Welcome
Analyse dynamique
HCL AppScan 360° effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
Examen dynamique (DAST)
AppScan 360° peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles pour une application Web ou une API Web dans AppScan 360° ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
Certificats client

Initiation
Bienvenue dans la documentation HCL AppScan 360°, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Installation
En savoir plus sur l'architecture AppScan 360° et sur l'installation du produit.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Navigation
Cette section décrit les éléments de la barre de menus AppScan 360° principale et fournit des liens vers des informations plus détaillées.
Analyse dynamique
HCL AppScan 360° effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
- A propos de l'analyse dynamique (DAST)
  Un examen AppScan 360° dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.
- Examen dynamique (DAST)
  AppScan 360° peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles pour une application Web ou une API Web dans AppScan 360° ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
  - Création d'un examen d'application Web
    Fournissez l'URL de départ et les données d'identification de l'utilisateur pour l'examen, sélectionnez le type de site, puis (à défaut) vérifiez votre droit à examiner le site.
  - Création d'un examen API
    AppScan 360° prend en charge différents flux de travaux pour le balayage d'une API Web. Si vous disposez d'une collection Postman, un fichier de spécifications OpenAPI ou le trafic enregistré de votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen en utilisant la configuration des examens API. Vous pouvez également utiliser les fichiers de collection Postman ou les fichier de spécifications OpenAPI avec l'API REST.
  - Création d'un examen à partir d'un modèle
    Vous pouvez charger votre propre modèle de fichier AppScan Standard (SCANT) pour exécuter un examen AppScan 360°.
  - Création d'un examen à partir d'un fichier d'examen
    Vous pouvez charger votre propre fichier d'examen AppScan Standard (SCAN) pour exécuter un examen AppScan 360°.
  - Création d'un examen incrémentiel
  - Stratégies de test
    Les stratégies de test sont une liste de paramètres d'examen de sécurité des applications Web. Vous pouvez sélectionner l'une des stratégies de test prédéfinies disponibles lors de l'exécution d'examens à partir de l'interface utilisateur ASoC, mais d'autres stratégies peuvent être appliquées avec des examens importés ou des examens exécutés à partir de l'API. Vous pouvez également télécharger des stratégies de test personnalisé que vous avez créées dans AppScan Standard et AppScan Enterprise.
  - Optimisation des tests
    L'optimisation du test utilise l'analyse de résultats intelligente (IFA) pour obtenir des examens plus rapides, avec une perte minimale de la couverture des problèmes. Lorsque la vitesse est un facteur à prendre en compte, choisissez entre quatre niveaux d'optimisation.
  - Automatisation des tests
    Intégrez l'examen dynamique dans vos tests fonctionnels.
  - Certificats client
- Enregistrement du trafic
  Vous pouvez enregistrer le trafic en tant que données d'exploration enregistrée pour les examens DAST à l'aide de l'extension de navigateur AppScan Activity Recorder (pour Chrome ou Edge), du serveur proxy HCL AppScan Traffic Recorder ou d'AppScan Standard.
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.
- AppScan Standard
- Résolution des problèmes de l'analyse dynamique
Surveillance interactive
A l'aide d'un agent installé sur votre application, AppScan 360° identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Référence
Quelques questions fréquentes et informations sur l'intégration d'AppScan 360° au cycle de vie du produit (SDLC).

Examen des sites qui utilisent des certificats client

AppScan 360° n'offre actuellement aucun moyen de configurer un certificat client à partir de l'interface utilisateur ou de l'API, mais vous pouvez utiliser AppScan Standard 10.6.0 (ou version ultérieure) pour le faire.

Cependant, il existe une limitation. Lorsque vous enregistrez un modèle d'examen (fichier SCANT) dans AppScan Standard, le certificat n'est pas enregistré dans le modèle. Reportez-vous aux procédures suivantes pour examiner les sites qui utilisent des certificats client.

Pour exécuter un examen via AppScan Connect :

Configurez l'examen, y compris le certificat client, dans AppScan Standard 10.6.0 (ou version ultérieure).
Dans AppScan Standard, utilisez la fonctionnalité AppScan Connect pour charger la configuration dans AppScan 360° et exécuter l'examen.

Remarque : Le certificat n'est enregistré dans le modèle d'examen que lorsque vous utilisez AppScan Connect. Il n'est pas inclus si vous l'enregistrez directement en tant que fichier SCANT.

Pour exécuter un examen via l'API :

Dans AppScan Standard, utilisez AppScan Connect pour télécharger le fichier SCANT à partir d'AppScan 360° (décrit ci-dessus).
Ouvrez l'examen dans AppScan Standard et enregistrez-le en tant que fichier SCANT.
Le certificat client est inclus dans le fichier.
Utilisez l'API AppScan 360° FileUpload pour charger le fichier SCANT et obtenir un ID de fichier.
Remarque : AppScan 360° limite les chargements de fichiers à 2 Go.
Utilisez cet ID pour créer l'examen DAST à l'aide de l'API DynamicAnalyzerWithFile.