Accueil
Développement
Apprenez à développer à l'aide du produit.
Recherche des rapports et des rapports d'audit
Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.
Rapports AppScan® Source
Rapport Profil de sécurité logicielle
Le rapport Profil de sécurité logicielle présente une analyse exhaustive des caractéristiques de votre application ayant un impact direct sur sa sécurité. Il fournit un audit détaillé des fonctions de sécurité cruciales du logiciel pour un projet spécifique. Ce rapport vous aide à vérifier l'implémentation d'exigences telles que le chiffrement, le contrôle d'accès, la journalisation et le traitement des erreurs avant la certification du logiciel pour son déploiement.

Développement
Apprenez à développer à l'aide du produit.
- Examen du code source et gestion des évaluations
  Cette section explique comment examiner votre code source et gérer les évaluations.
- Triage et analyse
  Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
- Trace AppScan® Source
  La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
- AppScan® Source for Analysis et suivi des défauts
  AppScan® Source for Analysis s'intègre à systèmes de suivi des incidentsIBM® Rational Team Concert™ pour signaler directement les vulnérabilités logicielles avérées au bureau du développeur. La soumission de défaut à un système de suivi des défauts comprend une description du bogue, ainsi qu'un fichier contenant uniquement les constatations soumises avec le défaut.
- Recherche des rapports et des rapports d'audit
  Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.
  - Création de rapports sur les constatations
  - Rapports AppScan® Source
    - Création d'un rapport AppScan® Source personnalisé
    - Rapport CWE/SANS Top 25 2011
      Le rapport CWE/SANS Top 25 2011 est basé sur la liste des 25 erreurs logicielles CWE/SANS les plus dangereuses, 2011 CWE/SANS Top 25 Most Dangerous Software Errors, pour 2011.
    - Rapport DISA Application Security and Development STIG
      Cette rubrique propose des liens vers le site Web du guide d'implémentation technique de sécurité de développement et de sécurité d'application (STIG) du DISA (Defense Information Systems Agency) ainsi que vers des documents d'aide.
    - Rapports Open Web Application Security Project (OWASP) Top 10 2013 et 2017
      Cette rubrique propose des liens vers le site Web Open Web Application Security Project (OWASP) ainsi que vers des documents d'aide.
    - Rapport Open Web Application Security Project (OWASP) Mobile Top 10
      Cette rubrique propose des liens vers le site Web Open Web Application Security Project (OWASP) ainsi que vers des documents d'aide.
    - Rapport PCI DSS (Payment Card Industry Data Security Standard) version 3.2
    - Rapport Profil de sécurité logicielle
      Le rapport Profil de sécurité logicielle présente une analyse exhaustive des caractéristiques de votre application ayant un impact direct sur sa sécurité. Il fournit un audit détaillé des fonctions de sécurité cruciales du logiciel pour un projet spécifique. Ce rapport vous aide à vérifier l'implémentation d'exigences telles que le chiffrement, le contrôle d'accès, la journalisation et le traitement des erreurs avant la certification du logiciel pour son déploiement.
- Création de rapports personnalisés
  Dans l'éditeur de rapport, vous pouvez créer des modèles de rapport servant à générer des rapports personnalisés.

Rapport Profil de sécurité logicielle

Le rapport Profil de sécurité logicielle présente une analyse exhaustive des caractéristiques de votre application ayant un impact direct sur sa sécurité. Il fournit un audit détaillé des fonctions de sécurité cruciales du logiciel pour un projet spécifique. Ce rapport vous aide à vérifier l'implémentation d'exigences telles que le chiffrement, le contrôle d'accès, la journalisation et le traitement des erreurs avant la certification du logiciel pour son déploiement.

Ce rapport composite identifie les zones de risque potentiel et présente des recommandations en vue de les minimiser. Il facilite l'évaluation de la sécurité globale de l'application, laquelle est utile pour l'examen de la conformité, des stratégies et de l'architecture. Les constatations se basent sur une analyse statique approfondie du code source à l'aide d'une base de données de failles, de vulnérabilités, de normes sectorielles spécifiques et de pratiques générales optimales.

Le rapport Profil de sécurité logicielle présente les informations suivantes :

Une carte de rapport : Contient des liens vers les détails du rapport et des indicateurs de gravité récapitulant la section.
Présentation : Récapitule l'objectif du rapport et décrit la configuration de l'application.
Métriques : Identifient le nombre total de packages, de classes, de méthodes et de lignes de code dans tous les packages du projet.
Constatations détaillées par catégorie : Rend compte de chaque catégorie de vulnérabilités détectée avec le nom de la catégorie et une icône indiquant le niveau de gravité de la vulnérabilité.