Welcome
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
DevOps
Outils d'intégration d'AppScan 360° dans votre cycle de développement logiciel.
Intégrations
Mise en place d'une solution AppScan Presence permettant d'examiner directement un référentiel GitHub
Vous pouvez utiliser une solution AppScan Presence pour exécuter une analyse statique sur les référentiels GitHub Enterprise.
AppScan Presence
Une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet, ainsi que d'intégrer l'examen à vos tests fonctionnels.
Configuration système requise

Initiation
Bienvenue dans la documentation HCL AppScan 360°, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Installation
En savoir plus sur l'architecture AppScan 360° et sur l'installation du produit.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
- Utilisateurs
  La gestion des utilisateurs vous permet de contrôler l'accès aux applications sensibles en les affectant à des groupes d'actifs, puis en ajoutant des utilisateurs spécifiques à ces groupes.
- Applications
  Une application est une collection d'examens liés au même projet. Il peut s'agir d'un site Web, d'une application de bureau, d'une application mobile, d'un service Web ou de tout composant d'une application. Les applications vous permettent d'évaluer les risques, d'identifier les tendances et de vous assurer que votre projet est conforme aux stratégies du secteur et de l'organisation.
- Stratégies de conformité
  Vous pouvez appliquer les stratégies de conformité prédéfinies, ainsi que vos propres stratégies de conformité personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.
- DevOps
  Outils d'intégration d'AppScan 360° dans votre cycle de développement logiciel.
  - API REST
    L'interface d'API REST intégrée vous permet de visualiser les services Web RESTful. La documentation API est élaborée à l'aide de Swagger. Vous pouvez y tester des opérations API et consulter instantanément les résultats afin d'examiner vos applications plus rapidement.
  - Webhooks
    Les webhooks peuvent être utilisés pour recevoir des notifications à propos d'événements qui se produisent dans AppScan 360°.
  - API du statut de l'environnement
    L'API du statut de l'environnement permet de surveiller l'intégrité de l'environnement et la disponibilité des ressources. La documentation API est élaborée à l'aide de Swagger. Vous pouvez y tester des opérations API et consulter instantanément les résultats afin d'examiner l'état de votre environnement AppScan 360°.
  - Intégrations
    - Ajout de l'analyse de sécurité à votre serveur d'automatisation Jenkins
      Le plug-in Jenkins HCL AppScan vous permet d'ajouter une prise en charge des examens de sécurité à vos projets Jenkins. Le plug-in vous permet de vous connecter à HCL AppScan 360° sur HCL AppScan 360°.
    - Installation et utilisation du plug-in Azure DevOps Services
      Cette tâche décrit comment installer et utiliser le plug-in Azure DevOps Services pour exécuter des analyses statiques ou dynamiques dans vos services et pipelines Azure DevOps Team Foundation Server (TFS). (Azure DevOps Services était auparavant connu sous le nom de Visual Studio Team Services (VSTS)).
    - Mise en place d'une solution AppScan Presence permettant d'examiner directement un référentiel GitHub
      Vous pouvez utiliser une solution AppScan Presence pour exécuter une analyse statique sur les référentiels GitHub Enterprise.
      - AppScan Presence
        Une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet, ainsi que d'intégrer l'examen à vos tests fonctionnels.
        Configuration système requise
        Création de l'instance Presence
        Pour les applications Web privées ou pour l'intégration d'un examen à votre procédure de test fonctionnel, vous devez créer une instance une instance AppScan Presence, avec accès à l'application Web ou au serveur back-end et à Internet. Les connexions proxy sont prises en charge.
        Démarrage de l'instance Presence
        Configuration d'un proxy Private Site Server
        Si votre réseau privé nécessite Private Site Server pour utiliser un proxy pour la connexion à l'application Web ou à un serveur back-end (proxy interne) ou à Internet (proxy sortant), configurez-le de la façon suivante.
        Configuration d'un fichier PAC
        Si un fichier d'auto-configuration de proxy (PAC) est nécessaire pour accéder aux différents domaines de votre site, configurez l'instance AppScan Presence comme suit.
        Renouvellement de la clé Presence
        Lorsque vous téléchargez l'instance Presence pour la première fois, elle contient une clé d'activation. Lorsque cette clé arrive à expiration, vous devez la remplacer par une clé valide.
        Fichiers journaux
        Résolution des problèmes AppScan Presence
        Cette section propose des tâches d'identification et de résolution des problèmes pour les erreurs liées à l'utilisation de l'instance AppScan Presence.
- Examens personnels
  Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale (problèmes, par exemple), ou la conformité.
- Statut de l'examen
- Piste d'audit
  La piste d'audit (Organisation > Piste d'audit) consigne l'activité des utilisateurs.
Navigation
Cette section décrit les éléments de la barre de menus AppScan 360° principale et fournit des liens vers des informations plus détaillées.
Analyse dynamique
HCL AppScan 360° effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
Surveillance interactive
A l'aide d'un agent installé sur votre application, AppScan 360° identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Référence
Quelques questions fréquentes et informations sur l'intégration d'AppScan 360° au cycle de vie du produit (SDLC).

Configuration système requise pour l'instance AppScan Presence

Les exigences suivantes en matière de système d'exploitation s'appliquent au système sur lequel l'instance AppScan Presence est installée. Dans tous les cas, seule la version 64 bits est prise en charge.

Tableau 1. Systèmes d'exploitation pris en charge
SE	Plateforme
Windows™	Windows™ 11
	Windows™ Server 2022
	.NET 8
Linux™	Red Hat Enterprise Linux™ (RHEL) version 8, version 9
	openSUSE Leap 15.3
	Ubuntu™ v18.04, v20.04, v22.04
	.NET 8
Remarque : Bien que .NET 8 prenne en charge une plateforme particulière, cela ne signifie pas automatiquement que Presence est prise en charge sur cette plateforme.

Tableau 2. Mémoire requise
Type	Mémoire
UC	2 coeurs requis ; 4 coeurs privilégiés ; peut être surexploité
RAM	4 Go requis ; 8 Go privilégiés ; peut être surexploité
Disque	1 Go d'espace disque libre requis

Tableau 3. Configuration du réseau requise
Type	Description
Accès à Internet	L'emplacement où l'instance Presence est installée a besoin d'une connexion Internet pour communiquer avec AppScan on Cloud.
Accès au réseau local	L'emplacement de l'instance Presence peut accéder à la ressource réseau locale qui fait partie de la tâche. Par exemple, pendant une analyse statique, l'instance Presence peut accéder au référentiel GitHub. Lors du balayage de site privé de l'analyse dynamique, l'instance Presence peut se connecter à l'application Web testée.
Désactiver la nouvelle signature TLS	Le balayage de site privé exige que les organisations qui signent de nouveau le trafic SSL/TLS avec leurs propres certificats excluent les connexions à AppScan on Cloud. Cela garantit une communication ininterrompue et le bon fonctionnement des mécanismes de sécurité. Il est essentiel d'exclure les plages d'adresses IP utilisées par ASoC de la nouvelle signature ou d'autoriser un accès direct à celles-ci, et de s'assurer qu'elles ne sont pas bloquées par votre pare-feu ou proxy. Pour plus d'informations, voir Compréhension de l'examen de site privé.