Affichage des constatations
La vue Constatations, ou toute vue contenant des constatations, affiche leur arborescence (regroupement hiérarchique des critères d'évaluation) et un Tableau des constatations pour chaque examen. L'élément sélectionné dans l'arborescence des constatations détermine les constatations présentées dans le tableau.
Lorsque vous sélectionnez la racine de l'arborescence, toutes les constatations s'affichent dans le tableau. Lorsque vous sélectionnez un type de groupement, seules les constatations de ce type apparaissent.
AppScan® Source for Analysis affiche les constatations dans des regroupements différents incluant :
- Groupe de correctifs (par défaut)
Les groupes de correctifs dans l'arborescence des constatations sont répertoriés selon la hiérarchie suivante : Groupe et type vulnérabilité > Source > Gravité.
- Type de vulnérabilité
- Classification
- Fichier
- Source
- Collecteur
- API
- Groupement
- CWE
- CWE
Remarque : les classifications et gravités sont triées par défaut par ordre descendant. Toutes les autres colonnes sont triées par ordre ascendant.
Les colonnes suivantes apparaissent dans un tableau des constatations.
| En-tête de colonne | Description |
|---|---|
| Trace | Une icône dans cette colonne indique qu'il existe une trace pour les collecteurs perdus ou connus. |
| Gravité |
|
| Classification | Type de constatation : constatation de sécurité Définitive ou Suspectée - ou constatation de Couverture d'examen. Remarque : Dans certains cas, la classification Aucun est utilisée pour indiquer une constatation qui n'est ni une constatation de sécurité ni une constatation de couverture d'examen. |
| Type de vulnérabilité | Catégorie de la vulnérabilité, telle que Validation.Required ou Injection.SQL. |
| API | Indique l'appel vulnérable, en présentant à la fois l'API et les arguments qui lui sont transmis. |
| Source | Une source est une entrée du programme, telle qu'un fichier, une requête de servlet, une saisie depuis la console ou un socket. Dans le cas de la plupart des sources d'entrées, les données renvoyées ne sont pas limitées en termes de contenu et de longueur. Lorsqu'une entrée n'est pas vérifiée, elle est considérée comme entachée. |
| Collecteur | un collecteur peut être un format externe quelconque dans lequel des données peuvent être consignées. Comme exemples de collecteurs, on peut citer des bases de données, des fichiers, des sorties console et des sockets. La consignation de données dans un collecteur sans leur vérification peut donner lieu à une vulnérabilité sérieuse de la sécurité. |
| Directory | Chemin d'accès complet des fichiers analysés. |
| Fichier | Nom du fichier de code dans lequel la constatation de sécurité ou la constatation de couverture d'examen survient. Les chemins de fichier dans les constatations sont relatifs au répertoire de travail du projet analysé. |
| Méthode d'appel | Fonction (ou méthode) depuis laquelle l'appel vulnérable est effectué. |
| Ligne | Numéro de la ligne dans le fichier de code contenant l'API vulnérable. |
| Groupement | Groupement contenant cette constatation. |
| CWE | ID et sujet du dictionnaire de faiblesses logicielles courantes développé par la communauté (rubriques CWE - Common Weakness Enumeration). |
Remarque : Si vous sélectionnez une constatation et que AppScan® Source ne peut pas trouver de source liée à celle-ci, vous verrez apparaître une boîte de dialogue qui vous permet de choisir si vous souhaitez être consulté lorsque cette situation se produit. Si vous sélectionnez Oui, vous serez consulté à chaque fois qu'une constatation est sélectionnée et qu'aucun fichier source ne peut être trouvé pour celle-ci. Si vous sélectionnez Non, vous ne serez pas consulté. Ce paramètre demeure disponible tant que l'évaluation en cours est ouverte. Ce paramètre est réinitialisé à chaque fois que l'évaluation est ouverte ou si vous quittez AppScan® Source.