Welcome
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Balayage des vulnérabilités de sécurité
Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.
Fonctions spécifiques au langage
Présentation technique : Processus de configuration simplifié pour l'analyse des flux de données .NET
AppScan 360° offre un nouveau moyen de générer un fichier .irx pour examiner les applications .NET, à l'aide de l'analyse des flux de données pour le code source .NET (C# et VB.NET),

Initiation
Bienvenue dans la documentation HCL AppScan 360°, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Installation
En savoir plus sur l'architecture AppScan 360° et sur l'installation du produit.
Navigation
Cette section décrit les éléments de la barre de menus AppScan 360° principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
HCL AppScan 360° effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement.
Surveillance interactive
A l'aide d'un agent installé sur votre application, AppScan 360° identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
- Configuration requise par le système pour l'analyse statique
  Systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que AppScan 360° est capable d'examiner lorsque vous réalisez une analyse statique.
- Balayage des vulnérabilités de sécurité
  Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.
  - Configurer un examen dans AppScan 360°
  - Configuration d'un examen à l'aide d'AppScan Go!
    AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Exécutez l'examen dans le service ou utilisez un plug-in pour l'automatiser.
  - Utilisation de la Utilitaire de ligne de commande Static Analyzer
    L'Utilitaire de ligne de commande Static Analyzer (SAClientUtil) permet de générer un fichier IRX qui peut être examiné dans AppScan on Cloud ou dans AppScan 360°. La commande appscan prepare est prise en charge pour une utilisation avec Analyse statique AppScan 360°.
  - A propos du balayage à l'aide d'un fichier d'archive
  - Fonctions spécifiques au langage
    - Génération d'un IRX pour un projet .NET Core
      L'examen de projets .NET Core est pris en charge par le biais de l'interface de ligne de commande et le plug-in Visual Studio 2022 sur Windows uniquement.
    - Attributs de code source .NET pris en charge
      Lorsque l'analyse statique est utilisée pour examiner .NET, les attributs de méthode [ValidatorMethod], [CallbackMethod] et [SuppressSecurityTrace] sont pris en charge. Lorsque ces attributs sont utilisés, [ValidatorMethod()], [CallbackMethod()] et [SuppressSecurityTrace()] sont également acceptés.
    - Annotations du code source Java prises en charge
      Lors de l'utilisation de l'analyse statique pour examiner Java™, les annotations au niveau de la méthode @ValidatorMethod, @CallbackMethod et @SuppressSecurityTrace sont prises en charge.
    - Gestion d'exclusions Java et .NET tierces
      Par défaut, le code Java et .NET tiers n'est pas examiné lors de la génération de fichier IRX. Vous pouvez gérer le code tiers exclu en suivant les instructions de cette rubrique.
    - Présentation technique : Processus de configuration simplifié pour l'analyse des flux de données .NET
      AppScan 360° offre un nouveau moyen de générer un fichier .irx pour examiner les applications .NET, à l'aide de l'analyse des flux de données pour le code source .NET (C# et VB.NET),
  - Résultats des examens d'analyse statique
    Le moteur de lecture SAST utilise l'IA et des technologies complémentaires pour améliorer la précision de la détection et rationaliser l'analyse des résultats.
- Traitement des incidents de l'analyse statique
  Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Serveur Model Context Protocol (MCP) AppScan
Le serveur MCP AppScan intègre HCL AppScan 360° directement aux agents et environnements de développement basés sur l'IA. En implémentant le protocole MCP (Model Context Protocol), ce serveur permet aux LLM (tels que Claude ou les modèles s'exécutant dans le code VS) d'accéder en toute sécurité à vos données de sécurité, y compris les résultats SAST, DAST, SCA et IAST, afin de vous aider à trier les problèmes, à analyser les résultats et à automatiser les flux de travaux en langage naturel.
Référence
Quelques questions fréquentes et informations sur l'intégration d'AppScan 360° au cycle de vie du produit (SDLC).

Présentation technique : Processus de configuration simplifié pour l'analyse des flux de données .NET

AppScan 360° offre un nouveau moyen de générer un fichier .irx pour examiner les applications .NET, à l'aide de l'analyse des flux de données pour le code source .NET (C# et VB.NET),

Actuellement, lorsque AppScan 360° rencontre un fichier de solution Visual Studio (fichier .sln), il crée la solution et les projets pour générer les assemblages .NET (fichiers .dll et .exe), puis traite ces assemblages .NET pour produire le fichier .irx soumis pour analyse.

Lorsque cette nouvelle fonctionnalité est activée par l'utilisateur, AppScan 360° peut traiter directement le code source de Visual Studio pour produire le fichier .irx à analyser. Cela se traduit par :

Génération du fichier .irx plus rapide.
Flexibilité des systèmes : la disponibilité de l'environnement de création pour compiler le code source en assemblages .NET n'est pas nécessaire.
Résultats du flux de données source-to-sink pour le code source.
Prise en charge de .NET multiplateforme.

Activez cette fonctionnalité de l'une des trois manières suivantes :

Utilisation d'une variable d'environnement pour appliquer globalement :
- Windows : set APPSCAN_OPTS=-DNewDotNetEngine
- Linux/Mac : export APPSCAN_OPTS="-DNewDotNetEngine"
Ajoutez un paramètre à la appscan prepare commande lorsque vous utilisez l'Utilitaire de ligne de commande Static Analyzer :
```
appscan.bat prepare -DNewDotNetEngine
```

Spécifiez un attribut dans appscan-config.xml :

Dans l'élément Configuration :

<Configuration NewDotNetEngine="true">
    <Targets>
        <Target path="."/>
    </Targets>
</Configuration>

Une fois activé, lorsqu'un fichier de solution Visual Studio (fichier .sln) est trouvé lors de la configuration des examens, tous les fichiers source C# (.cs) et VB.NET (.vb) sont traités pendant la génération du fichier .irx. Après avoir analysé le fichier .irx dans AppScan 360°, les résultats montrant les traces Source-to-Sink sont disponibles dans les résultats de l'examen.