Accueil
Extension des fonctionnalités du produit
Apprenez à étendre les fonctionnalités du produit.
Personnalisation de la base de données des vulnérabilités et des règles de schémas
Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens.
Extension de la AppScan® Base de connaissances de sécurité Source
Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens. Les règles personnalisées adaptent la AppScan® Base de connaissances de sécurité Source (ou la base de données des vulnérabilités) à vos normes de sécurité spécifiques et appliquent des normes de manière systématique dans votre entreprise.
Création de règles personnalisées
Vous pouvez ouvrir depuis la vue Règles personnalisées l'assistant Règles personnalisées pour vous guider dans la création d'enregistrements de base de données personnalisés. Après avoir créé des règles personnalisées, celles-ci sont affichées dans la vue Règles personnalisées. Le tableau affiche leur signature, leur langage et leur objet.

Extension des fonctionnalités du produit
Apprenez à étendre les fonctionnalités du produit.
- Personnalisation de la base de données des vulnérabilités et des règles de schémas
  Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens.
  - Extension de la AppScan® Base de connaissances de sécurité Source
    Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens. Les règles personnalisées adaptent la AppScan® Base de connaissances de sécurité Source (ou la base de données des vulnérabilités) à vos normes de sécurité spécifiques et appliquent des normes de manière systématique dans votre entreprise.
    - Création de règles personnalisées
      Vous pouvez ouvrir depuis la vue Règles personnalisées l'assistant Règles personnalisées pour vous guider dans la création d'enregistrements de base de données personnalisés. Après avoir créé des règles personnalisées, celles-ci sont affichées dans la vue Règles personnalisées. Le tableau affiche leur signature, leur langage et leur objet.
    - Utilisation de l'assistant Règles personnalisées
      L'assistant Règles personnalisées vous aide à ajouter des méthodes à la AppScan® Base de connaissances de sécurité Source. La portée de la plupart des règles de méthode est globale (s'applique à tous les projets). Les constatations sans trace, les sources, les collecteurs et les propagateurs de tache personnalisés sont toujours globaux. Les routines de validation/codage personnalisées ne sont pas globales.
    - Attributs de règle Likelihood
      Les attributs Attribute.Likelihood.High et Attribute.Likelihood.Low font partie des règles intégrées et peuvent être utilisés lors de la création de règles personnalisées.
    - Vue Règles personnalisées
      Cette vue permet de créer des règles personnalisées à l'aide de l'assistant Règles personnalisées. Vous pouvez ajouter, afficher ou supprimer des règles existantes.
  - Personnalisation de la trace des entrées/sorties via la fonction de AppScan® Trace Source
    Certaines applications (notamment les applications Web) requièrent une trace des entrées/sorties en vue d'identifier les vulnérabilités de la sécurité associées à une injection SQL, une injection de commande ou à un script intersite. A l'aide de la fonction de trace de AppScan® Source, vous pouvez spécifier d'utiliser une routine de validation qui élimine alors le compte rendu de ces vulnérabilités. Toutes les autres sorties sont marquées en tant que vulnérabilités si leurs entrées n'ont pas été validées.
  - Personnalisation à l'aide de règles basées sur des schémas
    L'examen AppScan® Source basé sur des schémas est une analyse de votre code source basée sur des critères de recherche personnalisés. Cet examen est similaire à celui de la fonction grep (grep recherche une chaîne de caractères donnés ou un schéma dans un ou plusieurs fichiers). Les auditeurs ou les analystes de la sécurité effectuant un triage peuvent utiliser un examen basé sur des schémas afin de rechercher des schémas spécifiques dans les applications indiquées ou dans un projet. Après avoir défini un schéma comme constituant un type de vulnérabilité, un examen de votre code source identifie la présence de ce schéma comme une vulnérabilité. Lorsque AppScan Source détecte une correspondance, l'élément concerné figure dans le tableau des constatations. La bibliothèque de règles AppScan Source prête à l'emploi inclut des règles et des ensembles de règles (collections de règles) prédéfinis.
- Extension de l'infrastructure d'importation de serveurs d'applications
  AppScan® Source vous permet d'importer des applications Java™ depuis Apache Tomcat et le profil Liberty WebSphere® Serveur d'applications. Vous pouvez importer des applications Java à partir d'autres serveurs d'applications en étendant l'infrastructure d'importation de serveurs d'applications, comme expliqué dans cette rubrique.
- HCL® AppScan® Source for Development (plug-in Eclipse)
  Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java et IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.

Création de règles personnalisées

Vous pouvez ouvrir depuis la vue Règles personnalisées l'assistant Règles personnalisées pour vous guider dans la création d'enregistrements de base de données personnalisés. Après avoir créé des règles personnalisées, celles-ci sont affichées dans la vue Règles personnalisées. Le tableau affiche leur signature, leur langage et leur objet.

Les routines de validation et de codage spécifiques au projet ne sont affichées dans la vue Règles personnalisées que si le projet auquel s'appliquent les règles existe dans une application figurant sous Toutes les applications dans la vue Explorateur.

Signature : La signature est le nom qualifié complet de la fonction. Par exemple, la signature Java™ inclut des arguments et des types de retour, tels que com.test.vulnerable.VulnClass.vulnerable(java.lang.string;int):int..
Langage : C/C++, Java™, Visual Basic, Classic ASP, ou .NET
But : Type ou types d'enregistrement personnalisé de la méthode concernée, tels que la routine, le collecteur ou la source Validation.EncodingRequired.

Conseil : En affinant votre évaluation d'un codebase en l'examinant par itérations et en ajoutant des règles personnalisées, puis en l'examinant à nouveau sans modifier le code source, vous pouvez réduire considérablement la durée de l'examen en définissant les propriétés du projet de sorte à utiliser un cache d'analyse des vulnérabilités. Pour ce faire, cochez la case Activer le cache d'analyse de vulnérabilités dans les propriétés du projet. Pour déterminer comment définir les propriétés de projet, reportez-vous aux instructions d'utilisation de l'Onglet Présentation du projet sélectionné.