À propos HCL AppScan on Cloud

La sécurité traite de la protection des ressources importantes. Votre organisation possède des ressources importantes sous forme d'informations, d'éléments de propriété intellectuelle, de plans stratégiques et de données client. La protection de ces informations est critique pour que votre organisation fonctionne, soit compétitive et réponde aux exigences en matière de réglementation.

Introduction

HCL AppScan sur Cloud (ASoC) est une solution SaaS pour tous les besoins de test de sécurité des applications. Celle-ci regroupe les fonctionnalités de test d'HCL Security en un service unique qui offre une expérience uniforme pour toutes les technologies. HCL Security AppScan sur Cloud peut examiner les applications Web, mobiles et de bureau en utilisant des techniques dynamiques et statiques.

Analyse dynamique (DAST): ASoC effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, ASoC s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert. Voir Examen dynamique (DAST).
Analyse statique (SAST): ASoC effectue des examens de sécurité pour les applications Web et de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente). L'IFA réduit considérablement l'effort manuel de tri des résultats de sécurité pour se concentrer uniquement sur les questions essentielles. L'ICA aide à réduire ou à éviter complètement la configuration complexe requise dans les autres technologies, améliorant automatiquement la précision des examens. Voir Examens statiques (SAST).
Surveillance interactive (IAST): A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, à la fois légitimes et malveillantes. Le processus est « passif », dans le sens où ISAT n'envoie pas ses propres tests et, par conséquent, ne peut pas s'exécuter indéfiniment. Voir A propos de la surveillance interactive (IAST).
Analyse de la composition du logiciel (SCA): ASoC identifie les packages Open Source utilisés dans une application, signale ceux qui ont des vulnérabilités connues et propose des conseils de résolution. Les tests SCA peuvent être exécutés seuls ou faire partie d'un examen statique. Voir À propos de l'analyse de la composition du logiciel (SCA).

ASoC est doté d'une interface Web qui active toutes ses fonctionnalités. Toutefois, il est également possible d'utiliser des plug-ins d'IDE et de systèmes d'automatisation. Ainsi, l'interaction avec le service en lui-même n'est pas requise si elle n'est pas nécessaire. Les développeurs, par exemple, restent dans leur propre environnement de développement intégré (IDE) sans avoir à basculer entre l'IDE et le navigateur. Les plug-ins d'IDE activent également des interactions de code qui seraient impossibles en utilisant l'interface Web.

Pour parfaire ses fonctionnalités, ASoC affiche également un jeu complet d'API REST qui coordonne les opérations dans ASoC. ASoC convient donc parfaitement pour l'intégration dans des environnements d'automatisation. Les clients peuvent composer leurs propres flux de travaux en utilisant les API REST, plutôt que d'être rattachés à un flux de travaux ASoC.

ASoC aide au respect de la stratégie de sécurité. En utilisant ces stratégies prédéfinies ou en définissant des stratégies personnalisées, il est facile d'identifier les applications non conformes et qui nécessitent une attention particulière. En utilisant les filtres selon des stratégies définies, les problèmes et leur résolution peuvent être classés par ordre de priorité. Au lieu de se perdre en traitant de multiples problèmes, le filtrage selon des stratégies spécifiques aide à établir des priorités pour résoudre des problèmes spécifiques.

ASoC vous permet également d'effectuer des examens personnels. Les examens personnels s'affichent dans la liste des examens pour une application, mais les données d'examen ne sont pas fusionnées avec le reste des résultats de l'application. Les développeurs peuvent donc effectuer des examens sans prendre en compte les problèmes qui s'affichent dans les données globales de l'application. Les résultats des examens personnels peuvent ainsi être analysés en vue de rechercher des problèmes importants avant que le code ne soit inscrit dans le flux de code principal.

ASoC permet d'exploiter toutes les fonctionnalités d'examen pour examiner de nombreux types d'applications, de gérer la conformité de l'ensemble de l'organisation en matière de sécurité et d'automatiser les opérations d'examen de sécurité.