Aller au contenu principal
HCL Logo Help Center
HCL TECHNOLOGIES ABOUT US PRODUCTS & SOLUTIONS RESOURCES CONTACT US
Documentation HCL® AppScan® Source V10.0.0
Bienvenue dans la documentation relative au produit HCL® AppScan® Source, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Présentation d'HCL AppScan Source
HCL® AppScan® Source offre une valeur optimale à tous les utilisateurs de votre entreprise jouant un rôle dans la sécurité logicielle. Que vous soyez analyste de la sécurité, professionnel de l'assurance qualité, développeur ou responsable en matière de sécurité, les produits AppScan Source vous apportent les fonctionnalités, la souplesse et la puissance dont vous avez besoin sur votre ordinateur.
Découvrez des informations générales sur le produit.
Présentation d'HCL® AppScan® Source for Analysis
Cette section décrit comment AppScan® Source for Analysis s'intègre dans la solution AppScan Source complète et fournit une base pour la compréhension du flux de travaux d'assurance logicielle.
Présentation d'HCL® AppScan® Source
HCL® AppScan® Source offre une valeur optimale à tous les utilisateurs de votre entreprise jouant un rôle dans la sécurité logicielle. Que vous soyez analyste de la sécurité, professionnel de l'assurance qualité, développeur ou responsable en matière de sécurité, les produits AppScan Source vous apportent les fonctionnalités, la souplesse et la puissance dont vous avez besoin sur votre ordinateur.
Apprenez à installer le produit.
Configuration requise et composants prérequis pour l'installation
Exemples de scénarios d'installation
Lorsque vous installez AppScan® Source, il est important de suivre le flux de travaux d'installation approprié. Ces rubriques vont vous guider tout au long des étapes requises dans des exemples de scénarios d'installation.
Mise à niveau AppScan® Source
Installation avancée et rubriques d'activation
Cette section décrit les options d'installation avancée et les procédures d'activation.
Personnalisation de l'installation AppScan® Source
Vous pouvez personnaliser l'installation dans le but de créer un assistant d'installation personnalisée ou créer un programme d'installation personnalisée qui installe le produit en mode silencieux.
Programme d'installation silencieuse d'AppScan® Source
L'assistant d'installation silencieuse d'AppScan® Source permet de créer des programmes d'installation silencieuse.
Activation du logiciel
Suppression d'AppScan® Source de votre système
Vous pouvez supprimer AppScan® Source depuis le Panneau de configuration Windows™ ou via un script de désinstallation Linux™. La désinstallation de AppScan Source ne supprime pas et ne sauvegarde pas une base de données Oracle installée. La suppression de l'utilisateur AppScan Source d'une instance Oracle est une tâche manuelle d'administration de base de données.
Apprenez à configurer le produit.
Configuration d'applications et de projets
Avant d'effectuer un examen, vous devez configurer les applications et les projets. Cette section décrit les assistants Application Discovery Assistant, Nouvelle application et Nouveau projet. Vous apprendrez à configurer les attributs pour AppScan® Source for Analysis. En outre, cette section vous explique comment ajouter des applications et projets existants à l'examen et comment ajouter des fichiers à des projets.
Préférences
Les préférences sont les choix personnels de l'utilisateur concernant l'apparence et le fonctionnement de AppScan® Source for Analysis.
Apprenez à administrer le produit.
Administration AppScan® Source
Cette section décrit la gestion des utilisateurs, les autorisations, l'enregistrement des applications et des projets ainsi que la configuration des ports.
Audit de l'activité de l'utilisateur
AppScan® Source offre un emplacement pratique pour auditer l'activité de l'utilisateur. La vue Audit consigne les événements tels que l'authentification sur le serveur AppScanEnterprise Server, la création d'utilisateurs et la création de règles dans la base de données.
Connexion à AppScan®Enterprise Server à partir des produits AppScan® Source
La plupart des produits et des composants AppScan® Source requièrent une connexion à un serveur AppScanEnterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partage d'évaluations via la AppScan Source Database.
Intégration LDAP
Pour ajouter un utilisateur AppScan® Source qui sera authentifié via LDAP, vous devez avoir configuré le référentiel d'utilisateurs AppScanEnterprise Server pour utiliser un référentiel d'utilisateurs LDAP.
Enregistrement des applications et des projets pour la publication sur AppScan® Source
Fichiers d'application et de projet AppScan® Source
Les applications et les projets AppScan® Source ont des fichiers correspondants qui contiennent les informations de configuration requises pour l'examen et pour la personnalisation du triage. Il est recommandé de placer ces fichiers dans le même répertoire que le code source car les informations de configuration (dépendances, options du compilateur, etc.) requises pour générer les projets sont très similaires à celles requises pour que AppScan Source puisse les examiner avec succès. Les bonnes pratiques consistent à gérer ces fichiers avec votre système de contrôle des sources.
Configuration des ports
Modification des mots de passe utilisateur d'solidDB® après l'installation
Si vous installez la base de données solidDB® pendant l'installation du produit, vous devez configurer l'utilisateur et les données d'identification administrative pour solidDB. Par défaut, les paramètres de l'utilisateur de solidDB sont le nom d'utilisateur ounce et le mot de passe ounce. Le nom d'utilisateur et le mot de passe de l'administrateur de base de données sont tous deux dba.
Apprenez à développer à l'aide du produit.
Examen du code source et gestion des évaluations
Cette section explique comment examiner votre code source et gérer les évaluations.
Triage et analyse
Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
Trace AppScan® Source
La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
AppScan® Source for Analysis et suivi des défauts
AppScan® Source for Analysis s'intègre à systèmes de suivi des incidentsIBM® Rational Team Concert™ pour signaler directement les vulnérabilités logicielles avérées au bureau du développeur. La soumission de défaut à un système de suivi des défauts comprend une description du bogue, ainsi qu'un fichier contenant uniquement les constatations soumises avec le défaut.
Recherche des rapports et des rapports d'audit
Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.
Création de rapports personnalisés
Dans l'éditeur de rapport, vous pouvez créer des modèles de rapport servant à générer des rapports personnalisés.
Apprenez à étendre les fonctionnalités du produit.
Personnalisation de la base de données des vulnérabilités et des règles de schémas
Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens.
Extension de l'infrastructure d'importation de serveurs d'applications
AppScan® Source vous permet d'importer des applications Java™ depuis Apache Tomcat et le profil Liberty WebSphere® Serveur d'applications. Vous pouvez importer des applications Java à partir d'autres serveurs d'applications en étendant l'infrastructure d'importation de serveurs d'applications, comme expliqué dans cette rubrique.
Consultez les informations de référence relatives au produit.
L'utilitaire de génération Ounce/Make
Ounce/Make est un outil automatisant l'importation d'informations de configuration dans AppScan® Source à partir d'environnements de génération utilisant un fichier makefile. Ounce/Make vous évite d'avoir à importer manuellement ces informations des fichiers makefiles.
AppScan® Source
L'interface CLI est une interface de la fonctionnalité de base AppScan® Source.
L'outil de génération Ounce/Ant
Cette section décrit comment utiliser Ounce/Ant, qui est un utilitaire de génération AppScan® Source intégrant AppScan Source et Apache Ant. L’intégration d’Ounce/Ant avec votre environnement Ant vous aide à automatiser les générations et les évaluations de code.
API d'accès aux données AppScan® Source
L'API d'accès aux données fournit l'accès aux résultats d'évaluation générés par AppScan® Source, y compris aux constatations et aux détails des constatations. Elle donne également accès aux métriques d'évaluation telles que la date et l'heure de l'analyse, le nombre de lignes de code, la densité V et le nombre de constatations.
Plug-in Ounce/Maven
Cette section décrit le plug-in Ounce/Maven, qui utilise l'outil de génération Maven d'Apache pour intégrer AppScan® Source dans le flux de travaux Maven.
AppScan® Source for Automation
Automation Server (ounceautod) vous permet d'automatiser des aspects clés du flux de travaux AppScan® Source et d'intégrer la sécurité aux environnements de génération lors du cycle de vie de développement de logiciels. Automation Server vous permet de placer en file d'attente des requêtes d'examen et de publication d'évaluations, et de générer des rapports sur la sécurité du code d'application.
API de gestion de Framework for Frameworks
AppScan® Source fournit un ensemble d'API Java™ qui permettent d'ajouter le support des frameworks (infrastructures) utilisés dans vos applications. Les classes et méthodes proposées dans ces API vous permettent de représenter les cadres pour lesquels la prise en charge intégrée n'est pas fournie.
Messages d'erreur du composant client AppScan® Source
AppScan® Source for Analysis exemples
AppScan® Source for Analysis comporte un exemple d'applicationdes exemples d'application que vous pouvez utiliser pour vous familiariser avec le produit.
Environnement de travail AppScan® Source for Analysis
Afin d'exploiter pleinement les capacités de AppScan® Source, vous devez avoir une bonne connaissance des concepts fondamentaux de l'environnement de travail AppScan Source for Analysis et savoir comment utiliser les options correspondant le mieux à votre flux de travaux.
Vues et fenêtres
Les vues et fenêtres de AppScan® Source for Development fournissent des présentations alternatives des constatations, permettent l'édition du code et la navigation entre les informations dans votre plan de travail. Une vue peut figurer seule ou être juxtaposée à d'autres dans un bloc-notes à onglets. Vous pouvez modifier l'agencement d'une perspective ou d'une fenêtre en ouvrant et en fermant des vues, et en les ancrant dans des positions différentes dans la fenêtre du plan de travail.
Prise en charge de CWE
La liste CWE (Common Weakness Enumeration) est une liste de normes de l'industrie fournissant des noms usuels pour les faiblesses logicielles publiquement connues. Cette rubrique répertorie les ID CWE pris en charge dans la version actuelle de AppScan® Source.
Apprenez la terminologie courante du produit
Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java et IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.
HCL® MobileFirst Platform Application Scanning
AppScan® Source for Development est également fourni comme MobileFirst Platform Application Scanning. Avec MobileFirst Platform Application Scanning, vous pouvez travailler dans votre environnement de travail existant et effectuer une analyse de vulnérabilité de sécurité dans des projets IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.
Présentation d'HCL® AppScan® Source
HCL® AppScan® Source offre une valeur optimale à tous les utilisateurs de votre entreprise jouant un rôle dans la sécurité logicielle. Que vous soyez analyste de la sécurité, professionnel de l'assurance qualité, développeur ou responsable en matière de sécurité, les produits AppScan Source vous apportent les fonctionnalités, la souplesse et la puissance dont vous avez besoin sur votre ordinateur.
Glossaire
AppScan® Source for Development en mode serveur et en mode local
Les plug-in AppScan® Source for Development peuvent être utilisés avec ou sans serveur AppScanEnterprise Server. En mode serveur, vous vous connectez au serveur pour exécuter des examens et accéder aux données partagées, comme dans les versions précédentes du produit. Dans le nouveau mode local, AppScan Source for Development s'exécute sans se connecter à un serveur AppScanEnterprise Server et vous ne pouvez pas accéder aux éléments partagés tels que les filtres, les examens de configuration et les règles personnalisées.
Création de variables
Pour ouvrir une évaluation ou un groupement créé précédemment dans AppScan® Source for Analysis qui s'appuie sur une variable de chemin, vous devez créer une variable correspondante dans votre environnement de développement. La création d'une variable garantit la disponibilité des données sur plusieurs ordinateurs. Pour partager des données d'évaluation, vous devez définir les variables appropriées.
Configuration des examens
Selon le type de projet que vous examinez et le type d'examen que vous souhaitez réaliser, vous devrez peut-être configurer votre examen avant de l'exécuter. Par exemple, il est possible de configurer des projets pour utiliser un autre compilateur JDK ou JSP que ceux définis par défaut.
Préférences générales
Les préférences générales vous permettent d'adapter certains paramètres par défaut de AppScan® Source for Development en fonction de vos préférences personnelles.
Préférences générales
Les préférences générales vous permettent d'adapter certains paramètres par défaut de AppScan® Source for Development en fonction de vos préférences personnelles.
Examen
Vous pouvez examiner un espace de travail, un projet ou un fichier Eclipse ou Rational® Application Developer for WebSphere® Software (RAD). Sont inclus l'examen de Java™ (y compris Android), l'examen des pages JSP (JavaServer Pages) et l'examen des projets IBM® MobileFirst Platform.
Ouverture et sauvegarde d'évaluations
AppScan® Source examine le code source pour détecter des vulnérabilités et génère des constatations. Ces constatations sont les vulnérabilités détectées au cours d'un examen et le résultat d'un examen constitue une évaluation. Vous pouvez ouvrir une évaluation sauvegardée à partir d'AppScan Source for Development ou AppScan Source for Analysis. Après votre examen, vous pouvez sauvegarder l'évaluation sur un fichier. Ensuite, vous pouvez rouvrir l'évaluation à tout moment. Les évaluations sont sauvegardées sous la forme filename.ozasmt.
Personnalisation du tableau de constatations
Vous pouvez personnaliser les tables de constatations dans toutes les vues comportant des constatations (hormis la vue Différences entre les évaluations dans AppScan® Source for Analysis) en identifiant les seules colonnes et l'ordre dans lequel vous désirez les afficher. Chaque vue peut avoir des paramètres distincts ou vous pouvez appliquer vos options à toutes les vues. Pour personnaliser l'ordre des colonnes, suivez les procédures de cette rubrique de tâche.
Sauvegarde de constatations sélectionnées dans une évaluation
Recherche de constatations
Vous pouvez rechercher des constatations spécifiques dans plusieurs vues contenant des constatations. Les critères de recherche incluent les groupements, le code, les fichiers, les projets et les types de vulnérabilité. Les résultats figurent dans la vue Résultats de la recherche.
Modification de constatations
Les constatations modifiées sont celles dont le type de vulnérabilité, la classification ou la gravité a été modifié ou auxquelles des annotations ont été ajoutées. La vue Constatations modifiées affiche ces constatations pour l'application en cours (l'application active après qu'une évaluation a été ouverte pour cette application). Dans la vue Mes évaluations (disponible uniquement dans AppScan® Source for Analysis), la colonne Modifié indique si une constatation a été modifiée dans l'évaluation en cours.
Résolution des problèmes de sécurité et affichage de l'aide à la résolution
AppScan® Source vous alerte en cas d'erreurs ou de failles de conception courantes de la sécurité et vous assiste dans leur processus de résolution. La AppScan Base de connaissances de sécurité Source et les éditeurs de code internes ou externes vous aident au cours de ce processus.
Triage avec exclusions
Après un examen, vous pouvez décider que certaines constatations ne sont pas pertinentes pour votre travail actuel et que vous ne désirez pas qu'elles soient visibles dans le tableau des constatations lors du triage de ces résultats. Ces exclusions (ou constatations exclues) n'apparaissent plus dans la vue Constatations et les métriques des évaluations sont immédiatement actualisées avec les résultats modifiés. Le filtrage et les exclusions de groupements ajoutés à une configuration ne prennent effet que lors des examens ultérieurs.
Création et gestion de filtres
AppScan® Source propose plusieurs méthodes pour la création et l'utilisation des filtres. L'éditeur de filtre, la vue principale pour la création de filtres, propose un ensemble de règles robustes pouvant être définies manuellement, puis enregistrées dans un filtre. Il fournit également un mécanisme afin de gérer les filtres que vous avez créés, en vous permettant de les modifier ou de les supprimer aisément. Vous pouvez également filtrer le tableau des constatations depuis les vues présentant des représentations graphiques de celles-ci, puis enregistrer ces filtres depuis la vue Editeur de filtre. Lorsque vous créez un filtre, les autres vues sont actualisées en reflétant les propriétés du filtre.
Annotations et attributs pris en charge
Certains attributs ou annotations utilisés pour enrichir le code sont traités lors des examens. Lorsqu'une annotation ou un attribut pris en charge est détecté lors d'un examen, ces informations sont utilisées pour marquer la méthode enrichie en tant que rappel entaché. Une méthode marquée comme rappel entaché est traitée si tous ses arguments comportent des données entachées. Ceci débouche sur un plus grand nombre de constatations accompagnées de traces. Les annotations et attributs pris en charge sont répertoriés dans cette rubrique d'aide.
Utilisation de groupements
Un groupement (mécanisme d'agrégation de constatations) vous permet d'importer un instantané de constatations depuis AppScan® Source for Analysis vers AppScan Source for Development. Une fois que les constatations se trouvent dans des groupements, vous pouvez utiliser AppScan Source for Development pour ouvrir le projet qui contient le groupement, importer le groupement ou ouvrir un fichier de groupement sauvegardé (file_name.ozbdl).
Trace AppScan® Source
La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
Vues et fenêtres
Les vues et fenêtres de AppScan® Source for Development fournissent des présentations alternatives des constatations, permettent l'édition du code et la navigation entre les informations dans votre plan de travail. Une vue peut figurer seule ou être juxtaposée à d'autres dans un bloc-notes à onglets. Vous pouvez modifier l'agencement d'une perspective ou d'une fenêtre en ouvrant et en fermant des vues, et en les ancrant dans des positions différentes dans la fenêtre du plan de travail.
Emplacements des fichiers de données utilisateur et des fichiers d'installation
Lorsque vous installez AppScan® Source, les fichiers de données utilisateur et de configuration sont stockés hors du répertoire d'installation.
Prise en charge de CWE
La liste CWE (Common Weakness Enumeration) est une liste de normes de l'industrie fournissant des noms usuels pour les faiblesses logicielles publiquement connues. Cette rubrique répertorie les ID CWE pris en charge dans la version actuelle de AppScan® Source.
Analyse de résultats intelligente (IFA)
Découvrez l'auto-triage et l'analyse des constatations depuis AppScan® Source.
Plusieurs ressources d'informations d'aide et d'outils sont à votre disposition pour vous aider à résoudre les incidents.
Présentation du processus de traitement des incidents
Le processus d'identification et de résolution des incidents consiste à rechercher et à éliminer la cause d'un incident. En présence d'un incident lié à votre logiciel IBM®, vous commencez ce processus dès que vous vous posez la question Que s'est-il passé ?
Contacter le service de support logiciel HCL®
Si les ressources d'aide ne vous ont pas permis de résoudre votre incident, vous pouvez contacter le service de support logiciel HCL®. Le service de support logiciel HCL fournit une aide à la résolution des défauts des produits.