La sécurité traite de la protection des ressources importantes. Votre organisation possède des ressources importantes sous forme d'informations, d'éléments de propriété intellectuelle, de plans stratégiques et de données client. La protection de ces informations est critique pour que votre organisation fonctionne, soit compétitive et réponde aux exigences en matière de réglementation.

Découvrez les différents flux de travaux et tâches ASoC pour différents utilisateurs ASoC autorisés disposant d'un abonnement valide.

Découvrez les fonctions à venir et récemment ajoutées.

Configuration système requise, systèmes d'exploitation et langages pris en charge pour les analyseurs ASoC. Vous pouvez également en savoir plus sur les navigateurs pris en charge et la résolution minimum pour le service.

Mes abonnements montre le statut de tous les abonnements de votre organisation, y compris le nombre d'applications ou d'examens restants, ainsi que les dates de début et de fin.

Utilisez ces exemples d'applications pour vous entraîner aux examens avec ASoC.

Ces vidéos pratiques montrent l'utilisation d'ASoC et la manière dont il s'adapte dans votre flux de travaux, tout en offrant des conseils et astuces.

Liens utiles vers des ressources humaines et en ligne.

Certificats ISO/CEI

CONTRAT D'ESSAI DU SERVICE HCL APPSCAN ON CLOUD

La page Applications répertorie toutes les applications de votre organisation qui se trouvent dans les groupes d'actifs auxquels vous êtes affecté. A partir de la page Applications, vous pouvez créer de nouvelles applications et ouvrir des pages d'applications individuelles.

Cette vue répertorie tous les examens et sessions de toutes vos applications.

Recherchez, consultez et intervenez sur les bibliothèques Open Source associées aux applications.

Le tableau de bord principal est le troisième élément de la barre de menus principale. Il vous donne une présentation détaillée de l'état actuel et de l'historique de toutes vos applications.

L'organisation est votre hub GoTo pour la gestion des stratégies, des domaines, des paramètres, des abonnements et des pistes d'audit. C'est là que vous contrôlez et organisez tout.

La gestion des utilisateurs vous permet de contrôler l'accès aux applications sensibles en les affectant à des groupes d'actifs, puis en ajoutant des utilisateurs spécifiques à ces groupes.

Une application est une collection d'examens liés au même projet. Il peut s'agir d'un site Web, d'une application de bureau, d'une application mobile, d'un service Web ou de tout composant d'une application. Les applications vous permettent d'évaluer les risques, d'identifier les tendances et de vous assurer que votre projet est conforme aux stratégies du secteur et de l'organisation.

Vous pouvez appliquer les stratégies prédéfinies, ainsi que vos propres stratégies personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.

Outils d'intégration d'ASoC dans votre cycle de développement logiciel.

Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale (problèmes, par exemple), ou la conformité.

La piste d'audit (Organisation > Piste d'audit) consigne l'activité des utilisateurs.

Un examen ASoC dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.

ASoC peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles dans ASoC ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.

Une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet, ainsi que d'intégrer l'examen à vos tests fonctionnels.

Vous pouvez enregistrer le trafic en tant que données d'exploration pour les examens DAST à l'aide de l'extension de navigateur AppScan Activity Recorder (pour Chrome ou Edge), du serveur proxy HCL AppScan Traffic Recorder ou d'AppScan Standard.

HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.

IAST Total (Interactive Application Security Testing) exploite les capacités IAST pour améliorer les examens DAST (Analyse dynamique), ce qui améliore les durées d'examen et de résolution tout en élargissant l'éventail des vulnérabilités découvertes.

La présence d'une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet.

ASoC peut vérifier que le comportement d'exécution de l'application est normal afin de détecter les vulnérabilités.

Installez l'agent IAST sur votre serveur d'applications et configurez l'examen.

Déployez l'agent IAST sur le serveur d'applications afin qu'il puisse surveiller la communication avec l'application et faire un signalement à ASoC.

Utilisez l'agent IAST pour surveiller les applications qui s'exécutent sur Azure App Service.

Configurez et démarrez un examen IAST, ainsi qu'un déploiement d'agents, via l'API REST.

Configurez un fichier JSON pour remplacer les paramètres IAST par défaut et ne signaler que les vulnérabilités que vous souhaitez connaître.

Certains comportements IAST de bas niveau peuvent être contrôlés à l'aide de paramètres utilisateur.

Une entrée de l'examen interactif (IAST) affiche les résultats depuis le dernier lancement de l'examen.

L'analyse de la composition du logiciel (SCA) localise et analyse les packages Open Source et tiers utilisés par votre code.

Les types de fichiers qu'ASoC est capable d'examiner lorsque vous réalisez un test Open Source.

Pour analyser les bibliothèques Open Source et le code tiers à la recherche de failles de sécurité, suivez les étapes décrites dans ces rubriques.

Fonctions disponibles dans les résultats des examens d'analyse SCA.

Systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que ASoC est capable d'examiner lorsque vous réalisez une analyse statique.

Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.

Utilisez ces exemples d'applications pour vous entraîner aux examens avec ASoC.

Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.

Par défaut, la page Problèmes d'une application affiche uniquement les problèmes non conformes. Vous pouvez appliquer plusieurs filtres pour voir les problèmes dont vous avez besoin et cliquer sur n'importe quel problème pour ouvrir le volet d'informations détaillées sur les problèmes.

AppScan analyse les problèmes détectés par IAST, DAST et SAST, afin d'identifier les liens faibles communs dans le code (corrélations) où plusieurs vulnérabilités peuvent être résolues moyennant un effort de résolution unique ou consolidé.

Pour le moment, les groupes de correctifs s'appliquent uniquement aux problèmes détectés dans les examens utilisant l'analyse statique.

Générez des rapports pour les problèmes détectés dans une application. Envoyez les rapports aux développeurs, auditeurs internes, testeurs de pénétration, responsables et responsable de la sécurité informatique. Les informations de sécurité peuvent être très importantes et peuvent être filtrées selon vos besoins.

Une fois que les risques sont déterminés et que les vulnérabilités sont hiérarchisées, votre équipe de sécurité peut commencer le processus de résolution.

Après votre premier examen, pendant que vous résolvez des problèmes, vous pouvez à nouveau examiner la même application à plusieurs reprises et écraser les résultats précédents, afin que le tableau de bord affiche toujours les résultats actuels. Lorsque vous effectuez un nouvel examen (au lieu d'en démarrer un nouveau), il écrase le précédent.

Une entrée de l'examen interactif (IAST) affiche les résultats depuis le dernier lancement de l'examen.

Cette section propose des tâches d'identification et de résolution des problèmes pour les erreurs liées à l'utilisation de l'instance AppScan Presence.

Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.

Certaines foires aux questions

Tableaux affichant les classes de menaces des problèmes testés par ASoC et numéros CWE associés.

Cette section décrit comment enregistrer les données de réponse au format CSV.