Welcome
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Examen dynamique (DAST)
ASoC peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles pour une application Web ou une API Web dans ASoC ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
Création d'un examen API
ASoC prend en charge différents flux de travaux pour le balayage d'une API Web. Si vous disposez d'une collection Postman, un fichier de spécifications OpenAPI ou le trafic enregistré de votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen en utilisant la configuration des examens API. Vous pouvez également utiliser les fichiers de collection Postman ou les fichier de spécifications OpenAPI avec l'API REST.
Utiliser un fichier de spécifications OpenAPI
Vous pouvez utiliser un fichier de spécification OpenAPI pour analyser automatiquement votre API. Cela garantit un examen plus approfondi et plus précis, ce qui permet de trouver les problèmes potentiels sur l'ensemble de l'API.

Initiation
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan on Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
- A propos de l'analyse dynamique (DAST)
  Un examen ASoC dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.
- Examen dynamique (DAST)
  ASoC peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles pour une application Web ou une API Web dans ASoC ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
  - Création d'un examen d'application Web
    Fournissez l'URL de départ et les données d'identification de l'utilisateur pour l'examen, sélectionnez le type de site, puis (à défaut) vérifiez votre droit à examiner le site.
  - Création d'un examen API
    ASoC prend en charge différents flux de travaux pour le balayage d'une API Web. Si vous disposez d'une collection Postman, un fichier de spécifications OpenAPI ou le trafic enregistré de votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen en utilisant la configuration des examens API. Vous pouvez également utiliser les fichiers de collection Postman ou les fichier de spécifications OpenAPI avec l'API REST.
    - Utilisation d'une collection Postman
      Si vous disposez d'une collection de requêtes Postman adressées à votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen en utilisant l'assistant de configuration des examens API ou l'API REST.
    - Utiliser un fichier de spécifications OpenAPI
      Vous pouvez utiliser un fichier de spécification OpenAPI pour analyser automatiquement votre API. Cela garantit un examen plus approfondi et plus précis, ce qui permet de trouver les problèmes potentiels sur l'ensemble de l'API.
    - Utilisation du trafic enregistré
      Si vous disposez d'un trafic enregistré de votre API Web, vous pouvez l'importer et l'utiliser comme base pour un examen. Par exemple, si des nœuds finaux d'API ne font pas partie de la collection Postman ou si vous disposez d'une automatisation fonctionnelle d'API, vous pouvez enregistrer le trafic lorsque l'automatisation d'API s'exécute et alimenter le trafic vers AppScan pour des tests de sécurité.
  - Création d'un examen à partir d'un modèle
    Vous pouvez charger votre propre modèle de fichier AppScan Standard (SCANT) pour exécuter un examen ASoC.
  - Création d'un examen à partir d'un fichier d'examen
    Vous pouvez charger votre propre fichier d'examen AppScan Standard (SCAN) pour exécuter un examen ASoC.
  - Création d'un examen incrémentiel
  - Stratégies de test
    Les stratégies de test sont une liste de paramètres d'examen de sécurité des applications Web. Vous pouvez sélectionner l'une des stratégies de test prédéfinies disponibles lors de l'exécution d'examens à partir de l'interface utilisateur ASoC, mais d'autres stratégies peuvent être appliquées avec des examens importés ou des examens exécutés à partir de l'API. Vous pouvez également télécharger des stratégies de test personnalisé que vous avez créées dans AppScan Standard et AppScan Enterprise.
  - Automatisation des tests
    Intégrez l'examen dynamique dans vos tests fonctionnels.
  - Certificats client
  - Analyse de résultats intelligente (IFA)
    L'analyse de résultats intelligente (IFA) utilise l'intelligence artificielle (IA) et l'apprentissage automatique (ML) pour analyser les données, découvrir les schémas et faire des prévisions, transformant ainsi les données en informations exploitables. L'analyse IFA va au-delà de l'analyse régulière des données en utilisant des méthodes avancées pour trouver des significations plus approfondies et prendre des décisions intelligentes.
- AppScan Presence
  Une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet, ainsi que d'intégrer l'examen à vos tests fonctionnels.
- Enregistrement du trafic
  Vous pouvez enregistrer le trafic en tant que données d'exploration enregistrée pour les examens DAST à l'aide de l'extension de navigateur AppScan Activity Recorder (pour Chrome ou Edge), du serveur proxy HCL AppScan Traffic Recorder ou d'AppScan Standard.
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.
- IAST Total
  IAST Total (test interactif de sécurité des applications) exploite les capacités IAST pour améliorer les analyses dynamiques (DAST), ce qui réduit les temps d'examen et de résolution tout en découvrant un plus large éventail de vulnérabilités.
- AppScan Standard
- Sites privés
  La présence d'une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Création d'un examen API à l'aide d'un fichier de spécifications OpenAPI

Vous pouvez utiliser un fichier de spécification OpenAPI pour analyser automatiquement votre API. Cela garantit un examen plus approfondi et plus précis, ce qui permet de trouver les problèmes potentiels sur l'ensemble de l'API.

Avant de commencer

Sauvegardez votre site avant le balayage.
Si vous ne l'avez pas encore fait, créez une application pour vos examens.
Vérifiez auprès de ASoC que vous avez l'autorisation d'examiner le domaine (voir Vérification d'un domaine), ou vous pouvez autoriser des domaines sans vérification à l'aide de Gestion de domaines.
Si votre site n'est pas disponible en ligne et que AppScan Presence n'existe pas encore sur le serveur : Création de l'instance AppScan Presence.
En cas d'examen d'un site de production en direct, consultez d'abord à la section Quelles modifications dois-je apporter lors de l'examen d'un site de production opérationnel ?

Procédure

Sur la page Application, cliquez sur Créer un examen, puis cliquez sur Créer un examen sous Analyse dynamique (DAST).
Dans la boîte de dialogue Créer un examen : DAST, choisissez Examen d'API pour lancer le processus de configuration.
Sélectionnez la méthode d'exploration de l'API, OpenAPI.
Vous pouvez ajouter le fichier de spécification en tant qu'URL ou télécharger le fichier.
1. Sélectionnez URL, puis saisissez l'URL dans le champ URL OpenAPI.
2. Sélectionnez Fichier, cliquez sur Sélectionner le fichier de spécification OpenAPI pour choisir le fichier à partir de votre lecteur local, puis cliquez sur Ouvrir.
  Remarque :
  - AppScan accepte uniquement les formats JSON ou YAML pour le fichier de spécifications.
  - AppScan on Cloud limite les chargements de fichiers à 2 Go.
Dans le champ URL de base, saisissez un domaine vérifié ou autorisé.
Configurez les autres options d'examen comme requis, telles que l'authentification, les stratégies de test et d'autres paramètres avancés. Pour plus d'informations, voir Création d'un examen API.
Cliquez sur Examen pour exécuter l'examen et détecter les vulnérabilités dans votre API Web.

Que faire ensuite

Vous pouvez afficher le statut de l'analyse sur la page Examens et sessions.