Conformité avec la législation en vigueur aux Etats-Unis

La conformité avec la législation en vigueur aux Etats-Unis sur la technologie de l'information et la sécurité contribue à éliminer les entraves et les obstacles d'ordre commercial. Elle prouve également aux clients du monde entier qu'HCL® fait le maximum pour créer les produits les plus sûrs du marché. Cette rubrique répertorie les normes et instructions prises en charge par AppScan® Source.

Internet Protocol version 6 (IPv6)

AppScan® Source est activé pour IPv6, avec les exceptions suivantes :

  • La saisie d'adresses numériques IPv6 n'est pas prise en charge et un nom d'hôte doit être entré à la place. La saisie d'adresses numériques IPv4 est prise en charge.
  • IPv6 n'est pas pris en charge lors de la connexion à Rational Team Concert.

Norme FIPS (Federal Information Processing Standard)

Sur les plateformes Windows et Linux prises en charge par AppScan® Source, AppScan® Source prend en charge FIPS Publication 140-2, à l'aide d'un module cryptographique FIPS 140-2 validé et d'algorithmes approuvés.

Pour des informations pertinentes relatives à la conformité d'AppScan® Source à la norme FIPS, et pour savoir comment activer et désactiver le mode FIPS 140-2 d'AppScan® Source, reportez-vous aux notes techniques suivantes :

National Institute of Standards and Technology (NIST) Special Publication (SP) 800-131a

Les instructions NIST SP 800-131A expliquent la gestion des clés cryptographiques. Il s'agit notamment des instructions suivantes :

  • Les procédures de gestion des clés
  • La manière d'utiliser les algorithmes de cryptographie
  • Les algorithmes à utiliser et leurs puissances minimales
  • Les longueurs de clé pour des communications sécurisées

Les agences gouvernementales et les institutions financières suivent les instructions NIST SP 800-131A pour garantir la conformité des produits aux exigences de sécurité spécifiées.

Les instructions NIST SP 800-131A sont prises en charge uniquement si AppScan® Source fonctionne en mode FIPS 140-2. Pour plus de détails sur l'activation et la désactivation du mode FIPS 140-2 d'AppScan® Source, voir Norme FIPS (Federal Information Processing Standard).

Important :
Si le serveur AppScan®Enterprise Server auquel vous allez vous connecter est activé pour la conformité avec NIST 800-131a, vous devez définir AppScan® Source pour qu'il force Transport Layer Security V1.2. Si la fonction Transport Layer Security V1.2 n'est pas forcée, les connexions au serveur échoueront.
  • Si vous n'installez pas la AppScan® Source Database (par exemple, vous installez uniquement les composants client), vous pouvez forcer Transport Layer Security V1.2 en modifiant <data_dir>\config\ounce.ozsettings (où <data_dir> est l'emplacement de vos données de programme AppScan® Source, comme décrit dans Emplacements des fichiers de données utilisateur et des fichiers d'installation)). Dans ce fichier, repérez le paramètre suivant :
    <Setting
		 name="tls_protocol_version"
		 read_only="false"
		 default_value="0"
		 value="0"
		 description="Minor Version of the TLS Connection Protocol"
		 type="text"
		 display_name="TLS Protocol Version"
		 display_name_id=""
		 available_values="0:1:2"
		 hidden="false"
		 force_upgrade="false"
	/>

    Dans ce paramètre, modifiez value="0" en value="2", puis enregistrez le fichier.

  • Si vous installez la AppScan® Source Database, vous pouvez forcer Transport Layer Security V1.2 dans l'outil de configuration d'HCL® AppScan®Enterprise Server après avoir installé AppScan® Source et Enterprise Server.

Windows Machines configurées pour utiliser USGCB (United States Government Configuration Baseline)

AppScan® Source prend en charge l'examen des applications sur les machines Windows qui sont configurées avec la spécification USGCB.

Remarque : Sur les machines qui sont configurées avec la spécification USGCB, AppScan® Source ne prend pas en charge l'intégration du système de suivi des défauts à HP Quality Center ou Rational® ClearQuest®.