Rapports
Générez des rapports pour les problèmes détectés dans une application. Envoyez les rapports aux développeurs, auditeurs internes, testeurs de pénétration, responsables et responsable de la sécurité informatique. Les informations relatives à la sécurité peuvent être nombreuses et peuvent être filtrées en fonction de vos besoins.
Rapports d'application et d'examen
A partir des pages Application et Examen, vous pouvez générer divers rapports sur le statut actuel de l'application.
- Pour une application, sur la page Application, sélectionnez .Pour un examen :
- Sur la page Examens et sessions, sélectionnez les points de suspension (...) à droite de l'examen souhaité dans la liste et sélectionnez Télécharger le rapport, ou
- Sur la page de résumé de l'examen, sélectionnez .
La boîte de dialogue du rapport s'ouvre. - Sélectionnez le type de rapport :
- Rapport de sécurité : Rapport configurable sur tous les problèmes détectés dans l'application.
- Rapport sur les normes de l'industrie : Sélectionnez un rapport dans la liste à l'étape suivante.
- Rapport sur la conformité légale : Sélectionnez un rapport dans la liste à l'étape suivante.
- Rapport Open source (SAST et SCA uniquement) : Un rapport répertoriant toutes les bibliothèques Open Source (et leurs licences) trouvées dans votre code, avec leur niveau de risque Open source associé. Comme les bibliothèques Open Source peuvent avoir plusieurs licences, ce rapport peut inclure plusieurs listes pour une seule bibliothèque si plusieurs licences sont trouvées.
- Donnez un nom à votre rapport (ou laissez le nom par défaut) et sélectionnez le type de fichier (
HTML
,PDF
ou dans certains casCSV
etXML
). - Ajoutez une remarque qui sera insérée en haut du rapport. Facultatif.
- Cliquez sur Suivant pour continuer.
Voir ci-dessous pour plus d'informations sur les rapports de sécurité, les rapports sur les normes industrielles et la conformité réglementaire, les et les formats d'exportation des analyses.
Rapports de sécurité
- Une application entière
- Un examen spécifique (si l'examen a été exécuté plusieurs fois, vous devez spécifier quelle exécution est utilisée)
- Liste de problèmes filtrée
- Groupe de correctifs
- Effectuez l'une des opérations suivantes :
- Sur la page Application, sélectionnez .
- Sur la page Examen, sélectionnez .
- Sur la page du groupe de problèmes ou de corrections, appliquez des filtres pour n'afficher que les problèmes que vous souhaitez voir figurer dans le rapport, puis cliquez sur Rapport de sécurité.
- Attribuez un nom à votre rapport (ou laissez le nom par défaut) et sélectionnez le type de fichier (
HTML
,PDF
et, dans certains cas, égalementCSV
et \). - Ajoutez une remarque qui sera insérée en haut du rapport. Facultatif.
- Indiquez la portée du rapport, si nécessaire.
- Problèmes de non-conformité : Problèmes actifs (problèmes ayant un statut : « Ouvert », « En cours », « Réouvert » et « Nouveau » (obsolète)) qui sont également non conformes à une ou plusieurs stratégies.
- Tous les problèmes : Tous les problèmes de l'application, y compris tous les statuts, niveaux de gravité et conformité, et en fonction de la portée de la page Paramètres. « Tous les problèmes » inclut tous les problèmes lorsque le champ d'application de la page des paramètres est défini sur « en fonction du statut ». Si le périmètre est défini comme « basé sur le statut et les stratégies », il inclura tous les problèmes qui ne sont pas conformes à une ou plusieurs stratégies. Notez que le filtre des problèmes actifs n'est pas applicable ici et que tous les problèmes seront inclus.
- Cochez les cases correspondant aux sections souhaitées dans le rapport et désélectionnez celles que vous ne souhaitez pas.
- Cliquez sur Générer le rapport.Le rapport est généré et enregistré sur votre machine.Remarque : Pour les listes filtrées, le rapport de sécurité filtré est généré lorsque vous cliquez sur le bouton. Par conséquent, contrairement au rapport de sécurité général qui reflète les données au moment où l'examen est terminé, le rapport filtré reflète le dernier statut des problèmes détectés. Par exemple, un problème modifié de Nouveau à Corrigé apparaît comme Corrigé dans ce rapport.Remarque : Dans le cas de rapports très volumineux, la génération de
PDF
peut échouer. Dans ce cas, un rapportHTML
est généré. Si cela se produit et que le formatPDF
est nécessaire, utilisez des filtres pour créer des blocs de problèmes plus petits et générer deux rapports ou plus.
Rapports sur les normes de l'industrie et sur la conformité légale
Norme du secteur | Conformité aux réglementations |
---|---|
Rapport CWE Top 25 Most Dangerous Software Weaknesses 2021 | CANADA Freedom of Information and Protection of Privacy Act (FIPPA) |
Norme internationale - ISO 27001 | Règlement général sur la protection des données (RGPD) de l'UE |
Norme internationale - ISO 27002 | Directive relative à la sécurité des réseaux et des informations (NIS2) |
Publication spéciale NIST 800-53 | Payment Application Data Security Standard |
Rapport OWASP Top 10 API Security 2019 | Conformité PCI |
Rapport OWASP API Security Top 10 2023 | US California Consumer Privacy Act (CCPA) - AB-375 |
Rapport OWASP Top 10 Cloud-Native Application Security | US DISA's Application Security and Development STIG. V5R2 |
Rapport OWASP Top 10 2017 | US Electronics Funds and Transfer Act (EFTA) |
Rapport OWASP Top 10 2021 | US Federal Information Security Modernization Act (FISMA) |
Rapport OWASP Top 10 Mobile 2016 | US Federal Risk and Authorization Management Program (FedRAMP) |
Les 25 faiblesses logicielles les plus dangereuses répertoriées par CWE en 2023 | US Health Insurance Portability and Accountability Act (HIPAA) |
Classification des menaces par le consortium WASC 2.0 | US Sarbanes-Oxley Act (SOX) |
Pour générer un rapport pour une sous-section des résultats, par exemple Elevé et Critique uniquement, ou uniquement les problèmes détectés après une certaine date, vous pouvez appliquer un filtre aux résultats avant de générer le rapport.
Exporter des données d'examen au format CSV
, JSON
ou SARIF
CSV
, JSON
ou SARIF
.- Seuls les administrateurs ont la possibilité d'exporter.
- L'option
SARIF
s'applique uniquement aux problèmes SAST, sans inclure les problèmes SCA (Open Source). Elle n'est pas disponible avec les abonnements gratuits.
- Filtrez la liste des problèmes selon vos besoins, jusqu'à ce que seuls les problèmes que vous souhaitez exporter soient affichés.
- A l'aide de la liste déroulante Colonnes située à droite au-dessus du tableau, sélectionnez les colonnes que vous souhaitez inclure.
- En haut du tableau, cliquez sur Actions, puis sur Exporter.
La boîte de dialogue Exporter les données s'ouvre.
- Saisissez le nom du fichier, sélectionnez
CSV
,JSON
ouSARIF
. - Cliquez sur Exporter.
Les données sont exportées vers le fichier.