Accueil
Extension des fonctionnalités du produit
Apprenez à étendre les fonctionnalités du produit.
HCL® AppScan® Source for Development (plug-in Eclipse)
Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java et IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.
Création et gestion de filtres
AppScan® Source propose plusieurs méthodes pour la création et l'utilisation des filtres. L'éditeur de filtre, la vue principale pour la création de filtres, propose un ensemble de règles robustes pouvant être définies manuellement, puis enregistrées dans un filtre. Il fournit également un mécanisme afin de gérer les filtres que vous avez créés, en vous permettant de les modifier ou de les supprimer aisément. Vous pouvez également filtrer le tableau des constatations depuis les vues présentant des représentations graphiques de celles-ci, puis enregistrer ces filtres depuis la vue Editeur de filtre. Lorsque vous créez un filtre, les autres vues sont actualisées en reflétant les propriétés du filtre.
Filtrage depuis la matrice des vulnérabilités
Cette vue affiche le nombre total de constatations pour toutes les applications couvertes par l'examen. Ces constatations sont regroupées dans la matrice par niveau de gravité. Vous pouvez créer des filtres en sélectionnant ces groupes de constatations.

Extension des fonctionnalités du produit
Apprenez à étendre les fonctionnalités du produit.
- Personnalisation de la base de données des vulnérabilités et des règles de schémas
  Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens.
- Extension de l'infrastructure d'importation de serveurs d'applications
  AppScan® Source vous permet d'importer des applications Java™ depuis Apache Tomcat et le profil Liberty WebSphere® Serveur d'applications. Vous pouvez importer des applications Java à partir d'autres serveurs d'applications en étendant l'infrastructure d'importation de serveurs d'applications, comme expliqué dans cette rubrique.
- HCL® AppScan® Source for Development (plug-in Eclipse)
  Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java et IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.
  - HCL® MobileFirst Platform Application Scanning
    AppScan® Source for Development est également fourni comme MobileFirst Platform Application Scanning. Avec MobileFirst Platform Application Scanning, vous pouvez travailler dans votre environnement de travail existant et effectuer une analyse de vulnérabilité de sécurité dans des projets IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.
  - Glossaire
  - AppScan® Source for Development en mode serveur et en mode local
    Les plug-in AppScan® Source for Development peuvent être utilisés avec ou sans serveur AppScanEnterprise Server. En mode serveur, vous vous connectez au serveur pour exécuter des examens et accéder aux données partagées, comme dans les versions précédentes du produit. Dans le nouveau mode local, AppScan Source for Development s'exécute sans se connecter à un serveur AppScanEnterprise Server et vous ne pouvez pas accéder aux éléments partagés tels que les filtres, les examens de configuration et les règles personnalisées.
  - Création de variables
    Pour ouvrir une évaluation ou un groupement créé précédemment dans AppScan® Source for Analysis qui s'appuie sur une variable de chemin, vous devez créer une variable correspondante dans votre environnement de développement. La création d'une variable garantit la disponibilité des données sur plusieurs ordinateurs. Pour partager des données d'évaluation, vous devez définir les variables appropriées.
  - Configuration des examens
    Selon le type de projet que vous examinez et le type d'examen que vous souhaitez réaliser, vous devrez peut-être configurer votre examen avant de l'exécuter. Par exemple, il est possible de configurer des projets pour utiliser un autre compilateur JDK ou JSP que ceux définis par défaut.
  - Préférences générales
    Les préférences générales vous permettent d'adapter certains paramètres par défaut de AppScan® Source for Development en fonction de vos préférences personnelles.
  - Préférences générales
    Les préférences générales vous permettent d'adapter certains paramètres par défaut de AppScan® Source for Development en fonction de vos préférences personnelles.
  - Examen
    Vous pouvez examiner un espace de travail, un projet ou un fichier Eclipse ou Rational® Application Developer for WebSphere® Software (RAD). Sont inclus l'examen de Java™ (y compris Android), l'examen des pages JSP (JavaServer Pages) et l'examen des projets IBM® MobileFirst Platform.
  - Ouverture et sauvegarde d'évaluations
    AppScan® Source examine le code source pour détecter des vulnérabilités et génère des constatations. Ces constatations sont les vulnérabilités détectées au cours d'un examen et le résultat d'un examen constitue une évaluation. Vous pouvez ouvrir une évaluation sauvegardée à partir d'AppScan Source for Development ou AppScan Source for Analysis. Après votre examen, vous pouvez sauvegarder l'évaluation sur un fichier. Ensuite, vous pouvez rouvrir l'évaluation à tout moment. Les évaluations sont sauvegardées sous la forme filename.ozasmt.
  - Personnalisation du tableau de constatations
    Vous pouvez personnaliser les tables de constatations dans toutes les vues comportant des constatations (hormis la vue Différences entre les évaluations dans AppScan® Source for Analysis) en identifiant les seules colonnes et l'ordre dans lequel vous désirez les afficher. Chaque vue peut avoir des paramètres distincts ou vous pouvez appliquer vos options à toutes les vues. Pour personnaliser l'ordre des colonnes, suivez les procédures de cette rubrique de tâche.
  - Sauvegarde de constatations sélectionnées dans une évaluation
  - Recherche de constatations
    Vous pouvez rechercher des constatations spécifiques dans plusieurs vues contenant des constatations. Les critères de recherche incluent les groupements, le code, les fichiers, les projets et les types de vulnérabilité. Les résultats figurent dans la vue Résultats de la recherche.
  - Modification de constatations
    Les constatations modifiées sont celles dont le type de vulnérabilité, la classification ou la gravité a été modifié ou auxquelles des annotations ont été ajoutées. La vue Constatations modifiées affiche ces constatations pour l'application en cours (l'application active après qu'une évaluation a été ouverte pour cette application). Dans la vue Mes évaluations (disponible uniquement dans AppScan® Source for Analysis), la colonne Modifié indique si une constatation a été modifiée dans l'évaluation en cours.
  - Résolution des problèmes de sécurité et affichage de l'aide à la résolution
    AppScan® Source vous alerte en cas d'erreurs ou de failles de conception courantes de la sécurité et vous assiste dans leur processus de résolution. La AppScan Base de connaissances de sécurité Source et les éditeurs de code internes ou externes vous aident au cours de ce processus.
  - Triage avec exclusions
    Après un examen, vous pouvez décider que certaines constatations ne sont pas pertinentes pour votre travail actuel et que vous ne désirez pas qu'elles soient visibles dans le tableau des constatations lors du triage de ces résultats. Ces exclusions (ou constatations exclues) n'apparaissent plus dans la vue Constatations et les métriques des évaluations sont immédiatement actualisées avec les résultats modifiés. Le filtrage et les exclusions de groupements ajoutés à une configuration ne prennent effet que lors des examens ultérieurs.
  - Création et gestion de filtres
    AppScan® Source propose plusieurs méthodes pour la création et l'utilisation des filtres. L'éditeur de filtre, la vue principale pour la création de filtres, propose un ensemble de règles robustes pouvant être définies manuellement, puis enregistrées dans un filtre. Il fournit également un mécanisme afin de gérer les filtres que vous avez créés, en vous permettant de les modifier ou de les supprimer aisément. Vous pouvez également filtrer le tableau des constatations depuis les vues présentant des représentations graphiques de celles-ci, puis enregistrer ces filtres depuis la vue Editeur de filtre. Lorsque vous créez un filtre, les autres vues sont actualisées en reflétant les propriétés du filtre.
    - Utilisation des filtres prédéfinis AppScan® Source
      AppScan® Source inclut un ensemble de filtres prédéfinis que vous pouvez sélectionner pour le filtrage des résultats d'examen. La présente rubrique d'aide décrit ces filtres prêts à l'emploi.
    - Création et gestion de filtres depuis la vue Editeur de filtre
      Dans cette vue, vous pouvez créer, éditer, sauvegarder, supprimer et gérer des filtres. Si vous utilisez AppScan® Source for Analysis, vous pouvez partager des filtres et accéder à des filtres qui ont été partagés par d'autres. Dans AppScan Source for Development, vous pouvez accéder aux filtres partagés si vous utilisez le mode serveur et que vous êtes connecté à AppScanEnterprise Server.
    - Filtrage depuis la vue Récapitulatif de l'évaluation
      A l'issue d'un examen, vous pouvez examiner ses constatations dans la vue Récapitulatif de l'évaluation (cette vue s'ouvre par défaut dans la perspective Triage). Dans cette vue, vous pouvez créer un filtre à partir du diagramme à barres.
    - Filtrage depuis la matrice des vulnérabilités
      Cette vue affiche le nombre total de constatations pour toutes les applications couvertes par l'examen. Ces constatations sont regroupées dans la matrice par niveau de gravité. Vous pouvez créer des filtres en sélectionnant ces groupes de constatations.
    - Création de filtres depuis la vue Sources et collecteurs
    - Détermination des filtres appliqués
      Pour vous permettre de déterminer rapidement la façon dont les filtres ont été appliqués aux constatations dans une évaluation, AppScan® Source fournit un indicateur de filtre.
  - Annotations et attributs pris en charge
    Certains attributs ou annotations utilisés pour enrichir le code sont traités lors des examens. Lorsqu'une annotation ou un attribut pris en charge est détecté lors d'un examen, ces informations sont utilisées pour marquer la méthode enrichie en tant que rappel entaché. Une méthode marquée comme rappel entaché est traitée si tous ses arguments comportent des données entachées. Ceci débouche sur un plus grand nombre de constatations accompagnées de traces. Les annotations et attributs pris en charge sont répertoriés dans cette rubrique d'aide.
  - Utilisation de groupements
    Un groupement (mécanisme d'agrégation de constatations) vous permet d'importer un instantané de constatations depuis AppScan® Source for Analysis vers AppScan Source for Development. Une fois que les constatations se trouvent dans des groupements, vous pouvez utiliser AppScan Source for Development pour ouvrir le projet qui contient le groupement, importer le groupement ou ouvrir un fichier de groupement sauvegardé (file_name.ozbdl).
  - Trace AppScan® Source
    La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
  - Vues et fenêtres
    Les vues et fenêtres de AppScan® Source for Development fournissent des présentations alternatives des constatations, permettent l'édition du code et la navigation entre les informations dans votre plan de travail. Une vue peut figurer seule ou être juxtaposée à d'autres dans un bloc-notes à onglets. Vous pouvez modifier l'agencement d'une perspective ou d'une fenêtre en ouvrant et en fermant des vues, et en les ancrant dans des positions différentes dans la fenêtre du plan de travail.
  - Emplacements des fichiers de données utilisateur et des fichiers d'installation
    Lorsque vous installez AppScan® Source, les fichiers de données utilisateur et de configuration sont stockés hors du répertoire d'installation.
  - Prise en charge de CWE
    La liste CWE (Common Weakness Enumeration) est une liste de normes de l'industrie fournissant des noms usuels pour les faiblesses logicielles publiquement connues. Cette rubrique répertorie les ID CWE pris en charge dans la version actuelle de AppScan® Source.
  - Analyse de résultats intelligente (IFA)
    Découvrez l'auto-triage et l'analyse des constatations depuis AppScan® Source.

Filtrage depuis la matrice des vulnérabilités

Cette vue affiche le nombre total de constatations pour toutes les applications couvertes par l'examen. Ces constatations sont regroupées dans la matrice par niveau de gravité. Vous pouvez créer des filtres en sélectionnant ces groupes de constatations.

Pourquoi et quand exécuter cette tâche

Lorsque vous sélectionnez des constatations groupées dans la Vue Matrice de vulnérabilités, le tableau des constatations est modifié en conséquence afin d'afficher uniquement celles sélectionnées dans cette matrice.

Remarque : Dans AppScan® Source for Development (plug-in Visual Studio), cette vue fait partie de la fenêtre Edition de filtres.

Remarque : Les constatations sur la Qualité et celles classées avec le niveau de gravité Info ne sont pas incluses dans la vue Matrice de vulnérabilités.

Procédure

Depuis la vue Matrice de vulnérabilités, sélectionnez la section que vous désirez voir figurer dans le tableau des constatations. Par exemple, pour n'afficher dans le tableau que les constatations de sécurité suspectées de gravité élevée, sélectionnez la section correspondante dans la matrice. Les résultats filtrés apparaissent alors dans le tableau des constatations.
Les opérations de filtrage entraînent la transposition dans la vue Editeur de filtre des paramètres de règles de filtrage de la sélection effectuée dans la Matrice de vulnérabilités. Ce filtre peut être sauvegardé depuis la vue Editeur de filtre (pour plus d'informations sur les paramètres et la sauvegarde des règles de filtrage, voir Création et gestion de filtres depuis la vue Editeur de filtre).