Accueil
Configuration de
Apprenez à configurer le produit.
Configuration d'applications et de projets
Avant d'effectuer un examen, vous devez configurer les applications et les projets. Cette section décrit les assistants Application Discovery Assistant, Nouvelle application et Nouveau projet. Vous apprendrez à configurer les attributs pour AppScan® Source for Analysis. En outre, cette section vous explique comment ajouter des applications et projets existants à l'examen et comment ajouter des fichiers à des projets.
Création d'un nouveau projet pour une application
Après avoir ajouté une application, il y a lieu d'y ajouter des projets.
Choix entre l'examen du code source et des sorties de génération
Lors de la création d'un nouveau projet, vous avez la possibilité de choisir l'examen du code source uniquement ou l'examen de la sortie de génération (bytecode), selon le projet.

Bienvenue
Bienvenue dans la documentation relative à HCL® AppScan® Source.
Introduction à HCL® AppScan® Source
HCL® AppScan® Source offre une valeur optimale à tous les utilisateurs de votre entreprise jouant un rôle dans la sécurité logicielle. Que vous soyez analyste de la sécurité, professionnel de l'assurance qualité, développeur ou responsable en matière de sécurité, les produits AppScan Source vous apportent les fonctionnalités, la souplesse et la puissance dont vous avez besoin sur votre ordinateur.
Nouveautés dans AppScan® Source
Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.
Installation
Apprenez à installer le produit.
Configuration de
Apprenez à configurer le produit.
- Configuration d'applications et de projets
  Avant d'effectuer un examen, vous devez configurer les applications et les projets. Cette section décrit les assistants Application Discovery Assistant, Nouvelle application et Nouveau projet. Vous apprendrez à configurer les attributs pour AppScan® Source for Analysis. En outre, cette section vous explique comment ajouter des applications et projets existants à l'examen et comment ajouter des fichiers à des projets.
  - Fichiers d'application et de projet AppScan® Source
    Les applications et les projets AppScan® Source ont des fichiers correspondants qui contiennent les informations de configuration requises pour l'examen et pour la personnalisation du triage. Il est recommandé de placer ces fichiers dans le même répertoire que le code source car les informations de configuration (dépendances, options du compilateur, etc.) requises pour générer les projets sont très similaires à celles requises pour que AppScan Source puisse les examiner avec succès. Les bonnes pratiques consistent à gérer ces fichiers avec votre système de contrôle des sources.
  - Configuration d'applications
    Vous pouvez utiliser l'assistant Nouvelle application ou l'Application Discovery Assistant pour créer des applications. L'Application Discovery Assistant automatise la configuration de l'application, tandis que l'assistant Nouvelle application vous permet d'ajouter des applications en vous guidant tout au long du processus de configuration. L’assistant vous aide à créer manuellement un projet ou à ajouter des projets existants à une application. Cette section décrit ces deux méthodes pour ajouter des tâches d’application et de configuration de base.
  - Configuration de l'environnement de développement pour des projets Eclipse et Rational® Application Developer for WebSphere® Software (RAD)
    Avant d'importer un projet Eclipse ou Rational® Application Developer for WebSphere® Software (RAD), vous devez configurer en conséquence l'environnement de développement. Bien qu'Eclipse constitue la base de chaque type de projet, AppScan® Source distingue les différentes versions.
  - Création d'un nouveau projet pour une application
    Après avoir ajouté une application, il y a lieu d'y ajouter des projets.
    - Choix entre l'examen du code source et des sorties de génération
      Lors de la création d'un nouveau projet, vous avez la possibilité de choisir l'examen du code source uniquement ou l'examen de la sortie de génération (bytecode), selon le projet.
    - Ajout d'un projet existant
      Vous pouvez ajouter des projets AppScan® Source (fichiers .ppf) créés précédemment avec AppScan Source for Analysis aux applications AppScan Source. Vous pouvez également ajouter des fichiers de projet Eclipse (.epf), des projets créés par n'importe lequel des outils d'intégration de génération (build) pris en charge (par exemple, Ounce/Maven ou Ounce/Ant) ou bien des fichiers de projet créés à l'aide de Microsoft™ Visual C/C++ (.vcproj ou.vcxproj), VB.NET (.vbproj) ou C# (.csproj).
    - Ajout de plusieurs projets
      Lorsque vous ajoutez plusieurs projets à une application, vous pouvez les glisser-déposer dans la vue Explorateur ou bien vous pouvez parcourir un répertoire à la recherche de projets et importer dans l'application actuelle certains d’entre eux ou tous les projets.
    - Ajout d'un nouveau projet Android Java
      L'assistant Nouveau projet vous aide à créer manuellement un projet Android Java et à l'ajouter à une application.
    - Ajout d'un nouveau projet Apex
      L'assistant Configuration de projet vous aide à créer manuellement un projet Perl et à l'ajouter à une application.
    - Ajout d'un nouveau projet ASP
      L'assistant Configuration de projet vous aide à créer manuellement un projet ASP et à l'ajouter à une application.
    - Ajout d'un nouveau projet C/C++
      L'assistant Nouveau projet vous aide à créer manuellement un projet C/C++ et à l'ajouter à une application. Nous recommandons vivement l'importation directe de solutions et de projets Visual Studio, ainsi que l'importation ultérieure de configurations makefile à l'aide de l'outil Ounce/Make. Bien que la configuration manuelle soit possible, elle nécessite que les utilisateurs aient une connaissance significative et détaillée de l'environnement de leur compilateur.
    - Ajout d'un nouveau projet C/C++/Objective-C code source uniquement
      L'assistant Nouveau projet vous aide à créer manuellement un projet C/C++/Objective-C code source uniquement et à l'ajouter à une application.
    - Ajout d'un nouveau projet COBOL
      L'assistant Configuration de projet vous aide à créer manuellement un projet COBOL et à l'ajouter à une application.
    - Ajout d'un nouveau projet ColdFusion
      L'assistant Configuration de projet vous aide à créer manuellement un projet ColdFusion et à l'ajouter à une application.
    - Ajout d'un nouveau projet Dart
      L'assistant Nouveau projet vous aide à créer manuellement un projet Dart et à l'ajouter à une application.
    - Ajout d'un nouveau projet Go
      L'assistant Nouveau projet vous aide à créer manuellement un projet Go et à l'ajouter à une application.
    - Ajout d'un nouveau projet Groovy
      L'assistant Nouveau projet vous aide à créer manuellement un projet Groovy et à l'ajouter à une application.
    - Ajout d'un nouveau projet IBM RPG
      L'assistant Nouveau projet vous aide à créer manuellement un projet IBM RPG et à l'ajouter à une application.
    - Ajout d'un nouveau projet laC
      L'assistant Nouveau projet vous aide à créer manuellement un projet Infrastructure en tant que code (IaC) et à l'ajouter à une application.
    - Ajout d'un nouveau projet Ionic
      L'assistant Nouveau projet vous aide à créer manuellement un projet Ionic et à l'ajouter à une application.
    - Ajout d'un nouveau projet Java™ ou JavaServer Page (JSP)
      Lorsque vous ajoutez un nouveau projet Java™ à l'application, vous spécifiez le nom du projet, accédez au répertoire de travail, puis spécifiez les racines source et les dépendances du projet.
    - Ajout d'un nouveau projet ou d'un projet Java code source uniquement
      L'assistant Configuration de projet vous aide à créer manuellement un projet Java code source uniquement et à l'ajouter à une application.
    - Ajout d'un nouveau projet JavaScript™
      L'assistant Configuration de projet vous aide à créer manuellement un projet JavaScript™ et à l'ajouter à une application.
    - Ajout d'un nouveau projet Kotlin
      L'assistant Nouveau projet vous aide à créer manuellement un projet Kotlin et à l'ajouter à une application.
    - Ajout d'un nouveau projet .NET code source uniquement
      L'assistant Nouveau projet vous aide à créer manuellement un projet .NET et à l'ajouter à une application.
    - Ajout d'un nouveau projet d’assemblage .NET
      L’assistant Nouveau projet vous aide à créer un projet d’assemblage .NET. Un projet d’assemblage .NET peut être utilisé pour scanner des fichiers d’assemblage .NET compilés lorsque les fichiers source ne sont pas disponibles ou ne peuvent pas être générés. Les projets d’assemblage .NET sont composés d’un répertoire de travail et d’une liste de sources, qui peuvent être des répertoires ou des fichiers d’assemblage individuels.
    - Ajout d'un nouveau projet basé schéma
      L'assistant Nouveau projet vous aide à créer manuellement un projet basé schéma et à l'ajouter à une application.
    - Ajout d'un nouveau projet PHP
      Lorsque vous ajoutez un nouveau projet PHP : Hypertext Preprocessor (PHP) à l'application, vous spécifiez le nom du projet, accédez au répertoire de travail, puis spécifiez les racines source et les dépendances du projet. Les dépendances de projet peuvent également être définies dans l’onglet Dépendances de projet des propriétés du projet après que le projet a été créé.
    - Ajout d'un nouveau projet PL/SQL
      L'assistant Configuration de projet vous aide à créer manuellement un projet PL/SQL et à l'ajouter à une application.
    - Ajout d'un nouveau projet Python
      L'assistant Configuration de projet vous aide à créer manuellement un projet Python et à l'ajouter à une application.
    - Ajout d'un nouveau projet React Native
      L'assistant Nouveau projet vous aide à créer manuellement un projet React Native et à l'ajouter à une application.
    - Ajout d'un nouveau projet Ruby
      L'assistant Configuration de projet vous aide à créer manuellement un projet Ruby et à l'ajouter à une application.
    - Ajout d'un nouveau projet SAP ABAP
      L'assistant Nouveau projet vous aide à créer manuellement un projet SAP ABAP et à l'ajouter à une application.
    - Ajout d'un nouveau projet Scala
      L'assistant Nouveau projet vous aide à créer manuellement un projet Scala et à l'ajouter à une application.
    - Ajout d'un nouveau projet Swift
      L'assistant Nouveau projet vous aide à créer manuellement un projet Swift et à l'ajouter à une application.
    - Ajout d'un nouveau projet T-SQL
      L'assistant Configuration de projet vous aide à créer manuellement un projet T-SQL et à l'ajouter à une application.
    - Ajout d'un nouveau projet Terraform
      L'assistant Nouveau projet vous aide à créer manuellement un projet Terraform et à l'ajouter à une application.
    - Ajout d'un nouveau projet TypeScript
      L'assistant Nouveau projet vous aide à créer manuellement un projet TypeScript et à l'ajouter à une application.
    - Ajout d'un nouveau projet Visual Basic
      L'assistant Nouveau projet vous aide à créer manuellement un projet Visual Basic et à l'ajouter à une application.
    - Ajout d'un nouveau projet Vue.js
      L'assistant Nouveau projet vous aide à créer manuellement un projet Vue.js et à l'ajouter à une application.
    - Ajout d'un nouveau projet Xamarin
      L'assistant Configuration de projet vous aide à créer manuellement un projet Xamarin et à l'ajouter à une application.
  - Création de conteneurs à l'aide de l'image Docker
  - Copie de projets
    AppScan® Source for Analysis vous permet de copier tous les types de projet excepté les projets .NET. Les modifications apportées au projet n’affectent pas le projet dupliqué ; après la copie d’un projet, il n’y a aucun lien entre le projet original et le projet copié. Lorsque vous copiez un projet importé, vous créez un fichier de projet AppScan Source (.ppf) avec toutes les informations de configuration.
  - Modification des propriétés d'une application et d'un projet
    Lorsque vous sélectionnez une application ou un projet dans la vue Explorateur, les propriétés actuelles apparaissent dans la vue Propriétés, où vous pouvez apporter des modifications.
  - Attributs globaux
    Les attributs globaux doivent être définis avant de pouvoir être associés à des applications individuelles. Ils sont définis dans la vue Propriétés en sélectionnant Toutes les applications dans la vue Explorateur.
  - Attributs d'application
    Les attributs d’application s’appliquent à l’application actuellement sélectionnée et dépendent des attributs globaux créés auparavant.
  - Retrait d'applications et de projets
    Vous pouvez supprimer des applications et des projets dans AppScan® Source for Analysis si ces éléments ne sont pas enregistrés.
  - vue Explorateur
    La vue Explorateur contient une section Démarrage rapide dans sa partie supérieure et une section explorateur dans sa partie inférieure, qui contient un noeud, Toutes les applications. La section Démarrage rapide contient plusieurs liens utiles qui permettent de lancer les actions courantes. La section explorateur se compose d'une sous-fenêtre de navigation qui fournit une vue hiérarchique de vos ressources : applications, projets, répertoires et fichiers de projet, avec Toutes les applications comme racine. Vous pouvez naviguer entre ces ressources comme dans un explorateur de fichiers. Lorsque vous naviguez dans cette vue, l'état de sélection de l'arborescence détermine les onglets disponibles dans la vue Propriétés.
- Préférences
  Les préférences sont les choix personnels de l'utilisateur concernant l'apparence et le fonctionnement de AppScan® Source for Analysis.
Administration
Apprenez à administrer le produit.
Développement
Apprenez à développer à l'aide du produit.
Extension des fonctionnalités du produit
Apprenez à étendre les fonctionnalités du produit.
Référence
Consultez les informations de référence relatives au produit.
Traitement des incidents et support
Plusieurs ressources d'informations d'aide et d'outils sont à votre disposition pour vous aider à résoudre les incidents.

Choix entre l'examen du code source et des sorties de génération

Lors de la création d'un nouveau projet, vous avez la possibilité de choisir l'examen du code source uniquement ou l'examen de la sortie de génération (bytecode), selon le projet.

Il est essentiel de comprendre les différentes méthodes d'examen pour réussir votre projet. Chaque examen a des utilisations, des exigences et des résultats spécifiques.

Examen du code source uniquement

Au début du cycle de développement du logiciel, l'examen du code source non compilé peut être un outil utile pour détecter les problèmes et confirmer l'approche programmatique avant que le projet ne soit trop avancé.

Généralement réalisés par les développeurs et nécessitant l'accès aux fichiers source, les examens du code source sont rapides, mais pas nécessairement aussi précis que les examens du code compilé. Les résultats des examens de code source uniquement identifient des vulnérabilités dans des lignes de code spécifiques. Ils n'indiquent pas les données de trace.

Examen des sorties de génération

Lorsque l'on préfère la précision à la vitesse d'examen, l'examen des sorties de génération peuvent vous aider à comprendre non seulement où se trouve une vulnérabilité dans une application, mais aussi l'impact de cette vulnérabilité. L'examen des sorties de génération est parfois appelé examen du "flux de données".

Les examens de sortie de génération requièrent l'accès à l'application entièrement générée. Les résultats de l'examen affichent des "traces" montrant le flux de données entachées dans l'application, depuis le point où elles entrent dans l'application jusqu'au point où les données sont utilisées (appelé le "collecteur"). La trace montre la ligne de code et la variable entachée à chaque point de la trace. Son apparence est similaire à une trace de pile d'exceptions.

L'examen des sorties de génération peut avoir des exigences supplémentaires, en fonction du type de projet :

Les dépendances d'application doivent être disponibles pour obtenir les résultats les plus complets et précis.
Par Java et .NET, bytecode est requis. L'application doit donc être générée avant l'exécution de l'examen.
Pour C/C++, une solution Visual Studio est requise.