Configuration d'un examen de sécurité à l'aide des propriétés d'analyse d'AppScan Enterprise
Les examens de sécurité doivent être exécutés dans un environnement de préproduction, tel qu'un serveur de transfert ou d'assurance qualité. Cette approche permet de limiter les risques associés à l'exécution d'examens de sécurité. Votre environnement de préproduction doit refléter l'environnement de production autant qu'il est possible ; l'application doit avoir les mêmes fichiers exécutables dans les deux environnements de façon à pouvoir tester l'application de façon approfondie. Les examens de sécurité doivent également être intégrés à votre processus SDLC (Software Development Life cycle) de façon à pouvoir isoler les problèmes de sécurité avant qu'ils n'atteignent votre environnement de production.
Avant de commencer
- Vérifiez que l'application se trouve dans un environnement de développement ou de test.
- Etablissez une fenêtre de temps avec les propriétaires de l'application (développeurs ou assurance qualité) pour l'examen de l'application. Cette dernière doit être active, en cours d'exécution et stable pendant la période d'examen avec AppScan® Enterprise Server. Aucune modification ne doit normalement être apportée à l'application au cours de l'examen.
- Décidez tout de suite si vous voulez effectuer une exploration manuelle ou un balayage automatique :
- Une exploration manuelle signifie que vous indiquez les adresses URL exactes pour l'examen à tester dans la configuration (l'examen n'effectuera pas d'exploration automatique pour détecter de nouvelles adresses URL). Utilisez cette méthode pour les applications Web qui requiert une interaction utilisateur importante pour accéder à l'application ou pour tester une zone spécifique de votre application.
- Un balayage automatique signifie que vous configurez l'examen pour qu'il détecte automatiquement davantage d'adresses URL à tester dans votre application Web. Utilisez cette méthode pour une application comportant un grand nombre de liens statiques et ne requérant pas une interaction utilisateur intensive.