Accueil
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
DevOps
Outils d'intégration d'ASoC dans votre cycle de développement logiciel.
API REST
L'interface d'API REST intégrée vous permet de visualiser les services Web RESTful. La documentation API est élaborée à l'aide de Swagger. Vous pouvez y tester des opérations API et consulter instantanément les résultats afin d'examiner vos applications plus rapidement.
Génération de clés d'API
Utilisez un ID de clé et une clé secrète pour accéder aux API REST AppScan sur Cloud et vous connecter à partir de certains outils client ASoC (par exemple, depuis le plug-in Jenkins et les plug-ins Utilitaire de ligne de commande Static Analyzer et IDE).

Mise en route
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
- Utilisateurs
  La gestion des utilisateurs vous permet de contrôler l'accès aux applications sensibles en les affectant à des groupes d'actifs, puis en ajoutant des utilisateurs spécifiques à ces groupes.
- Applications
  Une application est une collection d'examens liés au même projet. Il peut s'agir d'un site Web, d'une application de bureau, d'une application mobile, d'un service Web ou de tout composant d'une application. Les applications vous permettent d'évaluer les risques, d'identifier les tendances et de vous assurer que votre projet est conforme aux stratégies du secteur et de l'organisation.
- Stratégies
  Vous pouvez appliquer les stratégies prédéfinies, ainsi que vos propres stratégies personnalisées, pour n'afficher que les données relatives aux problèmes qui vous sont propres.
- DevOps
  Outils d'intégration d'ASoC dans votre cycle de développement logiciel.
  - API REST
    L'interface d'API REST intégrée vous permet de visualiser les services Web RESTful. La documentation API est élaborée à l'aide de Swagger. Vous pouvez y tester des opérations API et consulter instantanément les résultats afin d'examiner vos applications plus rapidement.
    - Présentation technique de la mise à niveau de l'API REST vers la v4
      La version 4.0 de l'API REST apporte de nombreuses améliorations et optimisations par rapport à la version précédente (v2). L'API v4 assure la compatibilité en utilisant le même jeton d'accès que la v2, ce qui facilite la migration progressive de votre code vers la v4 tout en continuant à utiliser le jeton existant. Le préfixe du chemin pour l'API v4 est passé de « /api/v2 » à « /api/v4/ ». Bien que de nombreuses fonctions conservent leur nom et leur modèle, garantissant ainsi une transition simple de la « v2 » à la « v4 », certaines fonctions ont subi des modifications. Cette rubrique sert de guide technique et décrit les principales modifications introduites dans l'API v4.
    - Génération de clés d'API
      Utilisez un ID de clé et une clé secrète pour accéder aux API REST AppScan sur Cloud et vous connecter à partir de certains outils client ASoC (par exemple, depuis le plug-in Jenkins et les plug-ins Utilitaire de ligne de commande Static Analyzer et IDE).
    - ODonnées
      Cette section fournit des informations et conseils pour l'utilisation de l'Open Data Protocol (OData) via l'API ASoC.
    - Exporter au format CSV
      Cette section décrit comment enregistrer les données de réponse au format CSV.
  - Webhooks
    Les webhooks peuvent être utilisés pour recevoir des notifications à propos d'événements qui se produisent dans AppScan sur Cloud.
  - Intégrations
- Examens personnels
  Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale (problèmes, par exemple), ou la conformité.
- Statut de l'examen
- Piste d'audit
  La piste d'audit (Organisation > Piste d'audit) consigne l'activité des utilisateurs.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Génération de clés d'API

Utilisez un ID de clé et une clé secrète pour accéder aux API REST AppScan sur Cloud et vous connecter à partir de certains outils client ASoC (par exemple, depuis le plug-in Jenkins et les plug-ins Utilitaire de ligne de commande Static Analyzer et IDE).

Pourquoi et quand exécuter cette tâche

Un ID de clé est propre à chaque utilisateur. Si vous ne disposez pas d'un ID de clé, ou si vous avez perdu votre clé secrète, vous pouvez générer une nouvelle combinaison. Pour générer une nouvelle clé, deux choix s'offrent à vous :

Procédure

Accédez à la page Clé d'API au service AppScan sur Cloud :
- Utilisateurs du centre de données d'Amérique du Nord : https://cloud.appscan.com/main/apikey
- Utilisateurs du centre de données d'Europe occidentale : https://eu.cloud.appscan.com/main/apikey
Générez la clé via l'interface utilisateur :
1. Sélectionnez Outils () > API.
2. Cliquez sur Générer, et prenez note de l'ID et du mot de passe de clé afin de les consigner.
  
  Remarque : Vous ne pouvez pas récupérer le mot de passe de clé après avoir quitté cette page. Un nouvel ID et un nouveau mot de passe de clé sont créés à chaque fois que vous cliquez sur Générer. L'ID de clé précédent sera supprimé et remplacé par le nouveau.

Que faire ensuite

Dans Swagger, utilisez l'ID de clé et la clé secrète dans l'API REST /api/v4/Account/ApiKeyLogin pour générer un nouveau jeton Bearer. Ensuite, utilisez le jeton généré dans le champ du jeton d'accès de l'interface de Swagger.