Accueil
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Examen dynamique (DAST)
ASoC peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles dans ASoC ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
Tester la politique
La stratégie de test par défaut d'AppScan Standard est utilisée lors de l'exécution d'examens à partir de l'interface utilisateur ASoC, mais d'autres stratégies peuvent être appliquées avec des examens importés ou des examens exécutés à partir de l'API.

Mise en route
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
- A propos de l'analyse dynamique (DAST)
  Un examen ASoC dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.
- Examen dynamique (DAST)
  ASoC peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles dans ASoC ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
  - Créer un examen
    Fournissez l'URL de départ et les données d'identification de l'utilisateur pour l'examen, sélectionnez le type de site, puis (à défaut) vérifiez votre droit à examiner le site.
  - Créer un examen à partir d'un modèle
    Vous pouvez charger votre propre modèle de fichier AppScan Standard (SCANT) pour exécuter un examen ASoC.
  - Créer un examen à partir d'un fichier d'examen
    Vous pouvez charger votre propre fichier d'examen AppScan Standard (SCAN) pour exécuter un examen ASoC.
  - Création d'un examen incrémentiel
  - Tester la politique
    La stratégie de test par défaut d'AppScan Standard est utilisée lors de l'exécution d'examens à partir de l'interface utilisateur ASoC, mais d'autres stratégies peuvent être appliquées avec des examens importés ou des examens exécutés à partir de l'API.
  - Optimisation des tests
    L'optimisation du test utilise les filtres de test intelligents pour obtenir des examens plus rapides, avec une perte minimale de la couverture des problèmes. Lorsque la vitesse est un facteur à prendre en compte, choisissez entre quatre niveaux d'optimisation.
  - Automatisation des tests
    Intégrez l'examen dynamique dans vos tests fonctionnels.
  - Certificats client
- AppScan Presence
  Une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet, ainsi que d'intégrer l'examen à vos tests fonctionnels.
- Enregistrement du trafic
  Vous pouvez enregistrer le trafic en tant que données d'exploration pour les examens DAST à l'aide de l'extension de navigateur AppScan Activity Recorder (pour Chrome ou Edge), du serveur proxy HCL AppScan Traffic Recorder ou d'AppScan Standard.
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.
- IAST Total
  IAST Total (Interactive Application Security Testing) exploite les capacités IAST pour améliorer les examens DAST (Analyse dynamique), ce qui améliore les durées d'examen et de résolution tout en élargissant l'éventail des vulnérabilités découvertes.
- AppScan Standard
- Sites privés
  La présence d'une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Tester la politique

La stratégie de test par défaut d'AppScan Standard est utilisée lors de l'exécution d'examens à partir de l'interface utilisateur ASoC, mais d'autres stratégies peuvent être appliquées avec des examens importés ou des examens exécutés à partir de l'API.

Nombre de tests AppScan possibles pour qu'un site puisse atteindre les milliers. Pour vous éviter d'avoir à filtrer manuellement un grand nombre de tests et de variantes de tests, AppScan Standard vous permet de définir une stratégie générale pour le type de test que vous souhaitez ou ne souhaitez pas exécuter sur votre application.

Stratégies de test prédéfinies


Nom des règles	Description
Valeur par défaut	Inclut tous les tests, à l'exception des tests invasifs et d'écouteur de port.
Application uniquement	Inclut tous les tests de niveau application, à l'exception des tests invasifs et d'écouteur de port.
Infrastructure uniquement	Inclut tous les tests de niveau infrastructure, à l'exception des tests invasifs et d'écouteur de port.
Tiers uniquement	Inclut tous les tests de niveau tiers, à l'exception des tests invasifs et d'écouteur de port.
Invasif	Inclut tous les tests invasifs (tests susceptibles d'influer sur la stabilité du serveur).
Complet	Inclut tous les tests AppScan.
Services Web	Inclut tous les tests associés à REST et SOAP, à l'exception des tests invasifs et d'écouteur de port.
Vitaux	Inclut une sélection de tests présentant une forte probabilité de réussite. Utile pour évaluer un site si vous disposez de peu de temps.
Fondamentaux du développeur	Inclut une sélection de tests d'application présentant une forte probabilité de réussite. Utile pour évaluer un site si vous disposez de peu de temps.
Site de production	Exclut les tests invasifs susceptibles de dégrader le site ou les tests pouvant entraîner un refus de service aux autres utilisateurs.

Astuce : Si vous appliquez l'option Optimisation du test à la configuration d'examen, certaines vulnérabilités de la stratégie sélectionnée peuvent ne pas être testées. Par conséquent, si vous avez sélectionné la stratégie de test Complète et que vous souhaitez que tous ses tests soient envoyés, vous devez définir l'option Optimisation du test sur Pas d'optimisation.

Voir aussi : Optimisation du test - FAQ