Accueil
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Examen des vulnérabilités de sécurité
Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.
Configurer un examen dans AppScan sur Cloud
Configurez un examen d'analyse statique.
Examiner un référentiel GitHub
Les analyses statiques peuvent être configurées et planifiées pour extraire le code source directement à partir d'un référentiel GitHub public. Lors du tri des résultats SAST, les utilisateurs peuvent afficher le code source correspondant directement sur GitHub.com. Les résultats peuvent être filtrés par nom de fichier ou chemin.
Examen des référentiels GitHub privés
Bien que AppScan sur Cloud vous permette d'effectuer des examens de sécurité complets sur vos référentiels GitHub publics à l'aide de notre service cloud avancé sans configuration supplémentaire, l'examen des référentiels privés nécessite l'installation de l'application GitHub HCL AppScan on Cloud.

Démarrage
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
- A propos de l'analyse statique (SAST)
- Configuration requise par le système pour l'analyse statique
  Systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que ASoC est capable d'examiner lorsque vous réalisez une analyse statique.
- Examen des vulnérabilités de sécurité
  Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.
  - Configurer un examen dans AppScan sur Cloud
    Configurez un examen d'analyse statique.
    - Examiner un référentiel GitHub
      Les analyses statiques peuvent être configurées et planifiées pour extraire le code source directement à partir d'un référentiel GitHub public. Lors du tri des résultats SAST, les utilisateurs peuvent afficher le code source correspondant directement sur GitHub.com. Les résultats peuvent être filtrés par nom de fichier ou chemin.
      - Examen des référentiels GitHub privés
        Bien que AppScan sur Cloud vous permette d'effectuer des examens de sécurité complets sur vos référentiels GitHub publics à l'aide de notre service cloud avancé sans configuration supplémentaire, l'examen des référentiels privés nécessite l'installation de l'application GitHub HCL AppScan on Cloud.
    - Examiner un fichier d'archive
      Examinez ou générez un fichier IRX pour votre application, ou identifiez les fichiers de code source à examiner.
    - A propos des fichiers IRX
      A propos des fichiers IRX.
    - Mode examen
      Le mode examen indique si AppScan sur Cloud examinera les sorties de génération (.dll, .jar, etc.) ou les fichiers de code source dans les projets pour des langages spécifiques.
    - Statut des examens d'analyse statique
    - Examens personnels
      Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale (problèmes, par exemple), ou la conformité.
  - Configuration d'un examen à l'aide d'AppScan Go!
    AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Vous pouvez ensuite exécuter l'examen dans le cloud ou utiliser un plug-in pour automatiser l'examen.
  - Génération d'un fichier IRX à l'aide de l'interface de ligne de commande
    Pour lancer une analyse de vos fichiers, vous devez générer un fichier IRX à envoyer pour examen. Pour générer le fichier IRX à l'aide de l'interface de ligne de commande, suivez les instructions ci-dessous.
  - Génération d'un fichier IRX à l'aide d'un plug-in ou d'un IDE
  - Configuration d'un examen à l'aide d'un fichier d'archive
  - À propos de l'analyse de la composition du logiciel
    L'analyse de la composition du logiciel (SCA) localise et analyse les packages Open Source et tiers utilisés par votre code.
  - Intégrations de l'analyse statique
  - Envoi d'évaluations HCL AppScan Source vers le cloud à des fins d'analyse
    Si vous disposez d'un abonnement à HCL AppScan on Cloud, vous pouvez soumettre des évaluations AppScan Source pour analyse ici. Les évaluations d'AppScan Source versions 9.0 et ultérieures sont prises en charge. Le nombre d'examens que vous pouvez envoyer dépend de votre abonnement à ASoC.
  - Meilleures pratiques en matière d'examen Java
  - Résultats des examens d'analyse statique
    Fonctions disponibles dans les résultats des examens d'analyse statique.
- Exemples de script et d'application
  Utilisez ces exemples d'applications pour vous entraîner aux examens avec ASoC.
- Traitement des incidents de l'analyse statique
  Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Examen des référentiels GitHub privés

Bien que AppScan sur Cloud vous permette d'effectuer des examens de sécurité complets sur vos référentiels GitHub publics à l'aide de notre service cloud avancé sans configuration supplémentaire, l'examen des référentiels privés nécessite l'installation de l'application GitHub HCL AppScan on Cloud.

Important : Veuillez lire la section Installation d'une application GitHub auprès d'un tiers avant de continuer.

Pour installer l'application GitHub HCL AppScan on Cloud :

Connectez-vous à l'emplacement approprié de l'application GitHub :
- Comptes nord-américains ASoC : https://github.com/apps/hcl-appscan-on-cloud
- Western European ASoC accounts: https://github.com/apps/hcl-appscan-on-cloud-eu
Connectez-vous à GitHub pour installer l'application sur votre compte personnel ou dans les organisations que vous gérez.

Remarque : Si vous disposez d'un référentiel privé dans une organisation pour laquelle vous n'êtes pas le propriétaire ou le gestionnaire d'applications, demandez au propriétaire d'installer l'application dans l'organisation.

Vous n'avez pas besoin d'installer l'application GitHub HCL AppScan on Cloud pour examiner les référentiels publics. Pour examiner directement les référentiels publics, utilisez l'assistant de création d'examen.

L'application GitHub HCL AppScan on Cloud nécessite un accès en lecture à vos référentiels pour effectuer des examens de sécurité.

Vous pouvez désactiver ou désinstaller l'application GitHub HCL AppScan on Cloud à tout moment. Cependant, vous devrez l'activer ou la réinstaller pour examiner à nouveau vos référentiels privés à l'avenir. Pour désinstaller l'application GitHub HCL AppScan on Cloud, dans les paramètres GitHub, sélectionnez Applications GitHub installées > > Désinstaller.