Bienvenue
Bienvenue dans la documentation relative à HCL AppScan on Cloud.
Mise en route
La sécurité traite de la protection des ressources importantes. Votre organisation possède des ressources importantes sous forme d'informations, d'éléments de propriété intellectuelle, de plans stratégiques et de données client. La protection de ces informations est critique pour que votre organisation fonctionne, soit compétitive et réponde aux exigences en matière de réglementation.
Mises à jour récentes
Découvrez les fonctions à venir et récemment ajoutées.
Configuration requise
Cette rubrique présente des liens vers les configurations système requises et les systèmes d'exploitation compatibles, ainsi que les langages pour les analyseurs ASoC. Vous pouvez également en savoir plus sur les navigateurs pris en charge et la résolution minimum pour le service.
Abonnements
Mes abonnements montre le statut de tous les abonnements de votre organisation, y compris le nombre d'applications ou d'examens restants, ainsi que les dates de début et de fin.
Workflow
Cette section décrit un flux de travaux ASoC standard pour un utilisateur autorisé disposant d'un abonnement valide.
Exemples de script et d'application
Utilisez ces exemples d'applications pour vous entraîner aux examens avec ASoC.
Vidéos de démo
Ces vidéos pratiques montrent l'utilisation d'ASoC et la manière dont il s'adapte dans votre flux de travail, tout en offrant des conseils et astuces.
Contact et support
Quelques liens utiles.
Certifications
Certificats ISO/IEC.
Description de service
La description du service décrit le service HCL AppScan on Cloud.
Conditions d'utilisation de l'essai
CONTRAT D'ESSAI DU SERVICE HCL APPSCAN ON CLOUD
Cette section décrit les éléments de la barre de menus ASoC principale et des liens vers des informations plus détaillées.
Administration
Définissez des utilisateurs, des applications, des stratégies et configurez des intégrations DevOps.
Utilisateurs
La gestion des utilisateurs permet de limiter l'accès aux applications sensibles en les affectant à des groupes de fichiers métadonnées, puis en ajoutant des utilisateurs spécifiques à ces groupes.
Applications
Une application est une collection d'examens liés au même projet. Il peut s'agit d'un site Web, d'une application de bureau, d'une application mobile, d'un service Web ou de tout composant d'une application. Les applications vous permettent d'évaluer le risque, d'identifier les tendances et de vous assurer que votre projet est conforme aux stratégies de l'industrie et de l'organisation.
Stratégies
Vous pouvez appliquer les stratégies prédéfinies, ainsi que vos propres stratégies personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.
DevOps
Outils pour l'intégration d'ASoC dans votre SDLC.
Examens personnels
Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale, ou la conformité.
Fichier d'audit
La trace d'audit (Organisation > Trace d'audit) consigne l'activité des utilisateurs.
DAST
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
L'examen dynamique (DAST)
ASoC peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles dans ASoC ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
AppScan Presence
Une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet, ainsi que d'intégrer l'examen à vos tests fonctionnels.
AppScan Traffic Recorder
AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.
Sites privés
Une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet.
IAST
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, à la fois légitimes et malveillantes. Le processus est "passif", dans le sens où ISAT n'envoie pas ses propres tests et, par conséquent, ne peut pas s'exécuter indéfiniment.
La surveillance interactive (IAST)
ASoC peut vérifier que le comportement d'exécution de l'application est normal, afin de détecter les vulnérabilités.
Démarrez la session IAST
Installez l'agent IAST sur votre serveur d'applications et configurez l'examen.
Déployer un agent IAST
Vous devez déployer l'agent IAST sur le serveur d'applications, afin qu'il puisse surveiller la communication avec l'application et faire un signalement à ASoC.
Deploy on Azure
Use the IAST agent to monitor applications that run on Azure App Service.
IAST à l'aide de l'API REST
Vous pouvez configurer et lancer un examen IAST, ainsi qu'un déploiement d'agents, via l'API REST.
Fichier de configuration IAST
Vous pouvez configurer un fichier JSON pour remplacer les paramètres IAST par défaut et ne signaler que les vulnérabilités que vous souhaitez connaître.
Paramètres utilisateur
Certains comportements IAST de bas niveau peuvent être contrôlés à l'aide de paramètres utilisateur.
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications. A cette fin, utilisez AppScan Go! ou téléchargez un petit utilitaire client et utilisez son interface de ligne de commande (CLI) pour effectuer l'analyse de sécurité sur le code source ou les fichiers binaires pour tous les langages pris en charge. Des plug-ins d'analyse statique pour Eclipseet Visual Studio sont disponibles au travers de leurs marketplaces respectifs. Une fois les plug-ins installés, vous pouvez examiner des projets Java, dans Eclipse ou des projets .NET (C#, ASP.NET, VB.NET) dans Visual Studio. Des informations supplémentaires sur les plug-ins et les intégrations sont répertoriées ici.
Configuration requise par le système pour l'analyse statique
Cette section décrit les systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que ASoC est capable d'examiner lorsque vous réalisez une analyse statique.
Examen des vulnérabilités de sécurité
Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.
Exemples de script et d'application
Utilisez ces exemples d'applications pour vous entraîner aux examens avec ASoC.
Traitement des incidents de l'analyse statique
Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Résultats
L'onglet Historique des examens de votre application contient les résultats d'examen (y compris les statistiques d'examen) ainsi que les options de réexamen.
Incidents
La page Problèmes d'une application affiche tous les problèmes trouvés. Vous pouvez appliquer plusieurs filtres pour voir les problèmes dont vous avez besoin et cliquer sur n'importe quel problème pour ouvrir le volet d'informations détaillées sur les problèmes.
Corrélation automatique des problèmes
AppScan analyse les problèmes détectés par IAST, DAST et SAST, afin d'identifier les liens faibles communs dans le code (ou les "corrélations") où plusieurs vulnérabilités peuvent être résolues à l'aide d'un effort de résolution unique ou consolidé.
Groupes de correctifs
Pour le moment, les groupes de correctifs s'appliquent uniquement aux problèmes détectés dans l'analyse statique.
Rapports
Vous pouvez générer un rapport de sécurité pour les problèmes détectés dans une application et les envoyer aux développeurs, aux auditeurs internes, aux testeurs d'effraction, aux directeurs et aux responsables de la sécurité. Les informations de sécurité peuvent être très importantes et peuvent être filtrées selon vos besoins.
Triage des problèmes
Tous les problèmes sont classifiés par défaut à l'état nouveau. Vous pouvez visualiser une classification de problème en affichant son état.
Etat des problèmes
Les problèmes peuvent être associés à l'état Open, In Progress, Noise, Reopened, Passed et Fixed.
Gravité du problème
Les problèmes peuvent être classés comme ils apparaissent dans la grille des problèmes d'une application.
Résolution
Une fois que les risques sont déterminés et que les vulnérabilités sont hiérarchisées, votre équipe de sécurité peut commencer le processus de résolution.
Réexamen
Après votre premier examen, si vous résolvez des problèmes, vous pouvez à nouveau examiner la même application à plusieurs reprises et écraser les résultats précédents, afin que le tableau de bord affiche toujours les résultats actuels. Lorsque vous effectuez un nouvel examen (au lieu d'en démarrer un nouveau), il écrase le précédent.
Résultats de l'examen IAST
Une entrée de l'examen interactif (IAST) affiche les résultats depuis le dernier lancement de l'examen.
Identification des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
AppScan Presence
Cette section propose des tâches d'identification et de résolution des incidents pour les erreurs détectées en travaillant avec AppScan Presence.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.
FAQ
Certaines foires aux questions
Classe de menaces et CWE
Tableaux affichant les classes de menaces des problèmes testés par ASoC et les numéros CWE associés.
Comprendre l'examen DAST
Un examen ASoC Dynamic (DAST) consiste en deux étapes : l'exploration et le test. Il est utile de comprendre l'idée principale d'un examen, même si le processus de l'examen est continu pour l'utilisateur et que celui-ci n'a pas d'opérations à effectuer jusqu'à ce que l'examen soit terminé. La phase d'exploration peut être exécutée automatiquement dans le cadre de l'examen automatique, manuellement par l'utilisateur ou une combinaison des deux.
Comprendre l'examen de site privé
ASoC propose la fonctionnalité Dynamic Application Security Testing (DAST) depuis un scanner cloud tel que SaaS. Cette capacité exige que le scanner cloud puisse accéder à l'application testée. Il est possible d'examiner sans problème des applications Web disponibles au public. Cependant, l'examen de site privé n'est possible qu'après avoir ajouté des composants réseau (tels que des VPN ou des proxy) ou modifié le réseau pour permettre au scanner d'accéder au serveur hôte de l'application Web.
format CSV
Cette section décrit comment enregistrer les données de réponse au format CSV.