Serveur Model Context Protocol (MCP) AppScan
Le serveur MCP AppScan intègre HCL AppScan on Cloud directement aux agents et environnements de développement basés sur l'IA. En implémentant le protocole MCP (Model Context Protocol), ce serveur permet aux LLM (tels que Claude ou les modèles s'exécutant dans le code VS) d'accéder en toute sécurité à vos données de sécurité, y compris les résultats SAST, DAST, SCA et IAST, afin de vous aider à trier les problèmes, à analyser les résultats et à automatiser les flux de travaux en langage naturel.
Présentation
- « Quels sont les problèmes SAST critiques dans l'application WebGoat ?»
- « Résumer les conseils de résolution pour le problème n° 5. »
- « Trouver toutes les bibliothèques Open Source présentant des vulnérabilités de gravité élevée. »
Outils
- Accès complet aux données : Interrogez les résultats obtenus par toutes les technologies d'examen (statique, dynamique, composition logicielle et analyse interactive).
- Gestion d'application et d'examen : Récupérez les détails d'applications, d'examens et d'exécutions d'examens spécifiques.
- Triage des problèmes : Filtrez les problèmes par gravité, statut ou portée (niveau d'application ou d'examen).
- Analyse détaillée : Récupérez des détails complets sur le problème, notamment l'emplacement, les informations de trace et des conseils de résolution spécifiques.
- Informations SCA : Interrogez les bibliothèques Open Source et les informations de licence utilisées dans vos projets.
- Stratégie : Filtrez les résultats en fonction des stratégies de sécurité.
Configuration
Pour utiliser le serveur MCP AppScan, configurez votre client MCP (l'extension VS Code MCP ou Claude Desktop, par exemple) avec vos informations d'identification HCL AppScan on Cloud.
- AppScan on Cloud Compte : Un ASoC compte actif.
- Clés d'API : Générez un ID de clé d'API et un secret à partir du tableau de bordASoC.
Configuration de VS Code
Pour ajouter AppScan à VS Code, modifiez votre fichier de configuration JSON MCP (généralement situé dans vos paramètres d'extension MCP). Ajoutez la définition du serveur et configurez les invites d'entrée pour la gestion sécurisée des informations d'identification.
Ajoutez les éléments suivants à votre configuration :
{
"servers": {
"appscan-mcp": {
"type": "http",
"url": "https://cloud.appscan.com/mcp",
"headers": {
"X-API-KEY": "${input:appscan_api_key_id}:${input:appscan_api_key_secret}"
}
}
},
"inputs": [
{
"id": "appscan_api_key_id",
"type": "promptString",
"description": "AppScan API Key Id",
"default": ""
},
{
"id": "appscan_api_key_secret",
"type": "promptString",
"description": "AppScan API Key Secret",
"default": "",
"password": true
}
]
}
Meilleures pratiques : À l'aide de l'invite appscan-doc
Le serveur inclut une invite intégrée nommée appscan-doc. Cette invite charge le contexte essentiel, les définitions de schéma et les règles dans la fenêtre contextuelle du modèle d'IA. Elle explique comment créer des requêtes OData, gérer correctement les GUID (sans guillemets, par exemple) et paginer les résultats.
Vous devez activer explicitement cette invite avant de commencer votre analyse. La méthode dépend de votre client :
VS Code
Commencez par saisir /mcp dans l'interface de discussion. Une liste des invites disponibles s'affiche. Sélectionnez appscan-doc dans la liste.
- Cliquez sur le bouton + Référence dans la fenêtre de discussion.
- Sélectionnez l'option pour afficher et appliquer les invites MCP.
- Sélectionnez appscan-doc dans les options disponibles.
Windsurf
Saisissez explicitement la commande au format /<mcp-server-name>/<prompt-name>.
/appscan-mcp/appscan-docPourquoi est-ce important ? Une fois chargé, l'IA peut interroger correctement l'API. Par exemple, elle utilise des valeurs de chaîne pour les enums (Status eq 'Open', par exemple) au lieu de valeurs numériques.
Correction directe du code
La possibilité d'appliquer des correctifs directement à votre code est l'un des principaux avantages que présente l'utilisation de MCP AppScan dans un IDE.
Si le code source examiné (par SAST, DAST, SCA ou IAST) est disponible dans votre espace de travail IDE, le modèle d'IA peut associer les résultats de sécurité aux fichiers locaux. L'outil get_issue_details indique à l'IA l'emplacement exact du fichier, des informations de trace et des conseils de résolution. L'IA peut alors associer ces informations à vos fichiers ouverts et appliquer les modifications de code nécessaires.
- Ouvrir un projet : Assurez-vous que le projet examiné est ouvert dans votre IDE (VS Code, Windsurf, etc.).
- Demander une correction : Demandez à l'IA de résoudre des problèmes spécifiques. « Obtenir les résultats SAST de gravité élevée pour l'application PaymentService. Trouver les problèmes d'injection SQL et appliquer une correction à mon code. »
- Action de l'IA :
- L'IA interroge le serveur MCP pour obtenir les détails du problème (numéros de ligne, extrait vulnérable et logique de correction).
- Elle localise le fichier correspondant dans votre espace de travail local.
- Elle génère un correctif de code et applique le correctif directement dans votre éditeur.
Flux de travaux avancés et intégrations
Comme le MCP est un protocole standard, vous pouvez lier le serveur AppScan à d'autres serveurs MCP pour créer des flux de travaux d'automatisation puissants.
Exemple : Création automatisée de tickets (AppScan + Jira)
Si le MCP AppScan et un Jira MCP sont configurés, vous pouvez effectuer des tâches de triage complexes dans une seule conversation :
Invites utilisateur :
« Rechercher les 3 principaux problèmes critiques dans l'application Retail-Frontend. Pour chaque problème, créer un ticket de bogue dans notre projet JIRA SEC avec la description du problème et des conseils de résolution. »
- Utilisez l'outil AppScan pour interroger les problèmes critiques et récupérer leurs détails de résolution.
- Formater ces données dans une structure de ticket JIRA.
- Utiliser l'outil JIRA pour publier les nouveaux tickets.
- Renvoyer les nouveaux liens de ticket JIRA.