Welcome
Analyse dynamique
HCL AppScan 360° effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
Examen de site privé avec AppScan Presence
Une instance AppScan Presence sur votre segment de réseau isolé vous permet d'examiner les sites qui ne sont pas directement accessibles par le AppScan 360° en raison de pare-feu internes, d'une isolation VLAN ou de stratégies réseau d'entreprise restrictives., et d'intégrer l'examen dans vos flux de travaux de test fonctionnel interne.
Configuration système requise

Initiation
Bienvenue dans la documentation HCL AppScan 360°, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Installation
En savoir plus sur l'architecture AppScan 360° et sur l'installation du produit.
Navigation
Cette section décrit les éléments de la barre de menus AppScan 360° principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
HCL AppScan 360° effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
- A propos de l'analyse dynamique (DAST)
  Un examen AppScan 360° dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.
- Examen dynamique (DAST)
  AppScan 360° peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles pour une application Web ou une API Web dans AppScan 360° ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
- Examen de site privé avec AppScan Presence
  Une instance AppScan Presence sur votre segment de réseau isolé vous permet d'examiner les sites qui ne sont pas directement accessibles par le AppScan 360° en raison de pare-feu internes, d'une isolation VLAN ou de stratégies réseau d'entreprise restrictives., et d'intégrer l'examen dans vos flux de travaux de test fonctionnel interne.
  - Configuration système requise
  - Création de l'instance Presence
    Pour les applications Web privées ou pour l'intégration d'un examen à votre procédure de test fonctionnel, vous devez créer une instance une instance AppScan Presence, avec accès à l'application Web ou au serveur back-end et à l'environnement AppScan 360°. Les connexions proxy sont prises en charge.
  - Démarrage de l'instance Presence
  - Configuration d'un proxy Private Site Server
    Si votre réseau privé nécessite Private Site Server pour utiliser un proxy pour la connexion à l'application Web ou à un serveur back-end (proxy interne) ou au serveur AppScan 360° (proxy sortant), configurez-le de la façon suivante.
  - Configuration d'un fichier PAC
    Si un fichier d'auto-configuration de proxy (PAC) est nécessaire pour accéder aux différents domaines de votre site, configurez l'instance AppScan Presence comme suit.
  - Renouvellement de la clé Presence
    Lorsque vous téléchargez l'instance Presence pour la première fois, elle contient une clé d'activation. Lorsque cette clé arrive à expiration, vous devez la remplacer par une clé valide.
  - Fichiers journaux
  - Résolution des problèmes AppScan Presence
    Tâches de dépannage pour les erreurs trouvées lors de l'utilisation d'AppScan Presence dans un environnement AppScan 360°..
- Enregistrement du trafic
  Vous pouvez enregistrer le trafic en tant que données d'exploration enregistrée pour les examens DAST à l'aide de l'extension de navigateur AppScan Activity Recorder (pour Chrome ou Edge), du serveur proxy HCL AppScan Traffic Recorder ou d'AppScan Standard.
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.
- IAST Total
  IAST Total (test interactif de sécurité des applications) exploite les capacités IAST pour améliorer les analyses dynamiques (DAST), ce qui réduit les temps d'examen et de résolution tout en découvrant un plus large éventail de vulnérabilités.
- AppScan Standard
- Sites privés
  La présence d'une instance AppScan Presence sur votre segment de réseau isolé vous permet d'examiner des sites non accessibles depuis le serveur AppScan 360°.
- Résolution des problèmes de l'analyse dynamique
Surveillance interactive
A l'aide d'un agent installé sur votre application, AppScan 360° identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Serveur Model Context Protocol (MCP) AppScan
Le serveur MCP AppScan intègre HCL AppScan 360° directement aux agents et environnements de développement basés sur l'IA. En implémentant le protocole MCP (Model Context Protocol), ce serveur permet aux LLM (tels que Claude ou les modèles s'exécutant dans le code VS) d'accéder en toute sécurité à vos données de sécurité, y compris les résultats SAST, DAST, SCA et IAST, afin de vous aider à trier les problèmes, à analyser les résultats et à automatiser les flux de travaux en langage naturel.
Référence
Quelques questions fréquentes et informations sur l'intégration d'AppScan 360° au cycle de vie du produit (SDLC).

Configuration système requise pour l'instance AppScan Presence

Les exigences suivantes en matière de système d'exploitation s'appliquent au système sur lequel l'instance AppScan Presence est installée. Dans tous les cas, seule la version 64 bits est prise en charge.

Tableau 1. Systèmes d'exploitation pris en charge
SE	Plateforme
Windows™	Windows™ 11
	Windows™ Server 2022
	.NET 8
Linux™	Red Hat Enterprise Linux™ (RHEL) version 8, version 9
	openSUSE Leap 15.3
	Ubuntu™ v18.04, v20.04, v22.04
	.NET 8
Remarque : Bien que .NET 8 prenne en charge une plateforme particulière, cela ne signifie pas automatiquement que Presence est prise en charge sur cette plateforme.

Tableau 2. Mémoire requise
Type	Mémoire
UC	2 coeurs requis ; 4 coeurs privilégiés ; peut être surexploité
RAM	4 Go requis ; 8 Go privilégiés ; peut être surexploité
Disque	1 Go d'espace disque libre requis

Tableau 3. Configuration du réseau requise
Type	Description
Accès au réseau	L'emplacement de l'instance Presence a besoin d'une connexion pour communiquer avec AppScan 360°.
Accès au réseau local	L'emplacement de l'instance Presence peut accéder à la ressource réseau locale qui fait partie de la tâche. Par exemple, pendant une analyse statique, l'instance Presence peut accéder au référentiel GitHub. Lors du balayage de site privé de l'analyse dynamique, l'instance Presence peut se connecter à l'application Web testée.
Désactiver la nouvelle signature TLS	L'examen de site privé exige que les organisations qui signent de nouveau le trafic SSL/TLS avec leurs propres certificats excluent les connexions à AppScan 360°. Cela garantit une communication ininterrompue et le bon fonctionnement des mécanismes de sécurité. Il est essentiel d'exclure les plages d'adresse IP utilisées par AppScan 360° de la nouvelle signature ou d'autoriser un accès direct à celles-ci, et de s'assurer qu'elles ne sont pas bloquées par votre pare-feu ou proxy.