Groupes de correctifs
Pour le moment, les groupes de correctifs s'appliquent uniquement aux problèmes détectés dans les examens utilisant l'analyse statique.
Les groupes de correctifs constituent une nouvelle approche en matière de gestion, de triage et de résolution des problèmes détectés dans les examens utilisant l'analyse statique. Dès que vous avez exécuté un examen statique, AppScan 360° organise les problèmes détectés en groupes de correctifs, en fonction du type de vulnérabilité et de la tâche de résolution requise. Dans chaque nouvel examen statique, les nouveaux problèmes sont ajoutés à ces groupes et des groupes sont créés, si besoin.
- Point de correction commun
- Contient des problèmes qui partagent la même vulnérabilité. Le groupe entier peut être corrigé à l'aide d'une résolution unique (un point de code).
- API commune
- Contient des problèmes qui sont liés au même appel d'API. Un groupe d'API commun place les constatations avec la même cause première si elles ne peuvent pas être classées dans un groupe de points de correctif commun. Cela réduit le changement de contexte lors de l'examen des résultats et de l'application du correctif. En général, le correctif est similaire pour chacune des constatations affectées. Le même correctif peut être appliqué à tous les problèmes du groupe.
- Open Source commune
- Contient des problèmes identifiés dans le code tiers, en fonction de la bibliothèque dans laquelle ils ont été trouvés. Pour chaque bibliothèque vulnérable identifiée dans l'application, un groupe de correctifs est créé. Chaque groupe de correctifs peut avoir une ou plusieurs vulnérabilités en fonction du nombre de vulnérabilités découvertes dans la bibliothèque spécifique. La même résolution peut être appliquée à tous les problèmes du groupe.
Les problèmes d'un groupe partagent tous le même type de vulnérabilité.
Gravité du groupe de correctifs
La gravité du groupe de correctifs est déterminée par la gravité la plus sévère de tous les problèmes qu'il contient.
Statut du groupe de correctifs
Le statut du groupe de correctifs n'est affecté que lorsque tous les problèmes du groupe présentent le même statut.
Lorsque vous modifiez le statut de tous les problèmes d'un groupe, vous pouvez choisir d'appliquer ou non le statut aux problèmes ajoutés au groupe à partir d'examens ultérieurs. Si le statut n'est pas appliqué aux problèmes ultérieurs, le statut du groupe indique Mixte lors de l'ajout de nouveaux problèmes.
Tutoriel
Exemples
Groupe de correctifs de point de correctif commun
Sur les illustrations suivantes, cinq paramètres (id, name, email, subject, message) se retrouvent finalement dans un point fixe new Feedback dans DBUtil.java à la ligne 194. Alors que id est un int et non un vecteur d'attaque pour les attaques par script intersite, les quatre autres paramètres sont attaquables et doivent être corrigés.
Trace nous indique que cinq symptômes différents sont présents et se retrouvent sur la page du navigateur suite aux appels out.print qui apparaissent sur différentes lignes. Si l'appel new Feedback établissait une liste verte des caractères utilisables ou une sorte de nettoyage/validation des données pour ces cinq entités au sein du constructeur, toutes les constatations du groupe de correctifs seront alors résolues. Si le point de correctif du groupe de correctifs est ignoré, quatre appels de codage différents doivent être ajoutés pour chacune de ces constatations.
Groupe de correctifs d'API commune
Dans cet exemple, deux constatations ont la même cause première (pas d'échappement pour la chaîne d'entrée). Elles doivent être résolues séparément, mais le correctif est similaire ou, dans ce cas, identique pour les deux instances.
Groupe de correctifs de code source ouvert commun
Dans cet exemple, huit vulnérabilités différentes ont été découvertes dans la bibliothèque. Un groupe de correctifs a donc été créé pour afficher toutes les vulnérabilités de cette bibliothèque et accélérer ainsi le processus d'examen de chaque vulnérabilité associée à la bibliothèque.
