Conformité avec la législation en vigueur aux Etats-Unis

La conformité avec la législation en vigueur aux Etats-Unis sur la technologie de l'information et la sécurité contribue à éliminer les entraves et les obstacles d'ordre commercial. Elle prouve également aux clients du monde entier qu'HCL® fait le maximum pour créer les produits les plus sûrs du marché. Cette rubrique répertorie les normes et instructions prises en charge par AppScan® Source.

Internet Protocol version 6 (IPv6)

AppScan Source est activé pour IPv6, avec les exceptions suivantes :

  • La saisie d'adresses numériques IPv6 n'est pas prise en charge et un nom d'hôte doit être entré à la place. La saisie d'adresses numériques IPv4 est prise en charge.
  • IPv6 n'est pas pris en charge lors de la connexion à Rational Team Concert™.

Norme FIPS (Federal Information Processing Standard)

Sur les plateformes Windows™ et Linux™ prises en charge par AppScan Source, AppScan Source prend en charge FIPS Publication 140-2, à l'aide d'un module cryptographique FIPS 140-2 validé et d'algorithmes approuvés.

Pour des informations pertinentes relatives à la conformité d'AppScan Source à la norme FIPS, et pour savoir comment activer et désactiver le mode FIPS 140-2 d'AppScan Source, reportez-vous aux notes techniques suivantes :

National Institute of Standards and Technology (NIST) Special Publication (SP) 800-131a

Les instructions NIST SP 800-131A expliquent la gestion des clés cryptographiques. Il s'agit notamment des instructions suivantes :

  • Les procédures de gestion des clés
  • La manière d'utiliser les algorithmes de cryptographie
  • Les algorithmes à utiliser et leurs puissances minimales
  • Les longueurs de clé pour des communications sécurisées

Les agences gouvernementales et les institutions financières suivent les instructions NIST SP 800-131A pour garantir la conformité des produits aux exigences de sécurité spécifiées.

Les instructions NIST SP 800-131A sont prises en charge uniquement si AppScan Source fonctionne en mode FIPS 140-2. Pour plus de détails sur l'activation et la désactivation du mode FIPS 140-2 d'AppScan Source, voir Norme FIPS (Federal Information Processing Standard).

Important :
Si le serveur AppScanEnterprise Server auquel vous allez vous connecter est activé pour la conformité avec NIST 800-131a, vous devez définir AppScan Source pour qu'il force Transport Layer Security V1.2. Si la fonction Transport Layer Security V1.2 n'est pas forcée, les connexions au serveur échoueront.
  • Si vous n'installez pas la AppScan Source Database (par exemple, vous installez uniquement les composants client), vous pouvez forcer Transport Layer Security V1.2 en modifiant <data_dir>\config\ounce.ozsettings (où <data_dir> est l’emplacement de vos données de programme AppScan Source, comme décrit dans Emplacements des fichiers de données utilisateur et des fichiers d'installation)). Dans ce fichier, repérez le paramètre suivant :
    <Setting
    		 name="tls_protocol_version"
    		 read_only="false"
    		 default_value="0"
    		 value="0"
    		 description="Minor Version of the TLS Connection Protocol"
    		 type="text"
    		 display_name="TLS Protocol Version"
    		 display_name_id=""
    		 available_values="0:1:2"
    		 hidden="false"
    		 force_upgrade="false"
    	/>

    Dans ce paramètre, modifiez value="0" en value="2", puis enregistrez le fichier.

  • Si vous installez la AppScan Source Database, vous pouvez forcer Transport Layer Security V1.2 dans l'outil de configuration d'HCL® AppScanEnterprise Server après avoir installé AppScan Source et Enterprise Server.

Windows Machines configurées pour utiliser USGCB (United States Government Configuration Baseline)

AppScan Source prend en charge l'examen des applications sur les machines Windows qui sont configurées avec la spécification USGCB.

Remarque : Sur les machines qui sont configurées avec la spécification USGCB, AppScan Source ne prend pas en charge l'intégration du système de suivi des défauts à HP Quality Center ou Rational® ClearQuest®.