Rôles et flux de travaux

Rôles AppScan 360° SAST

Les actions liées à AppScan 360° SAST ne sont pas toutes exécutées par la même personne, bien qu'elles puissent l'être. AppScan 360° SAST propose deux rôles qui peuvent ou non se chevaucher, selon la stratégie de l'entreprise.
  • rôle administrateur

    Le rôle d'administrateur télécharge AppScan 360° SAST et déploie les conteneurs pour permettre aux utilisateurs de les examiner. Le nombre et la fonctionnalité des conteneurs relèvent d'une décision organisationnelle. L'administrateur peut également être responsable de l'installation de la Plateforme centrale AppScan et de l'octroi des droits aux utilisateurs.

    Le contenu de cette partie de la documentation s'applique majoritairement aux administrateurs AppScan 360° SAST.

  • Rôle d'utilisateur

    Le rôle d'utilisateur revient à la personne qui effectue les examens dans AppScan 360° (ou qui utilise AppScan 360°, AppScan 360° ou un plug-in DevOps), qui surveille le statut de ceux-ci et qui exploite leurs résultats.

    Dans la plupart des cas, le back-end AppScan 360° SAST est invisible pour le rôle d'utilisateur. L'utilisateur effectue les examens et exploite leurs résultats, en fonction des besoins.

Anatomie d'un examen

Un examen se décompose en deux étapes principales :

  • L'étape preparer traite le contenu source (code source, artefacts de génération, etc.) et génère une représentation interne (fichier IRX).
  • L'étape analyzer étudie le fichier de représentation interne pour générer une évaluation qui inclut les résultats de l'analyse.

Une requête adressée à l'agent Analyse statique AppScan 360° peut comporter ces deux étapes exécutées dans l'ordre, ou l'une ou l'autre de ces étapes exécutée seule. L'agent Analyse statique AppScan 360° identifie le type de contenu fourni pour déterminer les étapes nécessaires à la réalisation d'un examen :

  • Si une archive contenant le code source et/ou les artefacts de génération est fournie au conteneur AppScan 360° SAST, les étapes preparer et analyzer sont appelées pour procéder à l'examen.
  • Si un fichier IRX est importé dans AppScan 360° et donc fourni au conteneur AppScan 360° SAST, seule l'étape d'analyse est appelée pour procéder à l'examen.
  • L'utilitaire SAClientUtil (interface de ligne de commande) peut être utilisé pour générer (étape prepare) le fichier IRX localement. Le fichier est ensuite importé dans AppScan 360° pour analyse. L'utilitaire SAClientUtil peut être téléchargé à partir de AppScan 360°.

Les requêtes d'examen adressées à AppScan 360° SAST à partir de AppScan 360° sont traitées de manière asynchrone. AppScan 360° affiche le statut de l'examen et signale la fin de celui-ci. Au terme de l'examen, l'utilisateur peut :

  • Extraire les résultats : pour obtenir les résultats d'un examen réussi. Ces résultats peuvent être affichés et gérés automatiquement dans AppScan 360°.
  • Extraire les journaux : pour obtenir les journaux associés à un examen. Cette requête peut être utilisée à des fins de résolution des problèmes.

Flux de travaux d'administrateur

Le flux de travaux d'administrateur standard pour Analyse statique AppScan 360° est le suivant :
  • Téléchargement de Analyse statique AppScan 360°
  • Déploiement des conteneurs AppScan 360° SAST
  • Identification et résolution des problèmes
  • Mise à niveau de AppScan 360° SAST

Flux de travaux d'utilisateur

Les flux de travaux d'utilisateur courants pour Analyse statique AppScan 360° en conjonction avec AppScan 360° sont les suivants :
  • Examen du code source et des artefacts de génération.
  • Génération des fichiers IRX localement et examen de ceux-ci.

Examen du code source et des artefacts de génération

  1. Créez une archive contenant le code source et les artefacts de génération, le cas échéant.
  2. Importez l'archive dans AppScan 360°.
  3. Démarrez l'examen dans AppScan 360°.
  4. Vérifiez le statut de l'examen en cours. La réponse relative au statut contient des métriques sur les constatations effectuées une fois l'examen terminé (nombre de problèmes de niveau élevé, moyen et faible) afin de faciliter la gestion de la génération dans un pipeline de génération DevOps.
  5. Une fois l'examen terminé, ouvrez le fichier de résultats dans AppScan 360°.
  6. Répétez ces étapes pour exécuter des examens simultanément en fonction de la disponibilité des ressources.
Génération des fichiers IRX localement et examen de ceux-ci
  1. Exécutez SAClientUtil pour générer le fichier IRX.
  2. Importez le fichier IRX dans AppScan 360°.
  3. Démarrez l'examen dans AppScan 360°.
  4. Vérifiez le statut de l'examen en cours. La réponse relative au statut contient des métriques sur les constatations effectuées une fois l'examen terminé (nombre de problèmes de niveau élevé, moyen et faible) afin de faciliter la gestion de la génération dans un pipeline de génération DevOps.
  5. Une fois l'examen terminé, ouvrez le fichier de résultats dans AppScan 360°.
  6. Répétez ces étapes pour exécuter des examens simultanément en fonction de la disponibilité des ressources.