HCL®AppScan® Source offre une valeur optimale à tous les utilisateurs de votre entreprise jouant un rôle dans la sécurité logicielle. Que vous soyez analyste de la sécurité, professionnel de l'assurance qualité, développeur ou responsable en matière de sécurité, les produits AppScan Source vous apportent les fonctionnalités, la souplesse et la puissance dont vous avez besoin sur votre ordinateur.

Avant de commencer à utiliser ou administrer AppScan® Source, vous devez vous familiariser avec les concepts fondamentaux de AppScan Source. Cette section définit la terminologie et les concepts de base de AppScan Source. Les chapitres ultérieurs reviennent sur ces définitions pour vous aider à comprendre leur contexte dans AppScan Source for Analysis.

Cette section décrit comment AppScan® Source for Analysis s'intègre dans la solution AppScan Source complète et fournit une base pour la compréhension du flux de travaux d'assurance logicielle.

La plupart des produits et des composants AppScan® Source requièrent une connexion à un serveur AppScan Enterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partage d'évaluations. Toute la gestion des utilisateurs s'effectue dans AppScan Enterprise.

La conformité avec la législation en vigueur aux Etats-Unis sur la technologie de l'information et la sécurité contribue à éliminer les entraves et les obstacles d'ordre commercial. Elle prouve également aux clients du monde entier qu'HCL® fait le maximum pour créer les produits les plus sûrs du marché. Cette rubrique répertorie les normes et instructions prises en charge par AppScan® Source.

L'accessibilité concerne les utilisateurs atteints d'un handicap physique, tel qu'une mobilité réduite ou une vision limitée. Les problèmes d'accessibilité peuvent empêcher un utilisateur d'utiliser un produit logiciel avec succès. Cette rubrique présente les problèmes d'accessibilité connus liés à AppScan® Source, ainsi que les solutions pour les contourner.

Cette section décrit trois modèles de déploiement différents ainsi que les composants qui constituent chaque modèle.

Lorsque vous installez AppScan® Source, il est important de suivre la procédure d'installation appropriée. Ces rubriques vont vous guider tout au long des étapes requises dans des exemples de scénarios d'installation.

Cette section décrit les options d'installation avancée et les procédures d'activation.

L'assistant d'installation silencieuse d'AppScan® Source permet de créer des programmes d'installation silencieuse.

Vous pouvez supprimer AppScan® Source depuis le Panneau de configuration Windows™ ou via un script de désinstallation Linux™. La désinstallation de AppScan Source ne supprime pas et ne sauvegarde pas une base de données Oracle installée. La suppression de l'utilisateur AppScan Source d'une instance Oracle est une tâche manuelle d'administration de base de données.

Avant d'effectuer un examen, vous devez configurer les applications, les dossiers et les projets. Cette section décrit les assistants Assistant de reconnaissance d'applications, Nouvelle application, Nouveau dossier et Nouveau projet. Vous apprendrez à configurer les attributs pour AppScan® Source for Analysis. En outre, cette section vous explique comment ajouter des applications et projets existants à l'examen et comment ajouter des fichiers à des projets.

Les préférences sont les choix personnels de l'utilisateur concernant l'apparence et le fonctionnement de AppScan® Source for Analysis.

Cette section décrit la gestion des utilisateurs, les autorisations, l'enregistrement des applications et des projets ainsi que la configuration des ports.

AppScan® Source offre un emplacement pratique pour auditer l'activité de l'utilisateur. La vue Audit consigne les événements tels que l'authentification sur le serveur AppScan Enterprise Server, la création d'utilisateurs et la création de règles dans la base de données.

La plupart des produits et des composants AppScan® Source requièrent une connexion à un serveur AppScan Enterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partage d'évaluations. Toute la gestion des utilisateurs s'effectue dans AppScan Enterprise.

Pour ajouter un utilisateur AppScan® Source qui sera authentifié via LDAP, vous devez avoir configuré le référentiel d'utilisateurs AppScan Enterprise Server pour utiliser un référentiel d'utilisateurs LDAP.

Les applications, les dossiers et les projets AppScan® Source ont des fichiers correspondants qui contiennent les informations de configuration requises pour l'examen et pour la personnalisation du triage. Il est recommandé de placer ces fichiers dans le même répertoire que le code source car les informations de configuration (dépendances, options du compilateur, etc.) requises pour générer les projets sont très similaires à celles requises pour que AppScan Source puisse les examiner avec succès. Les bonnes pratiques consistent à gérer ces fichiers avec votre système de contrôle des sources.

Vous pouvez examiner un espace de travail, un projet ou un fichier Eclipse. Sont inclus l'examen de Java™ (y compris Android), l'examen des pages JSP (JavaServer Pages) et l'examen des projets IBM® MobileFirst Platform.

La vue Mes évaluations contient une liste d'évaluations (évaluation actuellement ouverte, ainsi que les évaluations que vous avez enregistrées). Depuis cette vue, vous pouvez ouvrir, supprimer, sauvegarder, renommer ou comparer des évaluations. Lorsqu'un examen se termine ou lorsque vous ouvrez une évaluation, celle-ci apparaît dans la vue Mes évaluations. Cette vue contient un tableau des évaluations ouvertes ou sauvegardées et identifie les évaluations publiées ou modifiées. La suppression d'une évaluation de cette vue (sans qu'elle soit sauvegardée ni publiée) est définitive.

Si vous avez un abonnement à HCL AppScan on Cloud dans HCL Cloud Marketplace, vous pouvez soumettre des évaluations AppScan® Source pour analyse ici. Les évaluations des versions 9.0 ou ultérieures d'AppScan Source sont prises en charge et le nombre d'examens que vous pouvez soumettre dépend de votre abonnement à AppScan on Cloud.

AppScan® Source offre deux options de publication. Vous pouvez publier des évaluations sur AppScan Base de données Source pour les stocker et pour les partager. Si votre serveur AppScan Enterprise Server a été installé avec l'option Enterprise Console, vous pouvez publier dessus des évaluations. La AppScan Enterprise Console offre divers outils de gestion des évaluations, tels que des fonctions de génération de rapports, de gestion de problème et d'analyse de tendance, ainsi que des tableaux de bord.

AppScan® Source examine le code source pour détecter des vulnérabilités et génère des constatations. Ces constatations sont les vulnérabilités détectées au cours d'un examen et le résultat d'un examen constitue une évaluation. Vous pouvez ouvrir une évaluation sauvegardée à partir d'AppScan Source for Development ou AppScan Source for Analysis. Après votre examen, vous pouvez sauvegarder l'évaluation sur un fichier. Ensuite, vous pouvez rouvrir l'évaluation à tout moment. Les évaluations sont sauvegardées sous la forme filename.ozasmt.

Lorsque des évaluations sont supprimées de la vue Mes évaluations, elles ne sont pas supprimées de votre système local de fichiers. Si une évaluation est supprimée de la vue, elle peut être ajoutée à nouveau à l'aide de l'action Ouvrir une évaluation.

Lors de la sauvegarde d'évaluations ou de groupements, ou de la publication d'évaluations, AppScan® Source for Analysis peut vous suggérer de créer une variable pour remplacer des chemins absolus (sans variables, AppScan Source for Analysis consigne des chemins absolus vers le fichier d'évaluation pour référencer des éléments tels que des fichiers source). La configuration de variables pour des chemins absolus facilite le partage des évaluations entre plusieurs ordinateurs. L'utilisation de variables est conseillée en cas de partage des évaluations.

La vue Constatations, ou toute vue contenant des constatations, affiche leur arborescence (regroupement hiérarchique des critères d'évaluation) et un Tableau des constatations pour chaque examen. L'élément sélectionné dans l'arborescence des constatations détermine les constatations présentées dans le tableau.

Le processus de triage désigne la manipulation des constatations via des groupements, des filtres et des exclusions et la comparaison des résultats des évaluations.

Cet exemple décrit un flux de travaux de triage AppScan® Source utilisé par un analyste de la sécurité. Le flux de travail de triage peut varier en fonction des besoins de votre activité.

AppScan® Source for Analysis rend compte de toutes les vulnérabilités de sécurité potentielles et peut donc générer des milliers de constatations pour une base de code de moyenne/grande envergure. Lors de l'examen, vous pouvez conclure que la liste des constatations contient des éléments sans importance dans votre cas. Pour éliminer certains éléments de la vue Constatations, vous pouvez choisir un filtre prédéfini ou créer votre propre filtre. Un filtre spécifie les critères qui déterminent les constatations à supprimer de la vue.

Après un examen, vous pouvez décider que certaines constatations ne sont pas pertinentes pour votre travail actuel et que vous ne désirez pas qu'elles soient visibles dans le tableau des constatations lors du triage de ces résultats. Ces exclusions (ou constatations exclues) n'apparaissent plus dans la vue Constatations et les métriques des évaluations sont immédiatement actualisées avec les résultats modifiés. Le filtrage et les exclusions de groupements ajoutés à une configuration ne prennent effet que lors des examens ultérieurs.

Un groupement (mécanisme d'agrégation de constatations) vous permet d'importer un instantané de constatations depuis AppScan® Source for Analysis vers AppScan Source for Development. Une fois que les constatations se trouvent dans des groupements, vous pouvez utiliser AppScan Source for Development pour ouvrir le projet qui contient le groupement, importer le groupement ou ouvrir un fichier de groupement sauvegardé (file_name.ozbdl).

Les groupes de correctifs sont une nouvelle approche de la gestion, du triage et de la résolution de problèmes détectés dans l'analyse statique. Après l'exécution d'un examen statique, AppScan® Source organise les problèmes détectés en groupes de correctifs, en fonction du type de vulnérabilité et de la tâche de résolution requise.

Les constatations modifiées sont celles dont le type de vulnérabilité, la classification ou la gravité a été modifié ou auxquelles des annotations ont été ajoutées. La vue Constatations modifiées affiche ces constatations pour l'application en cours (l'application active après qu'une évaluation a été ouverte pour cette application). Dans la vue Mes évaluations (disponible uniquement dans AppScan® Source for Analysis), la colonne Modifié indique si une constatation a été modifiée dans l'évaluation en cours.

Utilisez l'action Evaluations de différences ou l'utilitaire AppScanDelta pour comparer les évaluations. Lorsque deux évaluations sont comparées, leurs différences s'affichent dans la vue Différences entre les évaluations ou dans un fichier .ozasmt. Les résultats contiennent les constatations nouvelles, corrigées/manquantes et communes.

Pour étoffer vos résultats d'analyse, vous pouvez créer des constatations personnalisées. Il s'agit de constatations créées par l'utilisateur que AppScan® Source for Analysis ajoute à l'évaluation ouverte actuellement ou à l'application sélectionnée. Les constatations personnalisées affectent les métriques d'évaluations et peuvent être incluses dans des rapports. Une fois créée, une constatation personnalisée est incluse automatiquement dans les examens ultérieurs de l'application.

AppScan® Source vous alerte en cas d'erreurs ou de failles de conception courantes de la sécurité et vous assiste dans leur processus de résolution. La AppScan Base de connaissances de sécurité Source et les éditeurs de code internes ou externes vous aident au cours de ce processus.

Certains attributs ou annotations utilisés pour enrichir le code sont traités lors des examens. Lorsqu'une annotation ou un attribut pris en charge est détecté lors d'un examen, ces informations sont utilisées pour marquer la méthode enrichie en tant que rappel entaché. Une méthode marquée comme rappel entaché est traitée si tous ses arguments comportent des données entachées. Ceci débouche sur un plus grand nombre de constatations accompagnées de traces. Les annotations et attributs pris en charge sont répertoriés dans cette rubrique d'aide.

La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.

Dans l'éditeur de rapport, vous pouvez créer des modèles de rapport servant à générer des rapports personnalisés.

Exportez les constatations au format CSV ou SARIF à partir de la liste des constatations d'un examen.

Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens.

AppScan® Source vous permet d'importer des applications Java™ depuis Apache Tomcat et le profil Liberty WebSphere® Serveur d'applications. Vous pouvez importer des applications Java à partir d'autres serveurs d'applications en étendant l'infrastructure d'importation de serveurs d'applications, comme expliqué dans cette rubrique.

Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java et IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.

Ounce/Make est un outil automatisant l'importation d'informations de configuration dans AppScan® Source à partir d'environnements de génération utilisant un fichier makefile. Ounce/Make vous évite d'avoir à importer manuellement ces informations des fichiers makefiles. C'est la méthode recommandée pour configurer ces projets.

L'interface CLI est une interface de la fonctionnalité de base AppScan® Source.

Cette section décrit comment utiliser Ounce/Ant, qui est un utilitaire de génération AppScan® Source intégrant AppScan Source et Apache Ant. L’intégration d’Ounce/Ant avec votre environnement Ant vous aide à automatiser les générations et les évaluations de code.

L'API d'accès aux données fournit l'accès aux résultats d'évaluation générés par AppScan® Source, y compris aux constatations et aux détails des constatations. Elle donne également accès aux métriques d'évaluation telles que la date et l'heure de l'analyse, le nombre de lignes de code, la densité V et le nombre de constatations.

Apprenez la terminologie courante du produit

Le processus d'identification et de résolution des incidents consiste à rechercher et à éliminer la cause d'un incident. En présence d'un incident lié à votre logiciel, vous commencez ce processus dès que vous vous posez la question Que s'est-il passé ?

Si les ressources d'aide ne vous ont pas permis de résoudre votre incident, vous pouvez contacter le service de support logiciel HCL®. Le service de support logiciel HCL fournit une aide à la résolution des défauts des produits.