Accueil
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Paramètres utilisateur
Certains comportements IAST de bas niveau peuvent être contrôlés à l'aide de paramètres utilisateur.

Mise en route
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
- A propos de la surveillance interactive (IAST)
  ASoC peut vérifier que le comportement d'exécution de l'application est normal afin de détecter les vulnérabilités.
- Démarrage d'une session IAST
  Installez l'agent IAST sur votre serveur d'applications et configurez l'examen.
- Déploiement d'un agent IAST
  Déployez l'agent IAST sur le serveur d'applications afin qu'il puisse surveiller la communication avec l'application et faire un signalement à ASoC.
- Déploiement sur Kubernetes
  AppScan prend en charge l'installation automatique de l'agent IAST sur un cluster Kubernetes. A l'aide d'un MutatingAdmissionWebhook, l'agent IAST est automatiquement installé sur n'importe quel pod de démarrage.
- Déployer sur Azure App Service
  Utilisez l'agent IAST pour surveiller les applications qui s'exécutent sur Azure App Service.
- OWASP Benchmark avec l'agent IAST
- IAST à l'aide de l'API REST
  Configurez et démarrez un examen IAST, ainsi qu'un déploiement d'agents, via l'API REST.
- Fichier de configuration IAST
  Configurez un fichier JSON pour remplacer les paramètres IAST par défaut et ne signaler que les vulnérabilités que vous souhaitez connaître.
- Paramètres utilisateur
  Certains comportements IAST de bas niveau peuvent être contrôlés à l'aide de paramètres utilisateur.
- Résultats de l'examen IAST
  Une entrée de l'examen interactif (IAST) affiche les résultats depuis le dernier lancement de l'examen.
- Dépannage IAST
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Variables d'environnement IAST et propriétés Java

Certains comportements IAST de bas niveau peuvent être contrôlés à l'aide de paramètres utilisateur.

Voici quelques options, triées en fonction de leur priorité :

Définir une variable d'environnement
Ajouter une propriété Java à l'aide de -Dproperty_name=property_value dans la commande Java
Ajouter une propriété au fichier MANIFEST.MF, dans Secagent.war sous le répertoire META-INF


Nom de variable d'environnement	Nom de la propriété Java/Nom du manifeste	Description	Valeur
`IAST_LOG`	`secagent.log`	Spécifiez un fichier à utiliser comme journal IAST. Remarque : Le fichier doit exister.	Nom du fichier
`FLUSH_ON_EVERY_WRITE`	`secagentFlushOnEveryWrite`	Lorsqu'elles sont définies, les impressions de journal ne sont pas mises en mémoire tampon. Cela est utile pour les sessions de débogage afin d'obtenir le remplissage immédiat du journal.	Vrai/Faux
`IAST_MEMORY_DEBUG`	`secagentMemoryDebug`	Active les impressions de débogage d'utilisation de la mémoire toutes les 10 secondes environ.	Vrai/Faux
`IAST_GC_DEBUG`	`secagentGcDebug`	Active les impressions de débogage d'activité GC.	Vrai/Faux
`IAST_ACCESS_TOKEN`	n/a	Jeton d'accès pour la communication avec la session IAST dans ASoC et AppScan Enterprise. Important : La définition de cette variable remplace la valeur par défaut imbriquée dans l'agent lorsqu'elle est téléchargée depuis ASoC ou AppScan Enterprise.	Pour un agent existant, vous pouvez l'obtenir en sélectionnant Générer une nouvelle clé dans le menu déroulant.
`IAST_ACCESS_TOKEN`	n/a	Pertinent pour les utilisateurs AppScan Enterprise : URL HOTE ASE Important : La définition de cette variable remplace la valeur par défaut imbriquée dans l'agent lorsqu'elle est téléchargée depuis ASoC ou AppScan Enterprise.	URL ou IP pour accéder à l'instance AppScan Enterprise.
`IAST_RUNTIME_SCA`	n/a	Active la détection en temps réel des bibliothèques en plus de la fonctionnalité IAST standard.	Vrai/Faux
`IAST_SCA_PROD`	n/a	Active la détection d'exécution des bibliothèques et désactive la fonctionnalité IAST standard.	Vrai/Faux

Exemples

Définition du fichier journal via la propriété Java :

Java -Dsecagent.log=/tmp/myLogDir/MySecagentLog.txt <myApp.jar>

Définition du jeton ASoC via une variable d'environnement :

Définissez IAST_ACCESS_TOKEN RUO5+3JYKRKRSNH7HEIyY3HQWZrWYnNMDCRL0HAw=