Accueil
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Problèmes
Par défaut, la page Problèmes d'une application affiche uniquement les problèmes non conformes. Vous pouvez appliquer plusieurs filtres pour voir les problèmes dont vous avez besoin et cliquer sur n'importe quel problème pour ouvrir le volet d'informations détaillées sur les problèmes.
Informations sur les problèmes
Le volet Informations sur les problèmes affiche tout le contenu disponible pour le problème.

Mise en route
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
- Exemples de rapport de sécurité
- Rapports d'application
- Données d'examen
- Problèmes
  Par défaut, la page Problèmes d'une application affiche uniquement les problèmes non conformes. Vous pouvez appliquer plusieurs filtres pour voir les problèmes dont vous avez besoin et cliquer sur n'importe quel problème pour ouvrir le volet d'informations détaillées sur les problèmes.
  - Informations sur les problèmes
    Le volet Informations sur les problèmes affiche tout le contenu disponible pour le problème.
  - Etat des problèmes
    Les problèmes peuvent être associés aux statuts Ouvert, En cours, Bruit, Réouvert, Validé et Corrigé.
  - Gravité du problème
    Les problèmes peuvent être classés comme ils apparaissent dans la grille des problèmes d'une application.
  - Problèmes de triage
    Tous les problèmes sont classés par défaut à l'état nouveau. Vous pouvez visualiser une classification de problème en affichant son état.
  - Importation de problèmes à partir de scanners tiers
    Que vous utilisiez des scanners tiers ou réalisiez des tests de pénétration manuels pour détecter des problèmes, vous pouvez importer ces derniers depuis un fichier CSV vers ASoC à des fins de tri.
- Corrélation
  AppScan analyse les problèmes détectés par IAST, DAST et SAST, afin d'identifier les liens faibles communs dans le code (corrélations) où plusieurs vulnérabilités peuvent être résolues moyennant un effort de résolution unique ou consolidé.
- Groupes de correctifs
  Pour le moment, les groupes de correctifs s'appliquent uniquement aux problèmes détectés dans les examens utilisant l'analyse statique.
- Rapports
  Générez des rapports pour les problèmes détectés dans une application. Envoyez les rapports aux développeurs, auditeurs internes, testeurs de pénétration, responsables et responsable de la sécurité informatique. Les informations de sécurité peuvent être très importantes et peuvent être filtrées selon vos besoins.
- Résolution
  Une fois que les risques sont déterminés et que les vulnérabilités sont hiérarchisées, votre équipe de sécurité peut commencer le processus de résolution.
- Réexamen
  Après votre premier examen, pendant que vous résolvez des problèmes, vous pouvez à nouveau examiner la même application à plusieurs reprises et écraser les résultats précédents, afin que le tableau de bord affiche toujours les résultats actuels. Lorsque vous effectuez un nouvel examen (au lieu d'en démarrer un nouveau), il écrase le précédent.
- Résultats de l'examen IAST
  Une entrée de l'examen interactif (IAST) affiche les résultats depuis le dernier lancement de l'examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Volet Informations sur les problèmes

Le volet Informations sur les problèmes affiche tout le contenu disponible pour le problème.

Pour ouvrir le volet Problèmes d'un problème :

Sur la page Problèmes, cliquez sur un problème spécifique.
Le volet Informations sur les problèmes s'ouvre à droite de l'écran.
Conseil : Vous pouvez basculer entre les problèmes et les informations sur les problèmes en sélectionnant différents problèmes sur la page principale, avec le volet sur les informations ouvert. Le volet Informations sur les problèmes est actualisé lorsque vous sélectionnez différents problèmes.

Dans le volet Informations sur les problèmes, vous pouvez :

Cliquer sur Affichage complet pour ouvrir tous les détails du problème dans un nouvel onglet du navigateur.
Afficher la gravité du problème, son statut actuel et son emplacement dans tous les onglets.
Afficher des informations relatives à un problème à partir de l'un des onglets.

Onglets du volet Informations sur les problèmes


Onglet	Description
Détails	Affiche un récapitulatif des détails des problèmes sous forme de mosaïques réductibles, y compris, dans la mesure du possible, la partie du code contenant ou dans laquelle apparaît la vulnérabilité. Les informations s'affichent dans l'une de ces mosaïques : Mosaïque de détails : Source, collecteur et méthode ou API, appelant et trace d’appel. La méthode affiche les meilleurs points de correction et les points de correction alternatifs, le flux altéré et les données altérées. Mosaïque : Groupe de correctifs et ID du groupe de correctifs, le cas échéant.
Code source	Affichez le code source associé au problème pour un triage plus rapide et plus efficace des problèmes. Par défaut, vous pouvez parcourir votre structure de répertoires locale pour trouver des fichiers de code source : Cliquez sur Ajouter un répertoire pour associer un répertoire de code source racine local au problème. Passez le curseur sur les vulnérabilités mises en surbrillance dans le code source pour obtenir des suggestions de résolution. Le code source qui s’affiche dans le volet Détails du problème reste privé. Il n’est pas téléchargé sur ASoC. Si le fichier IRX examiné a été généré dans un référentiel GitHub et que, à ce titre, l'examen contient des informations qui le relient à GitHub : Assurez-vous que la dernière validation disponible pendant l'examen l’est également sur le serveur GitHub. Cliquez sur Ouvrir le fichier sur GitHub pour ouvrir le fichier dans l'interface Web GitHub, dans un nouvel onglet du navigateur. Corrigez le code dans GitHub. Dans les deux cas, la connexion au code source n'est pas définitive. Reconnectez-vous à chaque session de navigateur de code source selon les besoins pendant le triage et la résolution. Remarque : L'onglet Code source est disponible uniquement pour les problèmes d'analyse statique.
Comment corriger	Fournit des informations détaillées sur la cause, le risque, un exemple d'exploitation, les recommandations de correction, CWE, les articles associés et les références externes. Dans la mesure du possible, une large sélection d'informations spécifiques au code est disponible en cliquant sur le nom du code concerné (.Net, Angular, Apex, etc.) directement sous le nom du problème.
Commentaires	Utilisez cet onglet pour ajouter vos propres commentaires visibles par vous et d'autres utilisateurs, et inclus dans les rapports.
Piste d'audit	Trace d'audit de ce problème.
Propriétés	L'onglet Propriétés répertorie les détails du problème, y compris comment et quand il a été détecté, le type, le statut, la gravité, le scanner et l'emplacement, y compris l'ID du problème. Dans l’onglet Propriétés, vous pouvez : Cliquer sur l’ID du problème pour ouvrir tous les détails correspondants dans l’onglet actuel du navigateur. Cliquer sur l'icône de copie () pour copier une propriété spécifique dans le presse-papiers du système et la coller dans d'autres applications. Cliquer sur Copier les propriétés pour copier toutes les propriétés répertoriées dans le presse-papiers du système, afin de les coller dans d'autres applications (un élément JIRA, par exemple).

\