisateur
Les utilisateurs sont affectés à des groupes de fichiers métadonnées par un administrateur. Il est impossible de supprimer des rôles utilisateur prédéfinis.
Groupes de fichiers métadonnées
Les groupes de fichiers métadonnées représentent les composants abstraits de votre organisation, comme les finances ou l'ingénierie. Les administrateurs peuvent limiter l'accès à des applications spécifiques en les affectant à un groupe de fichiers métadonnées et en limitant les utilisateurs qui appartiennent au groupe.
Attributs d'application
Les attributs d'application sont les propriétés de l'application. Ils figurent sous forme d'en-têtes de colonne dans l'onglet Mes applications. Vous pouvez les utiliser pour filtrer des listes d'applications afin de vous concentrer sur les éléments à traiter. Le tableau ci-après explique les attributs prédéfinis que vous pouvez éditer (les attributs Date de création et Dernière mise à jour sont contrôlés par ASoC).
Création d'une application
Créez une application et importez des problèmes pour pouvoir suivre la progression des tests de sécurité et l'impact sur l'activité pour vos applications Web essentielles.
Filtrage de votre inventaire d'applications
Lorsque vous devez tester de nombreuses applications afin de détecter d'éventuels problèmes de sécurité, comment trouver celles qui vous intéressent dans une liste si longue ? Filtrez votre inventaire par unité d'activité ou par évaluation des risques afin de limiter la portée du test.
Importation d'une liste d'applications
L'importation d'une liste d'inventaire de vos applications peut vous faire gagner du temps, car elle réduit le nombre de tâches manuelles redondantes. Commencez avec un exemple de feuille de calcul comportant des attributs d'application ou fusionnez l'exemple de feuille de calcul avec votre liste existante. Votre liste d'applications doit être au format CSV. Veillez à utiliser un éditeur de feuille de calcul tel que Microsoft™ Excel ou Apache OpenOffice Calc afin d'éditer votre fichier CSV.
Une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet, ainsi que d'intégrer l'examen à vos tests fonctionnels.
Configuration système requise
Création du AppScan Presence
Pour les applications Web ou mobiles ou pour l'intégration d'un examen à votre procédure de test fonctionnel, vous devez créer une instance une instance AppScan Presence, avec accès à l'application Web ou au serveur de back end et à Internet. Elle peut être utilisée pour des applications Android et iOS, ainsi que pour des sites Web. Les connexions proxy sont prises en charge.
Démarrage de AppScan Presence
Configuration du serveur proxy
Pour utiliser le serveur proxy dans l'instance AppScan Presence, vous devez à la fois l'activer et le configurer.
Utilisation du serveur proxy
Vous pouvez utiliser le serveur proxy de l'instance AppScan Presence pour enregistrer le trafic, l'enregistrer en tant que fichier CONFIG et l'importer afin d'exécuter un examen ASoC.
Configuration d'un proxy Private Site Server
Si votre réseau privé nécessite Private Site Server pour utiliser un proxy pour la connexion à l'application Web ou à un serveur back end (proxy interne) ou à Internet (proxy sortant), configurez-le de la façon suivante
Configuration d'un fichier PAC
Si un fichier d'auto-configuration de proxy (PAC) est nécessaire pour accéder aux différents domaines de votre site, configurez l'instance AppScan Présence comme suit.
Renouvellement de la clé de l'instance Presence
Lorsque vous téléchargez l'instance Presence pour la première fois, elle contient une clé d'activation. Lorsque cette clé arrive à expiration, vous devez la remplacer par une clé valide.
Découvrez comment exécuter des examens de vos applications et importer des problèmes à partir de scanners tiers.
Exemples de script et d'application
Utilisez ces exemples d'applications pour vous entraîner aux examens avec ASoC.
Analyse des applications mobiles
ASoC peut effectuer une analyse interactive et statique des applications iOS et Android.
Analyse dynamique
ASoC peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur.
Examens dynamiques automatiques
Cette section décrit la manière d'intégrer l'examen dynamique automatique à vos tests fonctionnels.
Examens personnels
Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale, ou la conformité.
Sites privés
une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet.
Analyse statique
Utilisez l’analyse statique afin d’examiner le code source et de détecter les éventuelles vulnérabilités de sécurité. A cette fin, téléchargez un petit utilitaire client et utilisez son interface de ligne de commande (CLI) pour effectuer l'analyse de sécurité sur tous les langages pris en charge. L'utilitaire client contient également un plug-in Maven qui peut être utilisé pour examiner les projets Java. Des plug-ins d'analyse statique pour Eclipse, IntelliJ IDEA et Visual Studio sont disponibles au travers de leurs marketplaces respectifs. Une fois les plug-ins installés, vous pouvez examiner des projets Java, dans Eclipse et IntelliJ IDEA ou des projets .NET (C#, ASP.NET, VB.NET) dans Visual Studio.
Importation de problèmes à partir de scanners tiers
Que vous utilisiez des scanners tiers ou réalisiez des tests de pénétration manuels pour détecter des problèmes, vous pouvez importer ces derniers depuis un fichier CSV vers ASoC afin de les trier.
Vous pouvez créer ou utiliser des règles prédéfinies pour filtrer les problèmes détectés lors des examens, puis associer une ou plusieurs règles à une application.
Règles personnalisées
Si vous disposez des autorisations requises, vous pouvez créer/supprimer vos propres règles personnalisées.
Association à une application
Activation/désactivation
Etat de conformité d'une application
L'onglet Historique des examens de votre application contient les résultats d'examen (y compris les statistiques d'examen) ainsi que les options de réexamen.
Exemples de rapport de sécurité
Données d'application
Données d'examen
Données relatives aux problèmes
Génération des rapports
Vous pouvez générer un rapport de sécurité pour les problèmes détectés dans une application et les envoyer aux développeurs, auditeurs internes, testeurs d'effraction, directeurs et responsables de la sécurité. Les informations de sécurité peuvent être très importantes et peuvent être filtrées selon vos besoins.
Triage des problèmes
Tous les problèmes sont classifiés par défaut à l'état nouveau. Vous pouvez visualiser une classification de problème en affichant son état.
Etat des problèmes
Les problèmes peuvent être associés à l'état New, Open, In Progress, Noise, Reopened, Passed ou Fixed. Les problèmes dont l'état est Open, In Progress et Reopened apparaissent dans la grille des problèmes d'une application.
Résolution
Une fois que les risques sont déterminés et que les vulnérabilités sont hiérarchisées, votre équipe de sécurité peut commencer le processus de résolution.
Réexamen
Après votre premier examen, si vous résolvez des problèmes, vous pouvez à nouveau examiner la même application à plusieurs reprises et écraser les résultats précédents, afin que le tableau de bord affiche toujours les résultats actuels. Lorsque vous effectuez un nouvel examen (au lieu d'en démarrer un nouveau), il écrase le précédent.
Résultats des examens d'analyse statique
Cette rubrique décrit les fonctionnalités disponibles dans les résultats de l'examen utilisant l'analyse statique.
Utilisez le tableau de bord pour suivre les différentes mesures et tendances des applications de votre organisation. Selon votre rôle d'utilisateur, vous ne verrez que les graphiques du tableau de bord des groupes de fichiers métadonnées auxquels vous appartenez.
Graphiques du tableau de bord
Suivez les différentes mesures et tendances qui composent votre inventaire.
L'interface d'API REST intégrée vous permet de visualiser les services Web RESTful. La documentation API est élaborée à l'aide de Swagger. Vous pouvez y tester des opérations API et consulter instantanément les résultats afin d'examiner vos applications plus rapidement.
Génération de clés d'API
Utilisez un ID et un mot de passe de clé pour accéder aux API REST ASoC et vous connecter à partir de certains outils client ASoC (par exemple, depuis le plug-in Jenkins et les plug-ins d'interface de ligne de commande d'analyse statique et d'environnement de développement intégré).
OData
Cette section fournit des informations et conseils pour l'utilisation de l'Open Data Protocol (OData) via l'API ASoC.
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
AppScan Presence
Cette section propose des tâches d'identification et de résolution des incidents pour les erreurs détectées en travaillant avec AppScan Presence.
Analyse statique
Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Informations sur la manière d'intégrer ASoC dans le cycle de vie du produit (SDLC), et documentation de l'API ASoC.
FAQ
Certaines foires aux questions
Classe de menaces et CWE
Tableaux affichant les classes de menaces des problèmes testés par ASoC et les numéros CWE associés.
Compréhension de l'examen de site privé
ASoC propose la fonctionnalité Dynamic Application Security Testing (DAST) depuis un scanner cloud tel que SaaS. Cette capacité exige que le scanner cloud puisse accéder à l'application testée. Il est possible d'examiner sans problème des applications Web disponibles au public. Cependant, l'examen de site privé n'est possible qu'après avoir ajouté des composants réseau (tels que des VPN ou des proxy) ou modifié le réseau pour permettre au scanner d'accéder au serveur hôte de l'application Web.
HCL AppScan on Cloud Contrat de service
Sep2019v3