Initiation
Bienvenue dans la documentation HCL AppScan 360°, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
A propos d'HCL AppScan 360°
HCL AppScan 360° est une solution unifiée de sécurité, de visibilité et de gestion des risques des applications, qui est polyvalente, évolutive et déployable n'importe où.
Nouveautés d' HCL AppScan 360°
Découvrez les nouvelles fonctions qui ont été ajoutées à HCL AppScan 360° et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.
Rôles et flux de travaux
Découvrez les différents flux de travaux et tâches AppScan 360° des différents utilisateurs AppScan 360°.
Exemples de script et d'application
Utilisez ces exemples d'applications pour vous entraîner aux examens avec AppScan 360°.
Installation
En savoir plus sur l'architecture AppScan 360° et sur l'installation du produit.
Configuration de l'authentification des utilisateurs
Authentifiez les utilisateurs pour AppScan 360° à l'aide de l'authentification unique (SSO) ou LDAP.
Mise à jour de la base de données de vulnérabilités liées à l'analyse de la composition logicielle (SCA)
La base de données de vulnérabilités liée à l'analyse de la composition logicielle (SCA) inclut les bases de données de vulnérabilité de sécurité les plus courantes (NVD, Github advisory, Microsoft MSRC), ainsi qu'un large éventail d'avis de sécurité moins connus et de dispositifs de suivi des problèmes de projet Open Source. Les utilisateurs AppScan 360° peuvent activer la mise à jour automatique de la base de données de vulnérabilités SCA lors de l'installation ou configurer la mise à jour manuelle.
Gestion des déploiements AppScan 360°dans My HCLSoftware
AppScan 360° Les licences sont gérées via le portail My HCL Software (MHS). Créez un déploiement de licence dans MHS, spécifiez les droits de licence, téléchargez un fichier de licence depuis MHS, puis chargez ce fichier dans AppScan 360°.
Cette section décrit les éléments de la barre de menus AppScan 360° principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Utilisateurs
La gestion des utilisateurs vous permet de contrôler l'accès aux applications sensibles en les affectant à des groupes d'actifs, puis en ajoutant des utilisateurs spécifiques à ces groupes.
Applications
Une application est une collection d'examens liés au même projet. Il peut s'agir d'un site Web, d'une application de bureau, d'une application mobile, d'un service Web ou de tout composant d'une application. Les applications vous permettent d'évaluer les risques, d'identifier les tendances et de vous assurer que votre projet est conforme aux stratégies du secteur et de l'organisation.
Stratégies de conformité
Vous pouvez appliquer les stratégies de conformité prédéfinies, ainsi que vos propres stratégies de conformité personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.
DevOps
Outils d'intégration d'AppScan 360° dans votre cycle de développement logiciel.
Notifications par e-mail
Utilisez les notifications par e-mail pour être informé de la progression de l'examen, des résultats, des alertes proactives pour les nouveaux CVE ajoutés et d'autres événements AppScan. Cette rubrique décrit comment configurer les paramètres de notification, sélectionner des groupes d'actifs, des applications et des déclencheurs, et gérer les options de distribution.
Examens personnels
Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale (problèmes, par exemple), ou la conformité.
Piste d'audit
La piste d'audit (Organisation > Piste d'audit) consigne l'activité des utilisateurs.
Analyse dynamique
HCL AppScan 360° effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
A propos de l'analyse dynamique (DAST)
Un examen AppScan 360° dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.
Examen dynamique (DAST)
AppScan 360° peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles pour une application Web ou une API Web dans AppScan 360° ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
Examen de site privé avec AppScan Presence
Une instance AppScan Presence sur votre segment de réseau isolé vous permet d'examiner les sites qui ne sont pas directement accessibles par le AppScan 360° en raison de pare-feu internes, d'une isolation VLAN ou de stratégies réseau d'entreprise restrictives., et d'intégrer l'examen dans vos flux de travaux de test fonctionnel interne.
Enregistrement du trafic
Vous pouvez enregistrer le trafic en tant que données d'exploration enregistrée pour les examens DAST à l'aide de l'extension de navigateur AppScan Activity Recorder (pour Chrome ou Edge), du serveur proxy HCL AppScan Traffic Recorder ou d'AppScan Standard.
HCL AppScan Traffic Recorder
HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.
IAST Total
IAST Total (test interactif de sécurité des applications) exploite les capacités IAST pour améliorer les analyses dynamiques (DAST), ce qui réduit les temps d'examen et de résolution tout en découvrant un plus large éventail de vulnérabilités.
Sites privés
La présence d'une instance AppScan Presence sur votre segment de réseau isolé vous permet d'examiner des sites non accessibles depuis le serveur AppScan 360°.
Surveillance interactive
A l'aide d'un agent installé sur votre application, AppScan 360° identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
A propos de la surveillance interactive (IAST)
AppScan 360° peut vérifier que le comportement d'exécution de l'application est normal afin de détecter les vulnérabilités.
Démarrage d'une session IAST
Installez l'agent IAST sur votre serveur d'applications et configurez l'examen.
Déploiement d'IAST
Déployez l'agent IAST sur le serveur d'applications afin qu'il puisse surveiller la communication avec l'application et faire un signalement à AppScan 360°.
Déploiement sur Kubernetes
AppScan prend en charge l'installation automatique de l'agent IAST sur un cluster Kubernetes. À l'aide d'un MutatingAdmissionWebhook, l'agent IAST est automatiquement installé sur n'importe quel pod de démarrage. Vous pouvez installer ou supprimer l'agent à l'aide de scripts Helm ou Webhook.
Déployer sur Azure App Service
Utilisez l'agent IAST pour surveiller les applications qui s'exécutent sur Azure App Service.
IAST à l'aide de l'API REST
Configurez et démarrez un examen IAST, ainsi qu'un déploiement d'agents, via l'API REST.
Fichier de configuration IAST
Configurez un fichier JSON pour remplacer les paramètres IAST par défaut et ne signaler que les vulnérabilités que vous souhaitez connaître.
Paramètres utilisateur
Certains comportements IAST de bas niveau peuvent être contrôlés à l'aide de paramètres utilisateur.
Résultats de l'examen IAST
Une entrée de l'examen interactif (IAST) affiche les résultats depuis le dernier lancement de l'examen.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
À propos de l'analyse de la composition du logiciel
L'analyse de la composition logicielle (SCA) identifie et examine les packages Open Source au sein de votre base de code afin de détecter les vulnérabilités de sécurité potentielles. SCA peut analyser à la fois les fichiers de code source individuels et les artefacts du gestionnaire de packages, tels que les fichiers de configuration et les fichiers de verrouillage, afin de déterminer les packages Open Source dont dépend votre projet.
Configuration système requise pour SCA
Les types de fichiers qu'AppScan 360° est capable d'examiner lorsque vous réalisez un test Open Source.
Analyse des bibliothèques et du code tiers pour détecter les failles de sécurité
Pour analyser les bibliothèques Open Source et le code tiers à la recherche de failles de sécurité, suivez les étapes décrites dans ces rubriques.
Résultats de l'examen SCA
Fonctions disponibles dans les résultats des examens d'analyse SCA.
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Configuration requise par le système pour l'analyse statique
Systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que AppScan 360° est capable d'examiner lorsque vous réalisez une analyse statique.
Balayage des vulnérabilités de sécurité
Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.
Traitement des incidents de l'analyse statique
Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Problèmes
La page Problèmes pour une application n'affiche par défaut que les problèmes non conformes. Vous pouvez appliquer plusieurs filtres pour voir les problèmes dont vous avez besoin et cliquer sur n'importe quel problème pour ouvrir le volet d'informations détaillées sur les problèmes.
Corrélation
AppScan analyse les problèmes détectés par IAST, DAST et SAST, afin d'identifier les liens faibles communs dans le code (corrélations) où plusieurs vulnérabilités peuvent être résolues moyennant un effort de résolution unique ou consolidé.
Groupes de correctifs
Pour le moment, les groupes de correctifs s'appliquent uniquement aux problèmes détectés dans les examens utilisant l'analyse statique.
Rapports
Générez des rapports pour les problèmes détectés dans une application. Envoyez les rapports aux développeurs, auditeurs internes, testeurs de pénétration, responsables et responsable de la sécurité informatique. Les informations relatives à la sécurité peuvent être nombreuses et peuvent être filtrées en fonction de vos besoins.
Résolution
Une fois que les risques sont déterminés et que les vulnérabilités sont hiérarchisées, votre équipe de sécurité peut commencer le processus de résolution.
Intégration à HCL AppScan RapidFix
HCL AppScan RapidFix est une solution d'IA qui automatise le processus de triage et de correction des vulnérabilités de sécurité des applications. HCL AppScan RapidFix s'applique aux résultats SAST.
Réexamen
Après votre premier examen, pendant que vous résolvez des problèmes, vous pouvez à nouveau examiner la même application à plusieurs reprises et écraser les résultats précédents, afin que le tableau de bord affiche toujours les résultats actuels. Lorsque vous effectuez un nouvel examen (au lieu d'en démarrer un nouveau), il écrase le précédent.
Résultats de l'examen IAST
Une entrée de l'examen interactif (IAST) affiche les résultats depuis le dernier lancement de l'examen.
Serveur Model Context Protocol (MCP) AppScan
Le serveur MCP AppScan intègre HCL AppScan 360° directement aux agents et environnements de développement basés sur l'IA. En implémentant le protocole MCP (Model Context Protocol), ce serveur permet aux LLM (tels que Claude ou les modèles s'exécutant dans le code VS) d'accéder en toute sécurité à vos données de sécurité, y compris les résultats SAST, DAST, SCA et IAST, afin de vous aider à trier les problèmes, à analyser les résultats et à automatiser les flux de travaux en langage naturel.
Référence
Quelques questions fréquentes et informations sur l'intégration d'AppScan 360° au cycle de vie du produit (SDLC).
Contact et support
Liens utiles vers des ressources humaines et en ligne.
FAQ
Foire aux questions
Classe de menaces et CWE
Tableaux affichant les classes de menaces des problèmes testés par AppScan 360° et numéros CWE associés.
Format
CSVCette section décrit comment enregistrer les données de réponse au format CSV.
Conformité avec la législation en vigueur aux Etats-Unis
La conformité aux réglementations gouvernementales américaines en matière de sécurité et de technologies de l'information permet de fournir une preuve aux prospects du monde entier que HCL® travaille à rendre ses produits les plus sécurisés du secteur.