Accueil
Triage et analyse
Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
Triage avec des filtres
AppScan® Source for Analysis rend compte de toutes les vulnérabilités de sécurité potentielles et peut donc générer des milliers de constatations pour une base de code de moyenne/grande envergure. Lors de l'examen, vous pouvez conclure que la liste des constatations contient des éléments sans importance dans votre cas. Pour éliminer certains éléments de la vue Constatations, vous pouvez choisir un filtre prédéfini ou créer votre propre filtre. Un filtre spécifie les critères qui déterminent les constatations à supprimer de la vue.
Utilisation des filtres prédéfinis AppScan® Source
AppScan® Source inclut un ensemble de filtres prédéfinis que vous pouvez sélectionner pour le filtrage des résultats d'examen. La présente rubrique d'aide décrit ces filtres prêts à l'emploi.
Ajout manuel de nouveaux filtres après la mise à niveau
Pour les installations AppScan® Source configurées avec une base de données SoldDB ou Oracle, ajoutez manuellement de nouveaux filtres de génération de rapports après la mise à niveau vers la version 10.0.8 ou ultérieure.

Bienvenue
Bienvenue dans la documentation relative à HCL®AppScan® Source.
Nouveautés
Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.
Installation
Apprenez à installer, mettre à niveau et activer HCL®AppScan® Source.
Configuration
Découvrez comment configurer des applications, des dossiers et des projets, et définir des attributs et des propriétés dans HCL®AppScan® Source.
Administration
Apprenez à administrer les comptes utilisateur et les droits, auditer l'activité des utilisateurs d'audit et à gérer les intégrations dans HCL®AppScan® Source.
Examen
Cette section explique comment examiner votre code source et gérer les évaluations dans HCL®AppScan® Source.
Triage et analyse
Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
- Affichage des constatations
  La vue Constatations, ou toute vue contenant des constatations, affiche leur arborescence (regroupement hiérarchique des critères d'évaluation) et un Tableau des constatations pour chaque examen. L'élément sélectionné dans l'arborescence des constatations détermine les constatations présentées dans le tableau.
- Processus de triage AppScan® Source
  Le processus de triage désigne la manipulation des constatations via des groupements, des filtres et des exclusions et la comparaison des résultats des évaluations.
- Exemple de triage
  Cet exemple décrit un flux de travaux de triage AppScan® Source utilisé par un analyste de la sécurité. Le flux de travail de triage peut varier en fonction des besoins de votre activité.
- Triage avec des filtres
  AppScan® Source for Analysis rend compte de toutes les vulnérabilités de sécurité potentielles et peut donc générer des milliers de constatations pour une base de code de moyenne/grande envergure. Lors de l'examen, vous pouvez conclure que la liste des constatations contient des éléments sans importance dans votre cas. Pour éliminer certains éléments de la vue Constatations, vous pouvez choisir un filtre prédéfini ou créer votre propre filtre. Un filtre spécifie les critères qui déterminent les constatations à supprimer de la vue.
  - Utilisation des filtres prédéfinis AppScan® Source
    AppScan® Source inclut un ensemble de filtres prédéfinis que vous pouvez sélectionner pour le filtrage des résultats d'examen. La présente rubrique d'aide décrit ces filtres prêts à l'emploi.
    - Ajout manuel de nouveaux filtres après la mise à niveau
      Pour les installations AppScan® Source configurées avec une base de données SoldDB ou Oracle, ajoutez manuellement de nouveaux filtres de génération de rapports après la mise à niveau vers la version 10.0.8 ou ultérieure.
    - Filtres prédéfinis AppScan® Source (versions 8.7.x et antérieures)
      Cette rubrique répertorie les filtres prédéfinis inclus dans AppScan® Source versions 8.7.x et antérieures.
    - Restauration des filtres prédéfinis archivés
      Il est possible de rajouter au produit des filtres prédéfinis fournis dans AppScan® Source avant la version 8.8 en suivant la procédure de cette tâche. Une fois restaurés sur une seule machine, ils peuvent être gérés de la même manière que les filtres que vous créez (par exemple, vous pouvez les partager entre plusieurs clients).
  - Création et gestion de filtres
    AppScan® Source propose plusieurs méthodes pour la création et l'utilisation des filtres. L'éditeur de filtre, la vue principale pour la création de filtres, propose un ensemble de règles robustes pouvant être définies manuellement, puis enregistrées dans un filtre. Il fournit également un mécanisme afin de gérer les filtres que vous avez créés, en vous permettant de les modifier ou de les supprimer aisément. Vous pouvez également filtrer le tableau des constatations depuis les vues présentant des représentations graphiques de celles-ci, puis enregistrer ces filtres depuis la vue Editeur de filtre. Lorsque vous créez un filtre, les autres vues sont actualisées en reflétant les propriétés du filtre.
  - Application de filtres
    Les filtres peuvent être appliqués avant ou après l'analyse. Pour appliquer des filtres après l'examen, utilisez l'Editeur de filtre ou une autre vue qui vous permet de les appliquer. Pour appliquer des filtres avant l'examen, définissez un filtre global ou filtrez en utilisant une configuration d'examen. Lorsque vous appliquez des filtres avant l'examen, vous ne pouvez pas afficher des constatations non filtrés ou supprimer le filtre sans effectuer un nouvel examen.
- Triage avec exclusions
  Après un examen, vous pouvez décider que certaines constatations ne sont pas pertinentes pour votre travail actuel et que vous ne désirez pas qu'elles soient visibles dans le tableau des constatations lors du triage de ces résultats. Ces exclusions (ou constatations exclues) n'apparaissent plus dans la vue Constatations et les métriques des évaluations sont immédiatement actualisées avec les résultats modifiés. Le filtrage et les exclusions de groupements ajoutés à une configuration ne prennent effet que lors des examens ultérieurs.
- Utilisation de groupements
  Un groupement (mécanisme d'agrégation de constatations) vous permet d'importer un instantané de constatations depuis AppScan® Source for Analysis vers AppScan Source for Development. Une fois que les constatations se trouvent dans des groupements, vous pouvez utiliser AppScan Source for Development pour ouvrir le projet qui contient le groupement, importer le groupement ou ouvrir un fichier de groupement sauvegardé (file_name.ozbdl).
- Utilisation de groupes de correctifs de l'analyse statique
  Les groupes de correctifs sont une nouvelle approche de la gestion, du triage et de la résolution de problèmes détectés dans l'analyse statique. Après l'exécution d'un examen statique, AppScan® Source organise les problèmes détectés en groupes de correctifs, en fonction du type de vulnérabilité et de la tâche de résolution requise.
- Modification de constatations
  Les constatations modifiées sont celles dont le type de vulnérabilité, la classification ou la gravité a été modifié ou auxquelles des annotations ont été ajoutées. La vue Constatations modifiées affiche ces constatations pour l'application en cours (l'application active après qu'une évaluation a été ouverte pour cette application). Dans la vue Mes évaluations (disponible uniquement dans AppScan® Source for Analysis), la colonne Modifié indique si une constatation a été modifiée dans l'évaluation en cours.
- Comparaison des constatations
  Utilisez l'action Evaluations de différences ou l'utilitaire AppScanDelta pour comparer les évaluations. Lorsque deux évaluations sont comparées, leurs différences s'affichent dans la vue Différences entre les évaluations ou dans un fichier .ozasmt. Les résultats contiennent les constatations nouvelles, corrigées/manquantes et communes.
- Constatations personnalisées
  Pour étoffer vos résultats d'analyse, vous pouvez créer des constatations personnalisées. Il s'agit de constatations créées par l'utilisateur que AppScan® Source for Analysis ajoute à l'évaluation ouverte actuellement ou à l'application sélectionnée. Les constatations personnalisées affectent les métriques d'évaluations et peuvent être incluses dans des rapports. Une fois créée, une constatation personnalisée est incluse automatiquement dans les examens ultérieurs de l'application.
- Résolution des problèmes de sécurité et affichage de l'aide à la résolution
  AppScan® Source vous alerte en cas d'erreurs ou de failles de conception courantes de la sécurité et vous assiste dans leur processus de résolution. La AppScan Base de connaissances de sécurité Source et les éditeurs de code internes ou externes vous aident au cours de ce processus.
- Annotations et attributs pris en charge
  Certains attributs ou annotations utilisés pour enrichir le code sont traités lors des examens. Lorsqu'une annotation ou un attribut pris en charge est détecté lors d'un examen, ces informations sont utilisées pour marquer la méthode enrichie en tant que rappel entaché. Une méthode marquée comme rappel entaché est traitée si tous ses arguments comportent des données entachées. Ceci débouche sur un plus grand nombre de constatations accompagnées de traces. Les annotations et attributs pris en charge sont répertoriés dans cette rubrique d'aide.
- Trace AppScan® Source
  La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
Génération de rapports
Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.
Extension des fonctionnalités du produit
Apprenez à étendre le produit pour répondre à des exigences de développement spécifiques.
Référence
Consultez les informations de référence pour HCL®AppScan® Source, y compris l'utilisation d'utilitaires, de plug-ins et d'API.
Traitement des incidents et support
Informations, ressources et outils d'auto-assistance pour vous aider à résoudre les problèmes lors de l'utilisation de HCL®AppScan® Source.

Ajout manuel de nouveaux filtres après la mise à niveau

Pour les installations AppScan® Source configurées avec une base de données SoldDB ou Oracle, ajoutez manuellement de nouveaux filtres de génération de rapports après la mise à niveau vers la version 10.0.8 ou ultérieure.

Dans le cadre de AppScan® Source version 10.0.8, les filtres de rapport suivants ont été introduits :

Filtre OWASP Top 10 API Security 2019
Filtre CWE 2021 Top 25
Rapport OWASP Top 10 2017
Rapport OWASP Top 10 2021

Par défaut, les filtres qui viennent d'être ajoutés sont disponibles dans l'installation de AppScan® Source, à l'exception des installations mises à niveau à partir d'éditions antérieures configurées avec une base de données (SolidDB ou Oracle).

Pour mettre ces filtres à disposition pour certaines installations mises à niveau de AppScan® Source, procédez comme suit :

Copiez les fichiers de définition de rapport depuis <data_dir>\IBM\AppScanSource\data\default\filters\ vers <data_dir>\IBM\AppScanSource\scanner_filters\.
Les noms de fichier de définition de rapport appropriés sont les suivants :
- CWE Top 25 2021 Vulnerabilities.off
- OWASP API Security Top 10 2019 Vulnerabilities.off
- OWASP Top 10 2017 Vulnerabilities.off
- OWASP Top 10 2021 Vulnerabilities.off
Editez les fichiers copiés :
- Remplacez la valeur de la propriété XML global de true en false.
- Modification de <Filter added="false" exclude_matching_findings="true" global="true" global_exclusion="false" name="CWE Top 25 2021 Vulnerabilities" version="0"> en <Filter added="false" exclude_matching_findings="true" global="false" global_exclusion="false" name="CWE Top 25 2021 Vulnerabilities" version="0">
Démarrez AppScan® Source pour le client Analysis.
Ouvrez la vue Filtres.
Les filtres qui viennent d'être ajoutés seront disponibles en tant que filtres personnalisés en local pour l'installation.
Facultatif. Marquez le filtre comme Partagé pour le rendre disponible pour d'autres installations AppScan® Source se connectant à la même base de données.