Aller au contenu principal
Bienvenue
Bienvenue dans la documentation HCL AppScan Enterprise 10.0.8, dans laquelle vous trouverez des informations sur l'installation, la maintenance et l'utilisation d'HCL AppScan Enterprise.
Fonctions d'accessibilité d'AppScan® Enterprise
Les fonctions d'accessibilité permettent aux utilisateurs souffrant d'un handicap (mobilité ou vision réduite, par exemple) de se servir efficacement des produits utilisant les technologies de l'information.
Découvrez des informations générales sur le produit.
Gestion de la sécurité des applications
La sécurité traite de la protection des ressources importantes. Votre organisation possède des ressources importantes sous forme d'informations, d'éléments de propriété intellectuelle, de plans stratégiques et de données client. La protection de ces informations est critique pour que votre organisation fonctionne, soit compétitive et réponde aux exigences en matière de réglementation.
Composants AppScan® Enterprise
HCL® AppScan® Enterprise permet aux organisations d'atténuer les risques pour la sécurité des applications, de renforcer les initiatives de gestion des programmes de sécurité d'application et de se mettre en conformité avec les réglementations. Les équipes de sécurité et de développement peuvent collaborer, établir des stratégies et des tests d'échelle tout au long du cycle de vie de l'application. Les tableaux de bord d'Enterprise permettent de classifier et de définir les priorités des ressources d'application en fonction de l'impact métier et d'identifier les zones à haut risque, vous permettant ainsi d'optimiser vos efforts de résolution. Des attributs de performance sont fournis pour vous aider à surveiller la progression des programmes de sécurité de votre application.
Composants AppScan Standard fournis avec AppScan Enterprise
Le tableau suivant présente les versions de produit pour les composants AppScan Standard livrés avec AppScan Enterprise.
Initiation à la gestion de la sécurité des applications
En fonction de votre rôle, vous pouvez vous initier à différentes zones du produit.
Nouveautés d'HCL AppScan® Enterprise
Interactive Application Security Testing (IAST) dans AppScan Enterprise
Technologies prises en charge
Problèmes connus et solutions
Vous trouverez ci-après les problèmes connus et les solutions palliatives.
Fonctions obsolètes
Si vous migrez depuis une édition antérieure d'AppScan® Enterprise, prenez connaissance des diverses fonctions qui sont devenues obsolètes dans cette édition.
AppScan Enterprise - Mentions légales
Déclaration de pratiques de sécurité recommandées
Apprenez à installer le produit.
Planification du déploiement et de l'installation
La configuration utilisée dépend d'un certain nombre de facteurs : ce que vous comptez faire avec le logiciel, comment sont structurés votre organisation, votre site Web ou vos applications, et comment l'information doit être distribuée. Avant d'installer la version actuelle, vérifiez les informations sur le matériel et les logiciels requis, les licences et les autres considérations de déploiement.
Tâches préalables à l'installation
Avant d'installer AppScan® Enterprise, vous devez préparer et configurer votre système.
Tâches d'installation
Cette section fournit les instructions relatives à l'installation d'AppScan® Enterprise.
Tâches de post-installation
Après avoir installé AppScan® Enterprise, exécutez les tâches de post-installation ci-après.
Scénarios d'installation avancée
Apprenez à mettre à niveau le produit.
Modifications du produit lors de la mise à niveau depuis une version précédente
Modifications pouvant avoir un impact sur vos examens ou données de rapport lorsque vous procédez à la mise à niveau à partir d'une version précédente. Veillez à lire toutes les rubriques afin de bien comprendre le processus de mise à niveau.
Installation de groupes de correctifs
Des groupes de correctifs sont disponibles pour téléchargement depuis FNO.
Remplacement de Jazz™ Team Server par WebSphere® Liberty - Foire aux questions
A partir de la version 9.0.1, AppScan® Enterprise inclut une nouvelle conception de l'architecture qui réduit l'encombrement de l'installation et supprimeRational® Jazz™ Team Server (Jazz Team Server) en tant que composant d'authentification utilisateur.
Migration des utilisateurs Jazz Team Server vers Liberty dans AppScan Enterprise
Pour que les utilisateurs Jazz Team utilisent la méthode d'authentification Liberty, exportez un fichier .csv des utilisateurs par le biais d'une commande avant d'effectuer la mise à niveau vers la version 9.0.1 et des versions supérieures. Vous pouvez ensuite suivre l'une des deux méthodes ci-dessous et enregistrer les mêmes utilisateurs dans Liberty afin qu'ils puissent accéder à AppScan Enterprise version 9.0.1 et versions supérieures.
Mise à niveau vers la version la plus récente d'AppScan Enterprise
Pour réussir la mise à niveau vers la version la plus récente d'AppScan Enterprise, lisez cette rubrique attentivement.
Configuration de la base de données SQL Server pour AppScan® Enterprise
La configuration d'AppScan® Enterprise Server requiert des informations sur SQL Server. Configurez d'abord SQL Server pour gagner du temps lors de la configuration d'AppScan. Si vous mettez à niveau SQL Server vers une version plus récente, suivez également ces instructions.
Configuration d'un registre d'utilisateurs de base pour le profil Liberty
Utilisation d'un certificat dans votre magasin de certificats à l'aide de Liberty
Cette procédure décrit comment utiliser des certificats Liberty pour sécuriser IIS.
Mise à niveau de la connexion LDAP d'AppScan® Source à une base de données Oracle
Si vous modifiez des paramètres LDAP (comme le nom du serveur ou le nom d'alias) ou si vous déplacez AppScan® Enterprise Server vers un autre ordinateur, vous devez mettre à jour le fichier asc.properties pour refléter ces modifications.
Activation de FIPS 140-2 ou NIST SP800-131a sur le profil WebSphere Liberty
Utilisez l'une de ces procédures pour activer FIPS 140-2 ou NIST SP800-131a sur le profil WebSphere Liberty.
Apprenez à intégrer le produit à d'autres solutions.
Intégration à IBM Security Qradar
Découvrez comment intégrer le produit à IBM Security Qradar.
Intégration aux systèmes d'automatisation d'assurance qualité
Découvrez comment intégrer le produit aux systèmes d'automatisation de l'assurance qualité.
Intégration aux systèmes de suivi des incidents
Découvrez comment intégrer le produit aux systèmes de suivi des incidents.
Apprenez à étendre les fonctionnalités du produit en utilisant les API REST et les plug-ins.
API REST
Apprenez-en plus sur l'API REST dans AppScan Enterprise.
Plug-ins et intégrations
Familiarisez-vous avec les meilleures pratiques d'utilisation du produit.
Meilleures pratiques pour l'examen de contenu
Déterminez les technologies utilisées par l'application que le travail de contenu va examiner et reportez-vous aux meilleures pratiques suivantes pour chaque type.
Meilleures pratiques pour un examen de sécurité dans un environnement de production
Exécuter un examen de sécurité dans un environnement de production est risqué ; cependant, il peut s'avérer nécessaire d'exécuter l'examen d'un environnement de production, par exemple pour respecter des exigences d'audit, pour détecter un piratage du site ou pour valider le fait que le processus SDLC (Software Development Life Cycle) est utilisé pour l'intégration des examens de sécurité.
Meilleures pratiques pour les performances
Le moteur d'examen effectue plus de 1000 tests différents et les exécute plusieurs fois.
Compréhension de l'option Optimisation du test
Foire aux questions
Cette rubrique traite des questions d'application générales.
Apprenez à configurer le produit.
Configurer les paramètres utilisateur
Vous pouvez personnaliser plusieurs paramètres selon les besoins.
Configuration d'Enterprise Console
Enterprise Console est la principale interface utilisateur, qui prend en charge l'administration, la configuration des éléments et la génération de rapports.
Configuration de la propriété de période de conservation du journal
Les fichiers journaux générés pendant l'exécution d'un examen sont enregistrés dans le serveur pendant une certaine période. La limite de temps pendant laquelle les fichiers journaux sont conservés par le serveur est appelée la période de conservation du journal. Au bout de cette période de conservation, ces fichiers journaux deviennent obsolètes tout en occupant de manière redondante l'espace mémoire du serveur. Vous pouvez configurer une limite de temps comme période de conservation du journal dans AppScan Enterprise pour supprimer automatiquement ces fichiers journaux une fois la période prédéfinie dépassée.
Apprenez à administrer le produit.
Gestion des utilisateurs, des groupes et des droits d'accès
Découvrez comment gérer les groupes d'utilisateurs et les droits d'accès.
Connexion unique SAML dans AppScan Enterprise
Configuration et téléchargement des fichiers journaux pour Enterprise Console et AppScan Server
Les administrateurs peuvent configurer les paramètres des fichiers journaux d'Enterprise Console et d'AppScan Server et les télécharger lorsqu'ils doivent traiter les incidents. Grâce à cette fonction, il n'est plus nécessaire d'effectuer une recherche sur le système de fichiers de l'ordinateur sur lequel Enterprise Console ou AppScan Server est installé.
Réinitialisation du mot de passe du compte de service dans AppScan Enterprise via l'outil AdminUtil ASE
L'outil AdminUtil aide les utilisateurs à éviter de réexécuter l'assistant de configuration sur le serveur AppScan Enterprise et le ou les scanners DAST pour réinitialiser le mot de passe. Vous pouvez exécuter l'utilitaire dans deux modes : le mode interactif et le mode silencieux. Pour plus d'informations sur la réinitialisation du mot de passe du compte de service en mode interactif, voir Réinitialisation du mot de passe du compte de service en AppScan Enterprise via l'outil AdminUtil ASE en mode silencieux.
Réinitialisation du mot de passe du compte de service dans AppScan Enterprise via l'outil AdminUtil ASE en mode silencieux
L'outil AdminUtil AppScan Enterprise (ASE) aide les utilisateurs à éviter de réexécuter l'assistant de configuration sur le serveur AppScan Enterprise, le service de communication IAST, les scanners DAST, le service de base de données et les services d'alerte pour réinitialiser le mot de passe du compte de service. Vous pouvez y parvenir en exécutant l'utilitaire dans deux modes : le mode interactif et le mode silencieux. Pour plus d'informations sur la réinitialisation du mot de passe du compte de service en mode interactif, voir Réinitialisation du mot de passe du compte de service en AppScan Enterprise via l'outil AdminUtil ASE.
Surveillance de l'utilisation d'AppScan Enterprise
Créez un rapport Journal d'activité pour déterminer quels sont les utilisateurs d'AppScan Enterprise et l'usage qu'ils en font. Il indique les utilisateurs qui ont effectué les modifications, ainsi que la date et l'heure de ces dernières. Dans la mesure où ce journal enregistre l'activité en continu, il vous suffit de générer le rapport. Seuls les administrateurs peuvent créer le rapport Journal d'activité ; cependant, tout utilisateur peut être autorisé à y accéder dans les propriétés du groupe de rapports. Si vous ne voulez pas que d'autres utilisateurs puissent consulter le rapport Journal d'activité, donnez à "Tous les autres utilisateurs" la valeur No Access dans la page Utilisateurs et groupes du groupe de rapports.
Journal d'activité
Le journal d'activité permet de déterminer quels sont les utilisateurs d'AppScan Enterprise et l'usage qu'ils en font. Il indique les utilisateurs qui ont effectué les modifications, ainsi que la date et l'heure de ces dernières. Ceci est utile pour l'audit de sécurité afin de détecter d'éventuelles activités non autorisées ou inhabituelles effectuées par les utilisateurs. Seuls les administrateurs peuvent afficher le journal d'activité. Par défaut, les données du journal d'activité sont conservées pendant un an.
Gestion d'un serveur
Les administrateurs du produit sont responsables de la gestion des serveurs pour garantir des performances optimales.
Gestion de la file d'attente des examens
Consultez le statut des travaux d'examen en cours d'exécution ou en attente d'exécution afin de déterminer l'ordre dans lequel vos travaux d'examen principaux doivent s'exécuter. Par exemple, des travaux d'examen peuvent faire partie d'un livrable temporel, comme une période de soldes spéciale pour un jour férié. Vous pouvez les déplacer au début de la file d'attente pour qu'ils apparaissent en premier dans le planning.
Mise à jour des règles de sécurité
Les règles de sécurité sont mises à jour dans le cadre de vos éditions AppScan® Enterprise. Vous pouvez vérifier la version et la date d'édition des règles de sécurité en cliquant sur le lien A propos de dans le menu principal d'AppScan Enterprise.
Importation de tests définis par l'utilisateur à partir d'AppScan Standard
AppScan Standard offre une base de données composée de milliers de tests. Cependant, si votre application Web comporte des problèmes qui lui sont spécifiques, ou si vous souhaitez écrire vos propres conseils pour corriger les problèmes, vous pouvez créer vos propres tests. Ces tests sont sauvegardés et inclus dans votre base de données de tests AppScan. Vous pouvez également les exporter en tant que fichier *.udt pour une importation dans AppScan Enterprise.
Gestion de votre base de données SQL Server
La maintenance de la base de données SQL Serveur comprend la mise à niveau des serveurs SQL, la sauvegarde de la base de données SQL, la configuration des fichiers journaux et l'utilisation de la base de données.
Préparation aux tests de sécurité
Découvrez comment vous préparer aux tests de sécurité dans AppScan Enterprise.
Création de modèles d'examen
Apprenez à créer des modèles d'examen dans AppScan Enterprise.
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
Etape 1 : Création d'un inventaire d'applications
Apprenez à créer un inventaire d'applications.
Etape 2 : Test des applications pour identifier les vulnérabilités
Apprenez à tester les vulnérabilités identifiées dans une application.
Etape 3 : Détermination des risques et hiérarchisation des vulnérabilités
Apprenez à déterminer les risques et hiérarchiser les vulnérabilités identifiées dans une application.
Etape 4 : Résolution des risques
Apprenez à éliminer les risques identifiés dans une application.
Etape 5 : Mesure de la progression et démonstration de la conformité
Apprenez à mesurer la progression et à démontrer la conformité.
Pour vous aider à comprendre, à isoler et à résoudre les incidents liés à vos logiciels HCL®, les informations de traitement des incidents et de support technique contiennent les instructions à suivre pour utiliser les ressources d'identification des incidents fournies avec les produits HCL.
Identification et résolution des problèmes
Le traitement des incidents est une approche systématique permettant d'apporter une solution à un problème. L'objectif est de déterminer les raisons pour lesquelles une opération ne fonctionne pas comme prévu et d'expliquer la procédure à suivre pour résoudre le problème.
Modèle : Contacter le service de support HCL®.
Le support HCL® fournit une assistance pour les défauts de produit, répond aux questions courantes et aide les utilisateurs à résoudre les incidents liés au produit.
Traitement des incidents liés à Dynamic Analysis Scanner
Apprenez à traiter les incidents liés à Dynamic Analysis Scanner.
Traitement des incidents liés à Enterprise Server
Apprenez à traiter les incidents liés à Enterprise Server.
Messages
Ces messages expliquent les codes de maintenabilité pour les messages des produits internes, les messages du journal d'examen et les messages des services Web.
Consultez les informations de référence relatives au produit.
Rubriques de l'assistant de configuration
Apprenez-en plus sur les rubriques de l'assistant de configuration.
Rubriques de l'explorateur de dossiers
Apprenez-en plus sur les rubriques de l'explorateur de dossiers.
Triage avec des rapports
Les rapports sont générés automatiquement après l'exécution d'un travail. Ils permettent de gérer les problèmes qui sont importants dans votre organisation, avec une méthode prise en charge par le flux de travaux d'Enterprise Console ainsi que par les flux de travaux d'autres processus aux sein de votre organisation.
Gestionnaire de configuration