Rapports

Générez des rapports pour les problèmes détectés dans une application. Envoyez les rapports aux développeurs, auditeurs internes, testeurs de pénétration, responsables et responsable de la sécurité informatique. Les informations de sécurité peuvent être très importantes et peuvent être filtrées selon vos besoins.

Rapports d'application et d'examen

A partir des pages Application et Examen, vous pouvez générer divers rapports sur le statut actuel de l'application.

Pour générer un rapport d'exécution d'application ou d'examen :
  1. Pour une application, sur la page Application, sélectionnez Gérer > Rapport.
    Pour un examen :
    • Sur la page Examens et sessions, sélectionnez les points de suspension () à l’extrême droite de l’examen de votre choix dans la liste, puis sélectionnez Télécharger le rapport ou
    • Sur la page récapitulative Examen, sélectionnez Gérer l’examen > Télécharger le rapport.
    La boîte de dialogue de rapport d'application s'ouvre.
  2. Sélectionnez le Type de rapport :
    • Rapport de sécurité : Rapport configurable sur tous les problèmes détectés dans l'application.
    • Rapport sur les normes de l'industrie : A l'étape suivante, sélectionnez un rapport dans la liste.
    • Rapport sur la conformité légale : A l'étape suivante, sélectionnez un rapport dans la liste.
    • Rapport Open Source (SAST et SCA uniquement) : Un rapport dresse la liste de toutes les bibliothèques Open source (et leurs licences) trouvées dans votre code, ainsi que les niveaux de risque Open source associés.
    • Nomenclature logicielle (SBOM) (SCA uniquement) : Liste normalisée des bibliothèques Open source de vos applications. Ce type de rapport est disponible uniquement pour les examens SCA.
  3. Donnez un nom à votre rapport (ou conservez le nom par défaut) et sélectionnez le type de fichier (HTML, PDF et dans certains cas CSV et XML).
  4. Ajoutez une remarque qui sera insérée en haut du rapport. Facultatif.
  5. Cliquez sur Suivant pour continuer.

    Voir ci-dessous pour plus d'informations sur les rapports de sécurité, les rapports sur les normes de l'industrie et sur la conformité légale, les rapports SBOM et les formats d’export d’examen.

Rapports de sécurité

Des rapports de sécurité peuvent être générés pour les éléments suivants :
  • Une application entière
  • Un examen spécifique (si l'examen a été exécuté plusieurs fois, vous devez spécifier quelle exécution est utilisée)
  • Liste de problèmes filtrée
  • Groupe de correctifs
Pour générer un rapport de sécurité :
  1. Effectuez l'une des opérations suivantes :
    • Sur la page Application, sélectionnez Gérer > Rapport > Rapport de sécurité.
    • Sur la page Examen, sélectionnez Gérer l’examen > Télécharger le rapport > Rapport de sécurité.
    • Sur la page Problèmes ou Groupe de correctifs, appliquez des filtres pour afficher uniquement les problèmes que vous souhaitez inclure dans le rapport, puis cliquez sur Rapport de sécurité
    ASoC ouvre la boîte de dialogue du rapport. Le titre de la boîte de dialogue dépend de l'endroit où vous avez lancé le rapport.
  2. Donnez un nom à votre rapport (ou conservez le nom par défaut) et sélectionnez le type de fichier (HTML, PDF et dans certains cas CSV et \).
  3. Ajoutez une remarque qui sera insérée en haut du rapport. Facultatif.
  4. Indiquez la portée du rapport, si nécessaire.
    1. Problèmes de non-conformité : Problèmes actifs (avec le statut suivant : « Ouvert », « En cours », « Réouvert » et « Nouveau » (obsolète)) qui sont également non conformes à une ou plusieurs stratégies.
    2. Tous les problèmes : Tous les problèmes de l'application, y compris tous les problèmes de statut, de gravité et de conformité, et en fonction de la portée dans la page Paramètres. « Tous les problèmes » inclut chaque problème lorsque la portée dans la page des paramètres est définie sur « Basé sur le statut ». Si la portée est définie sur « Basé sur le statut et les stratégies », elle inclura tous les problèmes non conformes à une ou plusieurs stratégies. Notez que le filtre des problèmes actifs n'est pas applicable ici et que tous les problèmes seront inclus.
  5. Cochez les cases correspondant aux sections souhaitées dans le rapport et désélectionnez celles que vous ne souhaitez pas.
  6. Cliquez sur Générer le rapport.
    Le rapport est généré et enregistré sur votre machine.
    Remarque : Pour les listes filtrées, le rapport de sécurité filtré est généré lorsque vous cliquez sur le bouton. Par conséquent, contrairement au rapport de sécurité général qui reflète les données au moment où l'examen est terminé, le rapport filtré reflète le dernier statut des problèmes détectés. Par exemple, un problème modifié de Nouveau à Corrigé apparaît comme Corrigé dans ce rapport.
    Remarque : Dans le cas de rapports très volumineux, la génération de PDF peut échouer. Dans ce cas, un rapport HTML est généré. Si cela se produit et que le format PDF est nécessaire, utilisez des filtres pour créer des blocs de problèmes plus petits et générer deux rapports ou plus.

Rapports sur les normes de l'industrie et sur la conformité légale

Choisissez parmi les rapports suivants pour une application :
Norme du secteur Conformité aux réglementations
25 faiblesses logicielles les plus dangereuses répertoriées par CWE - 2021 CANADA Freedom of Information and Protection of Privacy Act (FIPPA)
Norme internationale - ISO 27001 Règlement général sur la protection des données (RGPD) de l'UE
Norme internationale - ISO 27002 Norme de sécurité des données d'application de paiement
NIST Special Publication 800-53 Conformité PCI
Rapport OWASP Top 10 API Security 2019 South Africa Protection of Personal Information Act (PoPIA)
OWASP Top 10 2017 US California Consumer Privacy Act (CCPA) - AB-375
OWASP TOP 10 - 2021 US DISA's Application Security and Development STIG. V5R2
OWASP Mobile Top 10 2016 US Electronics Funds and Transfer Act (EFTA)
Classification des menaces par le consortium WASC 2.0 US Federal Information Security Modernization Act (FISMA)
US Federal Risk and Authorization Management Program (FedRAMP)
US Health Insurance Portability and Accountability Act (HIPAA)
US Sarbanes-Oxley Act (SOX)

Pour générer un rapport pour une sous-section des résultats, par exemple Elevé et Critique uniquement, ou uniquement les problèmes détectés après une certaine date, vous pouvez appliquer un filtre aux résultats avant de générer le rapport.

Rapports Nomenclature logicielle (SBOM)

Un rapport Nomenclature logicielle (SBOM) est un inventaire imbriqué des composants qui constituent un artefact logiciel. Les rapports SBOM sont disponibles uniquement pour les examens SCA, une licence SCA valide étant requise.

Pour générer un rapport SBOM, procédez comme suit :
  1. Exécutez l'une des opérations suivantes :
    • Sur la page Examens et sessions, sélectionnez les points de suspension () à l’extrême droite de l’examen de votre choix dans la liste, puis sélectionnez Télécharger le rapport ou
    • Sur la page récapitulative Examen, sélectionnez Gérer l’examen > Télécharger le rapport.
  2. Sélectionnez Nomenclature logicielle (SBOM) comme type de rapport et spécifiez un nom et un format de fichier (TV ou JSON).
  3. Cliquez sur Suivant.
  4. Spécifiez les champs obligatoires suivants qui apparaîtront dans le rapport final :
    • Nom du document : Titre du rapport SBOM.
    • Nom de l'organisation : Organisation pour laquelle le rapport est généré.
    • Nom du créateur : E-mail de la personne qui crée le rapport.
  5. Cliquez sur Générer le rapport.

Exporter les données d'examen sous forme de fichier CSV, JSON ou SARIF

Vous pouvez exporter des données à partir de la liste Problèmes d'une application ou d'un examen sous forme de fichier CSV, JSON ou SARIF.
Remarque :
  • Seuls les administrateurs ont la possibilité d'exporter.
  • L'option SARIF s'applique uniquement aux problèmes SAST, sans inclure les problèmes SCA (open source). Elle n'est pas disponible avec les abonnements gratuits.
Pour exporter des données :
  1. Filtrez la liste des problèmes selon vos besoins, jusqu'à ce que seuls les problèmes que vous souhaitez exporter soient affichés.
  2. A l'aide de la liste déroulante Colonnes située à droite au-dessus du tableau, sélectionnez les colonnes que vous souhaitez inclure.
  3. En haut du tableau, cliquez sur Actions, puis sur Exporter.

    La boîte de dialogue Exporter les données s'ouvre.

  4. Saisissez le nom du fichier, sélectionnez CSV, JSON ou SARIF.
  5. Cliquez sur Exporter.

    Les données sont exportées vers le fichier.