Accueil
Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
Etape 2 : Test des applications pour identifier les vulnérabilités
Apprenez à tester les vulnérabilités identifiées dans une application.
Scénarios de création d'examens
Ces scénarios sont conçus pour les développeurs et l'équipe de sécurité. Choisissez le rôle qui correspond le mieux à votre situation.
Développeurs
L'équipe de développeurs créée des modèles d'examen à l'aide de différentes méthodes et interfaces utilisateur dans AppScan.
Création d'un examen à partir d'un modèle
En fonction de la méthode employée par votre équipe de sécurité pour créer un modèle d'examen, vous pouvez utiliser le client AppScan Dynamic Analysis ou l'interface utilisateur d'AppScan Enterprise pour créer vos examens. Ces rubriques décrivent chacune des tâches dont vous pouvez avoir besoin.
Création d'un examen à l'aide du modèle GraphQL
Dans l'édition AppScan Enterprise 10.1.0, le modèle GraphQL est introduit pour examiner les API qui contiennent des requêtes GraphQL. Dans cette version initiale du modèle, les capacités sont limitées uniquement aux API avec des requêtes GraphQL et non aux applications Web.
Enregistrement des API via le client ADAC à l'aide d'outils externes et de ports proxy
Créez un examen GraphQL en enregistrant les API via le client ADAC à l'aide d'outils externes et de ports proxy.

Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
- Etape 1 : Création d'un inventaire d'applications
  Apprenez à créer un inventaire d'applications.
- Etape 2 : Test des applications pour identifier les vulnérabilités
  Apprenez à tester les vulnérabilités identifiées dans une application.
  - Importation de problèmes à partir de scanners internes ou tiers
    Découvrez comment importer des problèmes à partir de scanners internes et tiers.
  - Scénarios de création d'examens
    Ces scénarios sont conçus pour les développeurs et l'équipe de sécurité. Choisissez le rôle qui correspond le mieux à votre situation.
    - Présentation des différences de configuration d'examen dans la version 9.0.2 ou supérieure par rapport aux versions précédentes
      L'équipe de sécurité (dont les membres disposent des privilèges d'administrateur) crée des modèles à partir de la configuration d'examen dans AppScan Standard. Le fichier de modèle d'examen est alors mis à disposition pour être utilisé dans AppScan Enterprise. Les développeurs (qui disposent des droits utilisateur QuickScan) choisissent le modèle lorsqu'ils créent un examen, et utilisent un assistant du nouveau client AppScan Dynamic Analysis pour finir de créer l'examen. Le même client est utilisé pour modifier la configuration d'examen.
    - Développeurs
      L'équipe de développeurs créée des modèles d'examen à l'aide de différentes méthodes et interfaces utilisateur dans AppScan.
      - Création d'un examen à partir d'un modèle
        En fonction de la méthode employée par votre équipe de sécurité pour créer un modèle d'examen, vous pouvez utiliser le client AppScan Dynamic Analysis ou l'interface utilisateur d'AppScan Enterprise pour créer vos examens. Ces rubriques décrivent chacune des tâches dont vous pouvez avoir besoin.
        Types de modèles d'examen
        Voici les modèles d'examen disponibles dans AppScan Enterprise. L'équipe de sécurité peut également créer des modèles spécifiques pour votre organisation.
        Création d'un examen basé sur un modèle à l'aide des propriétés d'examen AppScan Standard
        Création d'examens utilisant les modèles basés sur les options de configuration d'examen d'AppScan Standard. Un assistant simple à utiliser (AppScan Dynamic Analysis Client) vous guide dans les options de configuration d'examen, y compris les fonctions de connexion et d'exploration manuelle basées sur les actions.
        Création d'un examen basé sur un modèle à l'aide des propriétés d'examen AppScan Enterprise
        Un QuickScan explore votre site afin d'en reconnaître le contenu, à l'aide des paramètres définis dans un modèle d'examen créé par un administrateur. Une fois collectées par l'examen, les données sont stockées dans une base de données pour être analysées par le moteur de reporting et mises à votre disposition via les groupes de rapports qui sont des collections de rapports. La plupart de vos tâches d'analyse de données porteront sur les données fournies dans ces rapports.
        Création d'un examen à l'aide du modèle GraphQL
        Dans l'édition AppScan Enterprise 10.1.0, le modèle GraphQL est introduit pour examiner les API qui contiennent des requêtes GraphQL. Dans cette version initiale du modèle, les capacités sont limitées uniquement aux API avec des requêtes GraphQL et non aux applications Web.
        Comment obtenir le modèle GraphQL
        Le modèle GraphQL est utilisé pour examiner les API avec des requêtes GraphQL. Dans ce sujet, vous pouvez apprendre comment obtenir le modèle GraphQL.
        Ajout des API à l'aide de l'API REST Postman AppScan Enterprise
        Créer un examen GraphQL en ajoutant les API à l'aide de l'API REST Postman AppScan Enterprise
        Enregistrement des API via le client ADAC à l'aide d'outils externes et de ports proxy
        Créez un examen GraphQL en enregistrant les API via le client ADAC à l'aide d'outils externes et de ports proxy.
        Enregistrement des API via le client ADAC à l'aide de Postman ou de SoapUI
        Créez un examen GraphQL en enregistrant les API via le client ADAC à l'aide de Postman ou de SoapUI.
        Création d'un examen via ppScan Standard à l'aide d'AppScan Connect
        Vous pouvez importer la collection Postman dans un travail d'examen à l'aide d'AppScan Standard, puis répliquer ce travail dans AppScan Enterprise.
      - Edition d'un examen
        Vous pouvez éditer un examen de base pour modifier les options de configuration. Si vous avez besoin d'aide pour éditer votre examen ou si vous devez ajouter des paramètres, faites appel à votre équipe de sécurité. Ils peuvent éditer votre examen à partir d'une vue avancée dans le client AppScan Dynamic Analysis.
      - Création d'un examen d'importation
        Un QuickScan d'importation télécharge des fichiers AppScan® en fonction des paramètres définis dans un modèle d'examen créé par un administrateur de produit. Une fois le fichier téléchargé, ses données sont stockées dans une base de données pour être analysées par le moteur de reporting et mises à votre disposition via les groupes de rapports qui sont des collections de rapports.
    - Equipe de sécurité
      A l'aide d'une configuration d'examen créée dans AppScan Standard, l'équipe de sécurité crée des modèles.
    - Conversion des configurations des examens de AppScan® Standard vers AppScan® Dynamic Analysis Client
      S'il y a un examen de contenu existant basé sur une modèle d'examen (*.scant) d'AppScan® Standard, vous pouvez convertir la configuration des examens afin de pouvoir la modifier directement dans AppScan Dynamic Analysis Client. Cependant, une fois que vous avez converti la configuration des examens, vous ne pouvez plus l'ouvrir dans AppScan Standard.
  - Exécution et planification des travaux
    Découvrez comment exécuter et planifier un travail dans AppScan Enterprise.
  - Copie d'un examen entre deux instances Enterprise Console
    Exportez les propriétés d'examen et créez un nouvel examen basé sur ces propriétés. Il s'agit de la méthode que vous utilisez pour copier un examen d'une instance Enterprise Console à l'autre.
  - Arrêt puis reprise d'un travail
    Vous pouvez arrêter un travail en cours d'exécution de trois façons. Vous opterez pour l'une ou l'autre des façons possibles principalement selon que vous voulez conserver les données ou que vous voulez poursuivre l'exécution du travail à partir de là où il s'est arrêté. Vous pouvez reprendre un travail suspendu pour continuer l'examen à partir de là où il s'était arrêté. Un travail repris est traité par le premier agent disponible sur n'importe quel serveur.
- Etape 3 : Détermination des risques et hiérarchisation des vulnérabilités
  Apprenez à déterminer les risques et hiérarchiser les vulnérabilités identifiées dans une application.
- Etape 4 : Résolution des risques
  Apprenez à éliminer les risques identifiés dans une application.
- Etape 5 : Mesure de la progression et démonstration de la conformité
  Apprenez à mesurer la progression et à démontrer la conformité.

Enregistrement des API via le client ADAC à l'aide d'outils externes et de ports proxy

Créez un examen GraphQL en enregistrant les API via le client ADAC à l'aide d'outils externes et de ports proxy.

Procédure

Sur la page Examen AppScan Enterprise, cliquez sur Créer un élément de dossier.
Sélectionnez le bouton d'option Travail utilisant un modèle et, dans la liste déroulante, sélectionnez l'option de modèle GraphQL.
Cliquez sur le bouton Créer. Le navigateur lance le client AppScan Dynamic Analysis Client (ADAC).
Accédez à la section Exploration manuelle, cliquez sur Ajouter, sélectionnez Client externe, puis sélectionnez Autres.
Configurez l'outil externe pour utiliser le port proxy et l'adresse IP pour le client local affiché dans la fenêtre Enregistrer le trafic.
Une fois configuré, exécutez la collection dans l'outil externe.
Après avoir exécuté la collection, dans la fenêtre Enregistrer le trafic, cliquez sur le bouton Arrêter l'enregistrement, puis sur Enregistrer.
Dans la fenêtre ADAC, cochez la case sous Domaines détectés pour les domaines à inclure dans l'examen.
Accédez à Propriétés du travail, sélectionnez une stratégie de test souhaitée et cliquez sur Créer un travail.
Exécutez l'examen.