Aller au contenu principal
Bienvenue
Bienvenue dans la documentation relative à HCL® AppScan® Source.
HCL® AppScan® Source offre une valeur optimale à tous les utilisateurs de votre entreprise jouant un rôle dans la sécurité logicielle. Que vous soyez analyste de la sécurité, professionnel de l'assurance qualité, développeur ou responsable en matière de sécurité, les produits AppScan Source vous apportent les fonctionnalités, la souplesse et la puissance dont vous avez besoin sur votre ordinateur.
Fichier Readme 10.1.0 et notes sur l'édition Notes® version HCL® AppScan® Source
Migration vers la version actuelle d'AppScan® Source
Cette rubrique contient des informations de migration pour les modifications qui ont été introduites dans cette version d'AppScan® Source. Si vous mettez à niveau une version antérieure d'AppScan Source, notez bien les modifications apportées à la version d'AppScan Source que vous mettez à niveau et à toutes les versions jusqu'à cette version actuelle.
Concepts importants
Avant de commencer à utiliser ou administrer AppScan® Source, vous devez vous familiariser avec les concepts fondamentaux de AppScan Source. Cette section définit la terminologie et les concepts de base de AppScan Source. Les chapitres ultérieurs reviennent sur ces définitions pour vous aider à comprendre leur contexte dans AppScan Source for Analysis.
Modèles de déploiement d'AppScan® Source
Cette section décrit trois modèles de déploiement différents ainsi que les composants qui constituent chaque modèle.
Présentation d'HCL® AppScan® Source for Analysis
Cette section décrit comment AppScan® Source for Analysis s'intègre dans la solution AppScan Source complète et fournit une base pour la compréhension du flux de travaux d'assurance logicielle.
Connexion à AppScan®Enterprise Server à partir des produits AppScan® Source
La plupart des produits et des composants AppScan® Source requièrent une connexion à un serveur AppScanEnterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partage d'évaluations. Toute la gestion des utilisateurs s'effectue dans AppScan Enterprise.
Conformité avec la législation en vigueur aux Etats-Unis
La conformité avec la législation en vigueur aux Etats-Unis sur la technologie de l'information et la sécurité contribue à éliminer les entraves et les obstacles d'ordre commercial. Elle prouve également aux clients du monde entier qu'HCL® fait le maximum pour créer les produits les plus sûrs du marché. Cette rubrique répertorie les normes et instructions prises en charge par AppScan® Source.
AppScan® Source et l'accessibilité
L'accessibilité concerne les utilisateurs atteints d'un handicap physique, tel qu'une mobilité réduite ou une vision limitée. Les problèmes d'accessibilité peuvent empêcher un utilisateur d'utiliser un produit logiciel avec succès. Cette rubrique présente les problèmes d'accessibilité connus liés à AppScan® Source, ainsi que les solutions pour les contourner.
Remarques
Copyright
Nouveautés dans AppScan® Source
Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.
Apprenez à installer le produit.
Configuration requise et composants prérequis pour l'installation
Exemples de scénarios d'installation
Lorsque vous installez AppScan® Source, il est important de suivre la procédure d'installation appropriée. Ces rubriques vont vous guider tout au long des étapes requises dans des exemples de scénarios d'installation.
Mise à niveau de AppScan® Source
Installation avancée et rubriques d'activation
Cette section décrit les options d'installation avancée et les procédures d'activation.
Programme d'installation silencieuse d'AppScan® Source
L'assistant d'installation silencieuse d'AppScan® Source permet de créer des programmes d'installation silencieuse.
Activation du logiciel
Suppression d'AppScan® Source de votre système
Vous pouvez supprimer AppScan® Source depuis le Panneau de configuration Windows™ ou via un script de désinstallation Linux™. La désinstallation de AppScan Source ne supprime pas et ne sauvegarde pas une base de données Oracle installée. La suppression de l'utilisateur AppScan Source d'une instance Oracle est une tâche manuelle d'administration de base de données.
Apprenez à configurer le produit.
Configuration d'applications et de projets
Avant d'effectuer un examen, vous devez configurer les applications et les projets. Cette section décrit les assistants Application Discovery Assistant, Nouvelle application et Nouveau projet. Vous apprendrez à configurer les attributs pour AppScan® Source for Analysis. En outre, cette section vous explique comment ajouter des applications et projets existants à l'examen et comment ajouter des fichiers à des projets.
Préférences
Les préférences sont les choix personnels de l'utilisateur concernant l'apparence et le fonctionnement de AppScan® Source for Analysis.
Apprenez à administrer le produit.
Administration de AppScan® Source
Cette section décrit la gestion des utilisateurs, les autorisations, l'enregistrement des applications et des projets ainsi que la configuration des ports.
Audit de l'activité de l'utilisateur
AppScan® Source offre un emplacement pratique pour auditer l'activité de l'utilisateur. La vue Audit consigne les événements tels que l'authentification sur le serveur AppScanEnterprise Server, la création d'utilisateurs et la création de règles dans la base de données.
Connexion à AppScan®Enterprise Server à partir des produits AppScan® Source
La plupart des produits et des composants AppScan® Source requièrent une connexion à un serveur AppScanEnterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partage d'évaluations. Toute la gestion des utilisateurs s'effectue dans AppScan Enterprise.
l'intégration LDAP,
Pour ajouter un utilisateur AppScan® Source qui sera authentifié via LDAP, vous devez avoir configuré le référentiel d'utilisateurs AppScanEnterprise Server pour utiliser un référentiel d'utilisateurs LDAP.
Enregistrement des applications et des projets pour la publication sur AppScan® Source
Fichiers d'application et de projet AppScan® Source
Les applications et les projets AppScan® Source ont des fichiers correspondants qui contiennent les informations de configuration requises pour l'examen et pour la personnalisation du triage. Il est recommandé de placer ces fichiers dans le même répertoire que le code source car les informations de configuration (dépendances, options du compilateur, etc.) requises pour générer les projets sont très similaires à celles requises pour que AppScan Source puisse les examiner avec succès. Les bonnes pratiques consistent à gérer ces fichiers avec votre système de contrôle des sources.
Configuration des ports
Apprenez à développer à l'aide du produit.
Examen du code source et gestion des évaluations
Cette section explique comment examiner votre code source et gérer les évaluations.
Triage et analyse
Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
Trace AppScan® Source
La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
Recherche des rapports et des rapports d'audit
Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.
Création de rapports personnalisés
Dans l'éditeur de rapport, vous pouvez créer des modèles de rapport servant à générer des rapports personnalisés.
Apprenez à étendre les fonctionnalités du produit.
Personnalisation de la base de données des vulnérabilités et des règles de schémas
Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens.
Extension de l'infrastructure d'importation de serveur d'applications
AppScan® Source vous permet d'importer des applications Java™ depuis Apache Tomcat et le profil Liberty WebSphere® Serveur d'applications. Vous pouvez importer des applications Java à partir d'autres serveurs d'applications en étendant l'infrastructure d'importation de serveurs d'applications, comme expliqué dans cette rubrique.
HCL® AppScan® Source for Development (plug-in Eclipse)
Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java et IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.
Consultez les informations de référence relatives au produit.
L'utilitaire de génération Ounce/Make
Ounce/Make est un outil automatisant l'importation d'informations de configuration dans AppScan® Source à partir d'environnements de génération utilisant un fichier makefile. Ounce/Make vous évite d'avoir à importer manuellement ces informations des fichiers makefiles. C'est la méthode recommandée pour configurer ces projets.
AppScan® Source
L'interface CLI est une interface de la fonctionnalité de base AppScan® Source.
L'outil de génération Ounce/Ant
Cette section décrit comment utiliser Ounce/Ant, qui est un utilitaire de génération AppScan® Source intégrant AppScan Source et Apache Ant. L’intégration d’Ounce/Ant avec votre environnement Ant vous aide à automatiser les générations et les évaluations de code.
API d'accès aux données AppScan® Source
L'API d'accès aux données fournit l'accès aux résultats d'évaluation générés par AppScan® Source, y compris aux constatations et aux détails des constatations. Elle donne également accès aux métriques d'évaluation telles que la date et l'heure de l'analyse, le nombre de lignes de code, la densité V et le nombre de constatations.
Glossaire
Apprenez la terminologie courante du produit
Plusieurs ressources d'informations d'aide et d'outils sont à votre disposition pour vous aider à résoudre les incidents.
Présentation du processus d'identification des incidents
Le processus d'identification et de résolution des incidents consiste à rechercher et à éliminer la cause d'un incident. En présence d'un incident lié à votre logiciel, vous commencez ce processus dès que vous vous posez la question Que s'est-il passé ?
Contacter le service de support logiciel HCL®
Si les ressources d'aide ne vous ont pas permis de résoudre votre incident, vous pouvez contacter le service de support logiciel HCL®. Le service de support logiciel HCL fournit une aide à la résolution des défauts des produits.