Aller au contenu principal
Mise en route
Bienvenue dans la documentation HCL AppScan 360°, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
A propos d'HCL AppScan 360°
HCL AppScan 360° est une solution unifiée de sécurité, de visibilité et de gestion des risques des applications, qui est polyvalente, évolutive et déployable n'importe où.
Nouveautés d' HCL AppScan 360°
Découvrez les nouvelles fonctions qui ont été ajoutées à HCL AppScan 360° et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.
Rôles et flux de travaux
Découvrez les différents flux de travaux et tâches AppScan 360° des différents utilisateurs AppScan 360°.
Exemples de script et d'application
Utilisez ces exemples d'applications pour vous entraîner aux examens avec AppScan 360°.
Contact et support
Liens utiles vers des ressources humaines et en ligne.
Conformité
Autorisation
Installation
En savoir plus sur l'architecture AppScan 360° et sur l'installation du produit.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Utilisateurs
La gestion des utilisateurs vous permet de contrôler l'accès aux applications sensibles en les affectant à des groupes d'actifs, puis en ajoutant des utilisateurs spécifiques à ces groupes.
Applications
Une application est une collection d'examens liés au même projet. Il peut s'agir d'un site Web, d'une application de bureau, d'une application mobile, d'un service Web ou de tout composant d'une application. Les applications vous permettent d'évaluer les risques, d'identifier les tendances et de vous assurer que votre projet est conforme aux stratégies du secteur et de l'organisation.
Stratégies
Vous pouvez appliquer les stratégies prédéfinies, ainsi que vos propres stratégies personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.
DevOps
Outils d'intégration d'AppScan 360° dans votre cycle de développement logiciel.
Examens personnels
Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale (problèmes, par exemple), ou la conformité.
Statut de l'examen
Piste d'audit
La piste d'audit (Organisation > Piste d'audit) consigne l'activité des utilisateurs.
Navigation
Cette section décrit les éléments de la barre de menus AppScan 360° principale et fournit des liens vers des informations plus détaillées.
Toutes les applications
La page Applications répertorie toutes les applications de votre organisation qui se trouvent dans les groupes d'actifs auxquels vous êtes affecté. A partir de la page Applications, vous pouvez créer de nouvelles applications et ouvrir des pages d'applications individuelles.
Examens et sessions
Cette vue répertorie tous les examens et sessions de toutes vos applications.
Tableau de bord
Le tableau de bord principal est le quatrième élément de la barre de menus principale. Il vous offre un aperçu détaillé des problèmes actifs, des problèmes de MTTR, des applications et des examens, ainsi que des graphiques et des tableaux qui affichent l'état général de vos applications.
Organisation
L'organisation est votre plateforme de référence pour la gestion des stratégies, des domaines, des paramètres, des et des pistes d'audit. C'est là que vous contrôlez et organisez tout.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
A propos de l'analyse dynamique (DAST)
Un examen AppScan 360° dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.
Examen dynamique (DAST)
AppScan 360° peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles dans AppScan 360° ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
Enregistrement du trafic
Vous pouvez enregistrer le trafic en tant que données d'exploration pour les examens DAST à l'aide de l'extension de navigateur AppScan Activity Recorder (pour Chrome ou Edge), du serveur proxy HCL AppScan Traffic Recorder ou d'AppScan Standard.
HCL AppScan Traffic Recorder
HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.
AppScan Standard
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Configuration requise par le système pour l'analyse statique
Systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que AppScan 360° est capable d'examiner lorsque vous réalisez une analyse statique.
Recherche de failles de sécurité
Pour examiner le code source et détecter les éventuelles failles de sécurité, suivez la procédure indiquée dans ces rubriques.
Traitement des incidents de l'analyse statique
Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Résultats
La page Examens et sessions répertorie les examens sous les catégories dans lesquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Exemples de rapport de sécurité
Rapports d'application
Données d'examen
Problèmes
La page Problèmes pour une application n'affiche par défaut que les problèmes non conformes. Vous pouvez appliquer plusieurs filtres pour voir les problèmes dont vous avez besoin et cliquer sur n'importe quel problème pour ouvrir le volet d'informations détaillées sur les problèmes.
Groupes de correctifs
Pour le moment, les groupes de correctifs s'appliquent uniquement aux problèmes détectés dans les examens utilisant l'analyse statique.
Rapports
Générez des rapports pour les problèmes détectés dans une application. Envoyez les rapports aux développeurs, auditeurs internes, testeurs de pénétration, responsables et responsable de la sécurité informatique. Les informations relatives à la sécurité peuvent être nombreuses et peuvent être filtrées en fonction de vos besoins.
Résolution
Une fois que les risques sont déterminés et que les vulnérabilités sont hiérarchisées, votre équipe de sécurité peut commencer le processus de résolution.
Réexamen
Après votre premier examen, pendant que vous résolvez des problèmes, vous pouvez à nouveau examiner la même application à plusieurs reprises et écraser les résultats précédents, afin que le tableau de bord affiche toujours les résultats actuels. Lorsque vous effectuez un nouvel examen (au lieu d'en démarrer un nouveau), il écrase le précédent.
Reference
Quelques questions fréquentes et informations sur l'intégration d'AppScan 360° au cycle de vie du produit (SDLC).
FAQ
Foire aux questions
Classe de menaces et CWE
Tableaux affichant les classes de menaces des problèmes testés par AppScan 360° et numéros CWE associés.
Format CSV
Cette section décrit comment enregistrer les données de réponse au format CSV.
Avis