Welcome
Surveillance interactive
A l'aide d'un agent installé sur votre application, AppScan 360° identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
OWASP Benchmark avec l'agent IAST

Initiation
Bienvenue dans la documentation HCL AppScan 360°, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Installation
En savoir plus sur l'architecture AppScan 360° et sur l'installation du produit.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Navigation
Cette section décrit les éléments de la barre de menus AppScan 360° principale et fournit des liens vers des informations plus détaillées.
Analyse dynamique
HCL AppScan 360° effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
Surveillance interactive
A l'aide d'un agent installé sur votre application, AppScan 360° identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
- A propos de la surveillance interactive (IAST)
  AppScan 360° peut vérifier que le comportement d'exécution de l'application est normal afin de détecter les vulnérabilités.
- Démarrage d'une session IAST
  Installez l'agent IAST sur votre serveur d'applications et configurez l'examen.
- Déploiement d'un agent IAST
  Déployez l'agent IAST sur le serveur d'applications afin qu'il puisse surveiller la communication avec l'application et faire un signalement à AppScan 360°.
- Déploiement sur Kubernetes
  AppScan prend en charge l'installation automatique de l'agent IAST sur un cluster Kubernetes. A l'aide d'un MutatingAdmissionWebhook, l'agent IAST est automatiquement installé sur n'importe quel pod de démarrage.
- Déployer sur Azure App Service
  Utilisez l'agent IAST pour surveiller les applications qui s'exécutent sur Azure App Service.
- OWASP Benchmark avec l'agent IAST
- IAST à l'aide de l'API REST
  Configurez et démarrez un examen IAST, ainsi qu'un déploiement d'agents, via l'API REST.
- Fichier de configuration IAST
  Configurez un fichier JSON pour remplacer les paramètres IAST par défaut et ne signaler que les vulnérabilités que vous souhaitez connaître.
- Paramètres utilisateur
  Certains comportements IAST de bas niveau peuvent être contrôlés à l'aide de paramètres utilisateur.
- Résultats de l'examen IAST
  Une entrée de l'examen interactif (IAST) affiche les résultats depuis le dernier lancement de l'examen.
- Dépannage IAST
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Référence
Quelques questions fréquentes et informations sur l'intégration d'AppScan 360° au cycle de vie du produit (SDLC).

OWASP Benchmark avec l'agent IAST

Pourquoi et quand exécuter cette tâche

OWASP Benchmark Project est une suite de tests Java conçue pour évaluer les outils de détection des vulnérabilités logicielles. L'agent Java AppScan IAST est conforme à OWASP Benchmark.

Exécuter OWASP Benchmark avec l'agent Java AppScan IAST

Procédure

Clonez BenchmarkJava et BenchmarkUtils depuis https://github.com/OWASP-Benchmark.
Ouvrez l'invite de commande, accédez au répertoire BenchmarkUtils et exécutez mvn install -DskipTests.
Dans AppScan 360° : Démarrez une session Java IAST et téléchargez le fichier zip de l'agent comme décrit dans Démarrage d'une session IAST.
Extrayez le contenu du fichier zip.
Dans le fichier JAR extrait, recherchez secagent.jar dans le dossier jar_deployment et copiez-le vers BenchmarkJava\tools\HCL.
A partir d'une invite de commande, exécutez runBenchmark_wHCL.bat, et patientez quelques instants jusqu'à ce que le message '[INFO] Press Ctrl-C to stop the container...' s'affiche.
Ouvrez une autre invite commande et exécutez BenchmarkJava\runCrawler.bat.
Exécutez BenchmarkJava\createScorecards.bat.

Les résultats du test sont disponibles dans :
BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} files
Figure 1. Comparaison des résultats OWASP Benchmark v1.2