Accueil
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Organisation
L'organisation est votre hub GoTo pour la gestion des stratégies, des domaines, des paramètres, des abonnements et des pistes d'audit. C'est là que vous contrôlez et organisez tout.
Domaines
La vue Domaines répertorie les domaines pour lesquels vous êtes autorisé à exécuter des examens dynamiques (DAST) et vous permet de vérifier des domaines supplémentaires à examiner. La vérification n'est pas nécessaire pour les sites privés où une instance AppScan Presence est utilisée.
Vérification d'un domaine
Avant de pouvoir examiner un domaine sur Internet, ASoC doit vérifier que vous avez le droit de l'examiner. La vérification n'est pas nécessaire pour les domaines non disponibles sur Internet (sites privés).

Mise en route
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
- Toutes les applications
  La page Applications répertorie toutes les applications de votre organisation qui se trouvent dans les groupes d'actifs auxquels vous êtes affecté. A partir de la page Applications, vous pouvez créer de nouvelles applications et ouvrir des pages d'applications individuelles.
- Examens et sessions
  Cette vue répertorie tous les examens et sessions de toutes vos applications.
- Bibliothèques Open Source
  Recherchez, consultez et intervenez sur les bibliothèques Open Source associées aux applications.
- Tableau de bord
  Le tableau de bord principal est le troisième élément de la barre de menus principale. Il vous donne une présentation détaillée de l'état actuel et de l'historique de toutes vos applications.
- Organisation
  L'organisation est votre hub GoTo pour la gestion des stratégies, des domaines, des paramètres, des abonnements et des pistes d'audit. C'est là que vous contrôlez et organisez tout.
  - Domaines
    La vue Domaines répertorie les domaines pour lesquels vous êtes autorisé à exécuter des examens dynamiques (DAST) et vous permet de vérifier des domaines supplémentaires à examiner. La vérification n'est pas nécessaire pour les sites privés où une instance AppScan Presence est utilisée.
    - Vérification d'un domaine
      Avant de pouvoir examiner un domaine sur Internet, ASoC doit vérifier que vous avez le droit de l'examiner. La vérification n'est pas nécessaire pour les domaines non disponibles sur Internet (sites privés).
  - Paramètres
    Les paramètres vous permettent de naviguer et de configurer efficacement les paramètres au sein de votre organisation et de votre centre de données.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Vérification d'un domaine

Avant de pouvoir examiner un domaine sur Internet, ASoC doit vérifier que vous avez le droit de l'examiner. La vérification n'est pas nécessaire pour les domaines non disponibles sur Internet (sites privés).

Pourquoi et quand exécuter cette tâche

Vous pouvez vérifier un domaine soit en ajoutant un petit fichier à son dossier racine, soit en confirmant votre droit en cliquant sur un lien dans un e-mail.

Procédure

Dans Paramètres > Domaines, cliquez sur Vérifier un nouveau domaine.
Sélectionnez votre méthode de vérification préférée :
- Je vais ajouter un fichier de vérification au dossier racine de mon site.
  1. Cliquez sur Télécharger pour enregistrer le fichier sur votre machine.
  2. Ajoutez le fichier au répertoire racine de votre site (veillez à l'ajouter à un emplacement au-dessus de toutes les parties du site que vous allez examiner).
- M'envoyer un e-mail avec un lien de vérification
  1. Cliquez sur Envoyer un e-mail.
  2. Ouvrez l'e-mail qui vous a été envoyé et cliquez sur le lien.
Cliquez sur Terminé.
Le site est ajouté à la liste des domaines, avec le statut « En attente ». La première fois que vous lancez un examen, ASoC vérifie le fichier que vous avez ajouté et remplace le statut par « Vérifié ».

Exemple

Si votre application inclut des liens vers des URL en dehors du domaine de l'URL de départ, elles doivent être vérifiées pour être incluses dans l'examen (sauf s'il s'agit de sites privés et que vous utilisez une instance AppScan Presence). Prenons les exemples suivants :

Sous-domaines :

L'URL de départ est : http://a.com/home/.

Le site contient des liens vers http://b.a.com, qui est un sous-domaine de a.com.

Le sous-domaine sera automatiquement inclus dans la vérification et l'examen.

Domaines parallèles ou parents :

URL de départ : http://b.a.com/home/.

Le site contient des liens vers un domaine parallèle http://c.a.com, ou un domaine parent, http://a.com et vous souhaitez que ces liens soient inclus dans l'examen.

Pour garantir une couverture totale :

Vérifiez a.com, OU
Vérifiez b.a.com et c.a.com, et lors de la création de l'examen dans Créer un examen > Dynamique (DAST), décochez la case Inclure uniquement les liens dans et sous ce répertoire.