Accueil
Développement
Apprenez à développer à l'aide du produit.
Triage et analyse
Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
Triage avec exclusions
Après un examen, vous pouvez décider que certaines constatations ne sont pas pertinentes pour votre travail actuel et que vous ne désirez pas qu'elles soient visibles dans le tableau des constatations lors du triage de ces résultats. Ces exclusions (ou constatations exclues) n'apparaissent plus dans la vue Constatations et les métriques des évaluations sont immédiatement actualisées avec les résultats modifiés. Le filtrage et les exclusions de groupements ajoutés à une configuration ne prennent effet que lors des examens ultérieurs.
Exemple : Spécification d'exclusions dans un filtre
Les critères de filtre déterminent si le filtre exclut les constatations qui correspondent ou ne correspondent pas au filtre.
Exemple : filtrage et exclusion d'API
Un scénario de triage courant peut survenir tôt au cours du processus de triage lorsque vous souhaitez hiérarchiser vos constatations et vous souhaitez exclure certaines constatations. Par exemple, vous déterminez qu’il y a trois API qui ne sont pas des menaces et vous souhaiteriez exclure ces API des prochaines analyses.

Développement
Apprenez à développer à l'aide du produit.
- Examen du code source et gestion des évaluations
  Cette section explique comment examiner votre code source et gérer les évaluations.
- Triage et analyse
  Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
  - Affichage des constatations
    La vue Constatations, ou toute vue contenant des constatations, affiche leur arborescence (regroupement hiérarchique des critères d'évaluation) et un Tableau des constatations pour chaque examen. L'élément sélectionné dans l'arborescence des constatations détermine les constatations présentées dans le tableau.
  - Processus de triage AppScan® Source
    Le processus de triage désigne la manipulation des constatations via des groupements, des filtres et des exclusions et la comparaison des résultats des évaluations.
  - Exemple de triage
    Cet exemple décrit un flux de travaux de triage AppScan® Source utilisé par un analyste de la sécurité. Le flux de travail de triage peut varier en fonction des besoins de votre activité.
  - Triage avec des filtres
    AppScan® Source for Analysis rend compte de toutes les vulnérabilités de sécurité potentielles et peut donc générer des milliers de constatations pour une base de code de moyenne/grande envergure. Lors de l'examen, vous pouvez conclure que la liste des constatations contient des éléments sans importance dans votre cas. Pour éliminer certains éléments de la vue Constatations, vous pouvez choisir un filtre prédéfini ou créer votre propre filtre. Un filtre spécifie les critères qui déterminent les constatations à supprimer de la vue.
  - Triage avec exclusions
    Après un examen, vous pouvez décider que certaines constatations ne sont pas pertinentes pour votre travail actuel et que vous ne désirez pas qu'elles soient visibles dans le tableau des constatations lors du triage de ces résultats. Ces exclusions (ou constatations exclues) n'apparaissent plus dans la vue Constatations et les métriques des évaluations sont immédiatement actualisées avec les résultats modifiés. Le filtrage et les exclusions de groupements ajoutés à une configuration ne prennent effet que lors des examens ultérieurs.
    - Portée des exclusions
      Les exclusions s'appliquent selon le cas à toutes les applications (global), à des applications individuelles ou à des projets.
    - Définition des exclusions
      Les constatations peuvent être signalées comme des exclusions depuis un tableau de constatations ou la vue Propriétés. Les exclusions peuvent comporter plusieurs constatations individuelles, des filtres ou des groupements. En règle générale, les exclusions créées depuis un tableau de constatations prennent effet immédiatement. Les exclusions créées dans la vue Propriétés requièrent une analyse supplémentaire avant de prendre effet.
    - Marquage de constatations en tant qu'exclusions dans un tableau de constatations
    - Réinclusion de constatations ayant été marquées comme exclusions
      Les constatations exclues s'affichent dans la vue Constatations exclues. Dans cette vue, vous pouvez réinclure les constatations exclues.
    - Exemple : Spécification d'exclusions dans un filtre
      Les critères de filtre déterminent si le filtre exclut les constatations qui correspondent ou ne correspondent pas au filtre.
      - Exemple : Filtrage et exclusion d’un répertoire
        Dans cet exemple, un filtre permettant d'afficher uniquement des constatations contenant des fichiers Microsoft™ include est créé. Ce filtre est ensuite utilisé pour restreindre la liste des constatations (nous exclurons toutes les constatations qui correspondent au filtre).
      - Exemple : filtrage et exclusion d'API
        Un scénario de triage courant peut survenir tôt au cours du processus de triage lorsque vous souhaitez hiérarchiser vos constatations et vous souhaitez exclure certaines constatations. Par exemple, vous déterminez qu’il y a trois API qui ne sont pas des menaces et vous souhaiteriez exclure ces API des prochaines analyses.
    - Spécifications des exclusions de groupement depuis la vue Propriétés
      Une exclusion de groupement élimine les constatations dans le groupement. Vous pouvez uniquement exclure les groupements des applications.
  - Utilisation de groupements
    Un groupement (mécanisme d'agrégation de constatations) vous permet d'importer un instantané de constatations depuis AppScan® Source for Analysis vers AppScan Source for Development. Une fois que les constatations se trouvent dans des groupements, vous pouvez utiliser AppScan Source for Development pour ouvrir le projet qui contient le groupement, importer le groupement ou ouvrir un fichier de groupement sauvegardé (file_name.ozbdl).
  - Utilisation de groupes de correctifs de l'analyse statique
    Les groupes de correctifs sont une nouvelle approche de la gestion, du triage et de la résolution de problèmes détectés dans l'analyse statique. Après l'exécution d'un examen statique, AppScan® Source organise les problèmes détectés en groupes de correctifs, en fonction du type de vulnérabilité et de la tâche de résolution requise.
  - Modification de constatations
    Les constatations modifiées sont celles dont le type de vulnérabilité, la classification ou la gravité a été modifié ou auxquelles des annotations ont été ajoutées. La vue Constatations modifiées affiche ces constatations pour l'application en cours (l'application active après qu'une évaluation a été ouverte pour cette application). Dans la vue Mes évaluations (disponible uniquement dans AppScan® Source for Analysis), la colonne Modifié indique si une constatation a été modifiée dans l'évaluation en cours.
  - Comparaison des constatations
    Utilisez l'action Evaluations de différences ou l'utilitaire AppScanDelta pour comparer les évaluations. Lorsque deux évaluations sont comparées, leurs différences s'affichent dans la vue Différences entre les évaluations ou dans un fichier .ozasmt. Les résultats contiennent les constatations nouvelles, corrigées/manquantes et communes.
  - Constatations personnalisées
    Pour étoffer vos résultats d'analyse, vous pouvez créer des constatations personnalisées. Il s'agit de constatations créées par l'utilisateur que AppScan® Source for Analysis ajoute à l'évaluation ouverte actuellement ou à l'application sélectionnée. Les constatations personnalisées affectent les métriques d'évaluations et peuvent être incluses dans des rapports. Une fois créée, une constatation personnalisée est incluse automatiquement dans les examens ultérieurs de l'application.
  - Résolution des problèmes de sécurité et affichage de l'aide à la résolution
    AppScan® Source vous alerte en cas d'erreurs ou de failles de conception courantes de la sécurité et vous assiste dans leur processus de résolution. La AppScan Base de connaissances de sécurité Source et les éditeurs de code internes ou externes vous aident au cours de ce processus.
  - Annotations et attributs pris en charge
    Certains attributs ou annotations utilisés pour enrichir le code sont traités lors des examens. Lorsqu'une annotation ou un attribut pris en charge est détecté lors d'un examen, ces informations sont utilisées pour marquer la méthode enrichie en tant que rappel entaché. Une méthode marquée comme rappel entaché est traitée si tous ses arguments comportent des données entachées. Ceci débouche sur un plus grand nombre de constatations accompagnées de traces. Les annotations et attributs pris en charge sont répertoriés dans cette rubrique d'aide.
- Trace AppScan® Source
  La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
- AppScan® Source for Analysis et suivi des défauts
  AppScan® Source for Analysis s'intègre à systèmes de suivi des incidentsIBM® Rational Team Concert™ pour signaler directement les vulnérabilités logicielles avérées au bureau du développeur. La soumission de défaut à un système de suivi des défauts comprend une description du bogue, ainsi qu'un fichier contenant uniquement les constatations soumises avec le défaut.
- Recherche des rapports et des rapports d'audit
  Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.
- Création de rapports personnalisés
  Dans l'éditeur de rapport, vous pouvez créer des modèles de rapport servant à générer des rapports personnalisés.

Exemple : filtrage et exclusion d'API

Un scénario de triage courant peut survenir tôt au cours du processus de triage lorsque vous souhaitez hiérarchiser vos constatations et vous souhaitez exclure certaines constatations. Par exemple, vous déterminez qu’il y a trois API qui ne sont pas des menaces et vous souhaiteriez exclure ces API des prochaines analyses.

Procédure

Dans la section API de l'éditeur de filtre, cliquez sur Ajouter et sélectionnez trois API.
Sélectionnez Restreindre à.
Sauvegardez le filtre en lui attribuant un nom.
Revenez à la perspective Configuration et, dans la vue Explorateur, sélectionnez le projet (ou l'application).
Dans la vue Propriétés, affectez au comportement du filtre la valeur Inversé (dans la boîte de dialogue Sélection de filtre, sélectionnez Inverser le filtre).
Effectuez un nouvel examen. Les API du filtre ne figurent plus dans les constatations.

Résultats

Toujours avec ce même exemple, vous pourriez vouloir afficher uniquement les constatations incluses dans le filtre. Dans ce cas, lors de l'ajout du filtre à la liste, ne sélectionnez pas l'option Inverser le filtre. A l'issue du nouvel examen, seules les constatations figurant dans le filtre seront affichées.