Création de rapports sur les constatations

Pourquoi et quand exécuter cette tâche

Après un examen, vous pouvez vouloir générer des rapports sur les vulnérabilités identifiées. Vous pouvez générer de nombreux rapports sur les constatations :

  • Résultats
  • Constatations par groupes de correctifs
  • Constatations par type
  • Constatations par classification
  • Constatations par fichier
  • Constatations par API
  • Constatations par groupement
  • Constatations par énumération des faiblesses courantes (CWE)
  • Activité DTS
Remarque : les rapports sur les constatations présentent les constatations détaillées par catégorie, de manière similaire aux résultats du tableau des constatations. La génération de rapports sur les constatations peut utiliser beaucoup de mémoire (voir la rubrique associée à l'adresse https://xmlgraphics.apache.org/fop/1.1/running.html#memory) et nécessiter jusqu'à 1024 Mo de mémoire système supplémentaire. Si vous générez un rapport d'examen d'une application volumineuse et que vous observez des problèmes de mémoire, vous pouvez examiner des parties de votre application séparément ou modifier votre configuration d'examen, puis essayer de générer à nouveau le ou les rapports.

Les hyperliens des ID CWE dans le rapport des constatations renvoient au site CWE à l'adresse http://cwe.mitre.org/.

Pour générer un rapport sur les constatations, procédez comme suit :

Procédure

  1. Dans une vue contenant des constatations, sélectionnez celles à inclure dans le rapport. Si vous n'en sélectionnez aucune, le rapport couvre toutes les constatations présentes dans la vue active.

    Dans le menu Outils, cliquez sur Générer un rapport sur les constatations. Vous pouvez également sélectionner et cliquer avec le bouton droit de la souris sur un ensemble de constatations dans une vue, puis cliquer sur Générer un rapport sur les constatations dans le menu.

  2. Dans la boîte de dialogue Sélectionner un rapport sur les constatations, sélectionnez un type de rapport.
    Cliquez sur Terminer pour générer le rapport ou cliquez sur Suivant pour spécifier les paramètres facultatifs dans la page Spécifiez la destination et la feuille de style :
    • Vous pouvez spécifier la destination et le format du rapport. Vous pouvez générer le rapport au format HTML, en tant que fichier ZIP contenant tous les éléments du rapport HTML ou en tant que fichier PDF (vous devez disposer d'Adobe Acrobat Reader pour afficher les rapports au format PDF). Si vous ne spécifiez pas la destination ni le format du rapport (ou si vous cliquez sur Terminer dans la page Sélection du rapport sur les constatations), le format HTML est choisi par défaut et le rapport est sauvegardé dans <data_dir>\reports (où <data_dir> est l’emplacement de vos données de programme AppScan® Source, comme décrit dans Emplacements des fichiers de données utilisateur et des fichiers d'installation).
      Remarque : si vous créez un rapport personnalisé (plutôt qu'un rapport de constatations) au format PDF, vous pouvez indiquer le niveau de détail à inclure dans le rapport :
      • Récapitulatif : contient les comptages pour chaque groupe de rapports.
      • Détaillé : contient les comptages pour chaque API de chaque propriété de vulnérabilité
      • Exhaustif : contient des tableaux composés de chaque constatation pour chaque API.
      • Annoté : contient toutes les constatations et les notes, données de trace ou fragments de code éventuels inclus avec les constatations
    • Pour inclure dans le rapport des informations qui suggèrent des approches de résolution des problèmes, sélectionnez Comment résoudre le problème.
    • Pour inclure un fragment de code dans le rapport, sélectionnez Inclure le code source autour de chaque constatation et indiquez le nombre de ligne avant et après la ligne de code vulnérable à inclure dans le rapport.
      Conseil : dans la section Génération de rapport de la vue Constatation détaillée, vous pouvez également définir le nombre de lignes de code à inclure avant et après la constatation dans les rapports.

      Une fois le rapport généré, lorsque vous développez une constatation contenant des notes ou des fragments de code, le code source apparaît en dessous de la constatation dans un cadre bleu ou en dessous de la note en jaune. Le texte rouge en gras met en évidence la ligne de code vulnérable.

    • Pour inclure les données de AppScan® Trace Source dans le rapport, sélectionnez une ou plusieurs classifications (Définitive, Suspectée ou Couverture d'examen) sous Inclure les données de trace pour les classifications suivantes.

    Cliquez sur Terminer pour générer le rapport.


    Boîte de dialogue Génération du rapport sur les constatations