Exemples de flux de travaux pour la gestion de la sécurité des applications

Ces exemples de flux de travaux expliquent comment commencer à gérer des applications, selon que vous utilisez AppScan® Enterprise pour la première fois ou que vous souhaitez associer des examens existants à de nouvelles applications. Choisissez l'exemple qui répond le mieux à vos besoins ou utilisez certaines parties des exemples comme point de départ pour créer votre propre flux de travaux.

Création d'applications et d'examens

Si vous êtes un nouvel utilisateur ou un utilisateur en cours d'AppScan Enterprise et que vous décidez de ne pas migrer des examens existants, vous pouvez créer de nouvelles applications et de nouveaux examens.

Procédure

  1. Configurez un profil d'application.
    1. Supprimez les attributs prédéfinis qui ne sont pas adaptés à votre organisation.
    2. Créez des attributs qui décrivent vos applications.
  2. Créez des formules pour définir le risque.
    1. Vérifiez que les formules prédéfinies sont adaptées à votre organisation.
    2. Créez des formules qui reflètent votre interprétation du risque lié à l'activité.
  3. Créez une application. Si vous effectuez déjà un suivi de vos applications dans un fichier .csv, importez le fichier.
  4. Affectez des droits aux utilisateurs pour l'application.
  5. Créez des examens pour les applications ou importez des problèmes depuis un scanner tiers.
  6. Procédez au triage des problèmes d'une application.
  7. Résolvez les problèmes de sécurité détectés.
  8. Evaluez le risque de sécurité de l'application.

Migration d'examens existants dans une vue d'application

Ce processus de migration permet d'effectuer des opérations de maintenance et de supprimer des examens qui ne sont pas utiles. Si vous êtes un client AppScan Enterprise, vos examens et vos dossiers figurant dans la vue de l'explorateur de dossiers peuvent être organisés par unité d'activité ou même par emplacement géographique. Ce type de structure facilite l'utilisation de la vue Surveillance car tous les examens pertinents sont déjà regroupés logiquement.

Pourquoi et quand exécuter cette tâche

Il est essentiel de comprendre que les applications et les dossiers sont liés structurellement ; vous ne créez pas les applications dans des dossiers. Vous utilisez les examens qui sont regroupés dans des dossiers comme point de départ pour créer vos applications dans la vue Surveillance.

Procédure

  1. Effectuez un inventaire de vos examens existants et de vos structures de dossiers en exécutant les étapes suivantes pour chaque dossier de la vue de l'explorateur de dossiers :
    1. Etudiez chaque examen pour confirmer que la couverture de l'application est complète.
    2. Supprimez les examens qui ne sont plus pertinents.
    3. Identifiez les zones de votre site Web qui ne sont pas couvertes afin de créer des examens.
  2. Configurez un profil d'application.
    1. Supprimez les attributs prédéfinis qui ne sont pas adaptés à votre organisation.
    2. Créez des attributs qui décrivent vos applications.
  3. Créez des formules pour définir le risque.
    1. Vérifiez que les formules prédéfinies sont adaptées à votre organisation.
    2. Créez des formules qui reflètent votre interprétation du risque lié à l'activité.
  4. Exportez la liste des applications. Le fichier CSV exporté contient une ligne d'en-têtes de colonne d'attribut d'application. Ajoutez les détails de votre application au fichier pour pouvoir créer plusieurs applications simultanément lorsque vous importez le fichier.
  5. Importez le fichier .csv.
  6. Créez une application pour le premier dossier.
  7. Associez des examens existants à l'application en sélectionnant et en ajoutant plusieurs travaux d'examen. Cette méthode évite d'avoir à associer les examens individuellement, notamment si vous travaillez avec de nombreux examens.
    Conseil : Envisagez de mettre la hiérarchie à plat pour afficher tous vos examens. Si votre hiérarchie contient de nombreux examens, la performance peut s'en trouver affectée.
  8. Editez les attributs spécifiques de chaque application en tenant compte de l'impact sur l'activité. Si vous ne connaissez pas toutes les informations concernant chaque attribut, prenez des notes. Vous pourrez y revenir ultérieurement.
  9. Attribuez le contrôle d'accès utilisateur à chaque application.