Welcome
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse des bibliothèques et du code tiers pour détecter les failles de sécurité
Pour analyser les bibliothèques Open Source et le code tiers à la recherche de failles de sécurité, suivez les étapes décrites dans ces rubriques.
Configurer un examen Open Source dans AppScan 360°

Initiation
Bienvenue dans la documentation HCL AppScan 360°, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Installation
En savoir plus sur l'architecture AppScan 360° et sur l'installation du produit.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Navigation
Cette section décrit les éléments de la barre de menus AppScan 360° principale et fournit des liens vers des informations plus détaillées.
Analyse dynamique
HCL AppScan 360° effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
Surveillance interactive
A l'aide d'un agent installé sur votre application, AppScan 360° identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
- À propos de l'analyse de la composition du logiciel
  L'analyse de la composition logicielle (SCA) identifie et examine les packages Open Source au sein de votre base de code afin de détecter les vulnérabilités de sécurité potentielles. SCA peut analyser à la fois les fichiers de code source individuels et les artefacts du gestionnaire de packages, tels que les fichiers de configuration et les fichiers de verrouillage, afin de déterminer les packages Open Source dont dépend votre projet.
- Configuration système requise pour SCA
  Les types de fichiers qu'AppScan 360° est capable d'examiner lorsque vous réalisez un test Open Source.
- Analyse des bibliothèques et du code tiers pour détecter les failles de sécurité
  Pour analyser les bibliothèques Open Source et le code tiers à la recherche de failles de sécurité, suivez les étapes décrites dans ces rubriques.
  - Configurer un examen Open Source dans AppScan 360°
    - Statut de l'examen
    - Examens personnels
      Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale (problèmes, par exemple), ou la conformité.
  - Configuration d'un examen à l'aide d'AppScan Go!
    AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Exécutez l'examen dans le service ou utilisez un plug-in pour l'automatiser.
  - Génération d'un fichier IRX à l'aide de l'interface de ligne de commande
    Pour lancer une analyse de vos fichiers, vous devez générer un fichier IRX à envoyer pour examen. Pour générer le fichier IRX à l'aide de l'interface de ligne de commande, suivez les instructions ci-dessous.
  - Génération d'un fichier IRX à l'aide d'un plug-in ou d'un IDE
  - Runtime SCA (Software Composition Analysis)
    Identifiez et gérez les vulnérabilités dans les composants et bibliothèques Open Source utilisés par une application au moment de l'exécution.
- Résultats de l'examen SCA
  Fonctions disponibles dans les résultats des examens d'analyse SCA.
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Référence
Quelques questions fréquentes et informations sur l'intégration d'AppScan 360° au cycle de vie du produit (SDLC).

Configurer un examen Open Source dans AppScan 360°

Procédure

Pour examiner votre application :

Téléchargez et configurez :
- Un plug-in pris en charge.
  Des informations complètes sur les plug-ins pris en charge sont répertoriées sur la page Intégrations.
- AppScan Go!, l'interface utilisateur graphique de l'utilitaire client.
- L'Utilitaire de ligne de commande Static Analyzer, tel que décrit dans Utilisation de la Utilitaire de ligne de commande Static Analyzer.
Examinez ou générez un fichier IRX pour votre application, ou identifiez les fichiers de code source à analyser.
1. Pour générer un fichier IRX à l'aide de l'interface de ligne de commande, suivez les instructions dans la section Génération d'un fichier IRX à l'aide de l'interface de ligne de commande. Vous pouvez examiner tous les langages pris en charge depuis l'interface de ligne de commande.
  
  Remarque : Pour examiner uniquement en Open Source, utilisez la commande -oso avec appscan prepare.
2. Pour générer un fichier IRX à l'aide d'AppScan Go!, suivez les instructions dans la section Configuration d'un examen à l'aide d'AppScan Go!.
3. Pour examiner un fichier de code source, identifiez le fichier .zip, .war, .jar ou .ear approprié.
  Remarque : Les fichiers de code source qui ne sont pas des fichiers .war, .jar ou .ear doivent être compressés dans un fichier .zip. Si un fichier .zip inclut des métadonnées .git (un référentiel GitHub), AppScan 360° prend en charge un référentiel (fichier .git) par examen.
Remarque : Lorsque vous examinez du code ou générez un fichier IRX, vous pouvez recevoir un message relatif à la mise à jour vers l'Utilitaire de ligne de commande Static Analyzer le plus récent. Voir Support de l'utilitaire de ligne de commande (CLI).
Si vous ne l'avez pas encore fait : Créez une application pour vos examens.
Utilisez l'assistant Créer un examen pour commencer à configurer votre examen. Démarrez l'assistant depuis Application > Application > Examens > Créer un examen > Analyse de la composition du logiciel SCA > Créer un examen.
Onglet Charger le fichier : Glissez-déposez le fichier .irx à numériser dans la boîte de dialogue ou cliquez sur la case pour rechercher le fichier.
Cliquez sur Vérifier et examiner pour accéder à la boîte de dialogue du récapitulatif.
Éditer le nom par défaut qui a été donné à l'examen. Facultatif.
Cliquez sur Lancer l'examen maintenant.