Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.

Cette rubrique contient des informations de migration pour les modifications qui ont été introduites dans cette version d'AppScan® Source. Si vous mettez à niveau une version antérieure d'AppScan Source, notez bien les modifications apportées à la version d'AppScan Source que vous mettez à niveau et à toutes les versions jusqu'à cette version actuelle.

Avant de commencer à utiliser ou administrer AppScan® Source, vous devez vous familiariser avec les concepts fondamentaux de AppScan Source. Cette section définit la terminologie et les concepts de base de AppScan Source. Les chapitres ultérieurs reviennent sur ces définitions pour vous aider à comprendre leur contexte dans AppScan Source for Analysis.

Cette section décrit trois modèles de déploiement différents ainsi que les composants qui constituent chaque modèle.

Cette section décrit comment AppScan® Source for Analysis s'intègre dans la solution AppScan Source complète et fournit une base pour la compréhension du flux de travaux d'assurance logicielle.

La plupart des produits et des composants AppScan® Source requièrent une connexion à un serveur AppScanEnterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partage d'évaluations. Toute la gestion des utilisateurs s'effectue dans AppScan Enterprise.

La conformité avec la législation en vigueur aux Etats-Unis sur la technologie de l'information et la sécurité contribue à éliminer les entraves et les obstacles d'ordre commercial. Elle prouve également aux clients du monde entier qu'HCL® fait le maximum pour créer les produits les plus sûrs du marché. Cette rubrique répertorie les normes et instructions prises en charge par AppScan® Source.

L'accessibilité concerne les utilisateurs atteints d'un handicap physique, tel qu'une mobilité réduite ou une vision limitée. Les problèmes d'accessibilité peuvent empêcher un utilisateur d'utiliser un produit logiciel avec succès. Cette rubrique présente les problèmes d'accessibilité connus liés à AppScan® Source, ainsi que les solutions pour les contourner.

Lorsque vous installez AppScan® Source, il est important de suivre la procédure d'installation appropriée. Ces rubriques vont vous guider tout au long des étapes requises dans des exemples de scénarios d'installation.

Cette section décrit les options d'installation avancée et les procédures d'activation.

L'assistant d'installation silencieuse d'AppScan® Source permet de créer des programmes d'installation silencieuse.

Vous pouvez supprimer AppScan® Source depuis le Panneau de configuration Windows™ ou via un script de désinstallation Linux™. La désinstallation de AppScan Source ne supprime pas et ne sauvegarde pas une base de données Oracle installée. La suppression de l'utilisateur AppScan Source d'une instance Oracle est une tâche manuelle d'administration de base de données.

Avant d'effectuer un examen, vous devez configurer les applications et les projets. Cette section décrit les assistants Application Discovery Assistant, Nouvelle application et Nouveau projet. Vous apprendrez à configurer les attributs pour AppScan® Source for Analysis. En outre, cette section vous explique comment ajouter des applications et projets existants à l'examen et comment ajouter des fichiers à des projets.

Les préférences sont les choix personnels de l'utilisateur concernant l'apparence et le fonctionnement de AppScan® Source for Analysis.

Cette section décrit la gestion des utilisateurs, les autorisations, l'enregistrement des applications et des projets ainsi que la configuration des ports.

AppScan® Source offre un emplacement pratique pour auditer l'activité de l'utilisateur. La vue Audit consigne les événements tels que l'authentification sur le serveur AppScanEnterprise Server, la création d'utilisateurs et la création de règles dans la base de données.

La plupart des produits et des composants AppScan® Source requièrent une connexion à un serveur AppScanEnterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partage d'évaluations. Toute la gestion des utilisateurs s'effectue dans AppScan Enterprise.

Pour ajouter un utilisateur AppScan® Source qui sera authentifié via LDAP, vous devez avoir configuré le référentiel d'utilisateurs AppScanEnterprise Server pour utiliser un référentiel d'utilisateurs LDAP.

Les applications et les projets AppScan® Source ont des fichiers correspondants qui contiennent les informations de configuration requises pour l'examen et pour la personnalisation du triage. Il est recommandé de placer ces fichiers dans le même répertoire que le code source car les informations de configuration (dépendances, options du compilateur, etc.) requises pour générer les projets sont très similaires à celles requises pour que AppScan Source puisse les examiner avec succès. Les bonnes pratiques consistent à gérer ces fichiers avec votre système de contrôle des sources.

Cette section explique comment examiner votre code source et gérer les évaluations.

Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.

La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.

AppScan® Source for Analysis s'intègre à systèmes de suivi des incidentsIBM® Rational Team Concert™ pour signaler directement les vulnérabilités logicielles avérées au bureau du développeur. La soumission de défaut à un système de suivi des défauts comprend une description du bogue, ainsi qu'un fichier contenant uniquement les constatations soumises avec le défaut.

Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.

Dans l'éditeur de rapport, vous pouvez créer des modèles de rapport servant à générer des rapports personnalisés.

Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens.

AppScan® Source vous permet d'importer des applications Java™ depuis Apache Tomcat et le profil Liberty WebSphere® Serveur d'applications. Vous pouvez importer des applications Java à partir d'autres serveurs d'applications en étendant l'infrastructure d'importation de serveurs d'applications, comme expliqué dans cette rubrique.

Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java et IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.

Ounce/Make est un outil automatisant l'importation d'informations de configuration dans AppScan® Source à partir d'environnements de génération utilisant un fichier makefile. Ounce/Make vous évite d'avoir à importer manuellement ces informations des fichiers makefiles.

L'interface CLI est une interface de la fonctionnalité de base AppScan® Source.

Cette section décrit comment utiliser Ounce/Ant, qui est un utilitaire de génération AppScan® Source intégrant AppScan Source et Apache Ant. L’intégration d’Ounce/Ant avec votre environnement Ant vous aide à automatiser les générations et les évaluations de code.

L'API d'accès aux données fournit l'accès aux résultats d'évaluation générés par AppScan® Source, y compris aux constatations et aux détails des constatations. Elle donne également accès aux métriques d'évaluation telles que la date et l'heure de l'analyse, le nombre de lignes de code, la densité V et le nombre de constatations.

Cette section décrit le plug-in Ounce/Maven, qui utilise l'outil de génération Maven d'Apache pour intégrer AppScan® Source dans le flux de travaux Maven.

Automation Server (ounceautod) vous permet d'automatiser des aspects clés du flux de travaux AppScan® Source et d'intégrer la sécurité aux environnements de génération lors du cycle de vie de développement de logiciels. Automation Server vous permet de placer en file d'attente des requêtes d'examen et de publication d'évaluations, et de générer des rapports sur la sécurité du code d'application.

AppScan® Source fournit un ensemble d'API Java™ qui permettent d'ajouter le support des frameworks (infrastructures) utilisés dans vos applications. Les classes et méthodes proposées dans ces API vous permettent de représenter les cadres pour lesquels la prise en charge intégrée n'est pas fournie.

AppScan® Source for Analysis comporte un exemple d'applicationdes exemples d'application que vous pouvez utiliser pour vous familiariser avec le produit.

Afin d'exploiter pleinement les capacités de AppScan® Source, vous devez avoir une bonne connaissance des concepts fondamentaux de l'environnement de travail AppScan Source for Analysis et savoir comment utiliser les options correspondant le mieux à votre flux de travaux.

Les vues et fenêtres de AppScan® Source for Development fournissent des présentations alternatives des constatations, permettent l'édition du code et la navigation entre les informations dans votre plan de travail. Une vue peut figurer seule ou être juxtaposée à d'autres dans un bloc-notes à onglets. Vous pouvez modifier l'agencement d'une perspective ou d'une fenêtre en ouvrant et en fermant des vues, et en les ancrant dans des positions différentes dans la fenêtre du plan de travail.

La liste CWE (Common Weakness Enumeration) est une liste de normes de l'industrie fournissant des noms usuels pour les faiblesses logicielles publiquement connues. Cette rubrique répertorie les ID CWE pris en charge dans la version actuelle de AppScan® Source.

Le processus d'identification et de résolution des incidents consiste à rechercher et à éliminer la cause d'un incident. En présence d'un incident lié à votre logiciel IBM®, vous commencez ce processus dès que vous vous posez la question Que s'est-il passé ?

Si les ressources d'aide ne vous ont pas permis de résoudre votre incident, vous pouvez contacter le service de support logiciel HCL®. Le service de support logiciel HCL fournit une aide à la résolution des défauts des produits.