Volet Informations sur les problèmes

Le volet Informations sur les problèmes affiche tout le contenu disponible pour le problème.

Pour ouvrir le volet Problèmes d'un problème :
  • Sur la page Problèmes, cliquez sur un problème spécifique.
    Le volet Informations sur les problèmes s'ouvre à droite de l'écran.
    Conseil : Vous pouvez basculer entre les problèmes en sélectionnant différents problèmes sur la page principale, avec le volet sur les informations ouvert. Le volet d'informations sur le problème est actualisé lorsque vous sélectionnez différents problèmes.
Dans le volet Informations sur les problèmes, vous pouvez afficher des informations spécifiques relatives aux problèmes à partir de l'en-tête et de l'un des onglets suivants :

En-tête

Visible dans chaque onglet, l'en-tête indique le type de vulnérabilité, la gravité du problème, le statut et l'emplacement. Il comprend également les actions suivantes :

  • Cliquez sur Partager pour partager un problème par lien ou par ID de problème.
  • Cliquez sur Vue complète pour ouvrir tous les détails du problème dans un nouvel onglet du navigateur.
  • En fonction du statut d'un problème, des boutons s'affichent pour mettre à jour le statut du problème sélectionné. Par exemple, Marquer comme En cours, Fermer le problème.
  • Cliquez sur l'icône en forme de points de suspension pour mettre à jour la gravité du problème sélectionné.

Onglet Détails

L'onglet Détails affiche un résumé des détails des problèmes sous forme de sections, y compris, si possible, la partie du code dans laquelle la vulnérabilité est contenue ou affichée. Les détails varient en fonction de la technologie de balayage.

Le cas échéant, les détails du problème incluent une icône de copie () pour copier les informations dans le presse-papiers.

Technologie de scanner Détails Description
DAST Différences Paramètres modifiés à partir de la demande d'origine ayant entraîné l'identification d'un problème. Les différents appels sont également affichés en rouge dans la section Demandes de test et réponses.
Motif Pourquoi ASoC a-t-il été signalé comme un problème ?
Demandes et réponses de test Des informations concernant les tests et leurs variantes spécifiques, qui ont été transmis à votre application Web afin d'en découvrir les failles. Les chaînes en rouge indiquent la demande utilisée par le test (notée par la différence) ; les chaînes en jaune indiquent les modifications d'entrée dans le cadre du test.
SCA Détails principaux Emplacement du chemin relatif du problème dans le code et le nom de la bibliothèque.
Lié Si le problème appartient à un groupe de correctifs, un lien vers le groupe de correctifs associé.
SAST Emplacement L'emplacement du problème dans le code. Selon le type de problème, les informations d'emplacement peuvent également inclure l'API d'origine du problème ou les informations de source (origine des données) et de collecteur (destination des données) du problème.
Dépistage d'appel Le contexte du problème, ou le flux de données altéré à travers une section d'une application qui contient une vulnérabilité. La section Suivi d'appel inclut une légende pour vous aider à comprendre les différentes zones du code, y compris le meilleur point de fixation, les points de correction alternatifs, la source, le collecteur et le flux altéré.
Correction automatique Si une correction automatique est disponible pour le problème, elle s'affiche ici. Une différence s'affiche avec le code d'origine en rouge et le code de correction en vert. Cliquez sur Copier pour copier le code de correction.
Lié Si le problème appartient à un groupe de correctifs, un lien vers le groupe de correctifs associé.

Onglet Bibliothèque (SCA uniquement)

L'onglet Bibliothèque contient des informations utiles sur la bibliothèque associée au problème, y compris le risque global de la bibliothèque pour vos applications et les détails de la licence.

Elément ou option Description Valeurs
Bibliothèque
Derniers trouvés Date à laquelle la bibliothèque Open Source a été trouvée pour la dernière fois dans les applications associées.
Licence (nom de la licence)
Copyleft
  • Le copyleft s'applique aux modifications ainsi qu'au propre code qui utilise le logiciel Open Source (COMPLET).
  • Licence sans copyleft (NON).
  • Le copyleft s'applique uniquement aux modifications (PARTIEL).
Risque de droits d'auteur
  • 1 : Quiconque peut utiliser le code sans restrictions.
  • 2 : Toute personne qui distribue le code doit fournir certains avis tels que décrits dans la licence. Ces conditions nécessitent généralement de fournir des attributions et/ou des conditions de licence avec le logiciel.
  • 3 : Quiconque distribue une modification du code pourrait être requis de mettre le code source de la modification à la disposition du public. Des conditions d'attribution et/ou de licence peuvent également être requises.
  • 4 : Quiconque distribue une modification du code ou un produit basé sur le code ou en contenant une partie pourrait être requis de mettre le code source du produit ou de la modification à la disposition du public, sauf exception des logiciels qui comportent un lien dynamique vers le code original. Ces licences incluent notamment les licences LGPL et GPL avec exception Class Path. Des conditions d'attribution et/ou de licence peuvent être requises.
  • 5 : Quiconque distribue une modification du code ou un produit basé sur le code ou en contenant une partie pourrait être requis de mettre le code source du produit ou de la modification à la disposition du public, qu'il soit dynamique ou lié statiquement (par exemple, GPL). Des conditions d'attribution et/ou de licence peuvent être requises.
  • 6 : Quiconque développe un produit basé sur le code ou en contenant une partie, ou qui modifie le code, pourrait être requis de mettre le code source de ce produit ou sa modification à la disposition du public au cas où ils distribuent le logiciel ou (b) permettent l'utilisation de ce logiciel par d'autres à travers des services hôtes ou Web. Des conditions d'attribution et/ou de licence peuvent être requises.
  • 7 : Quiconque développe un produit basé sur le code ou en contenant une partie, ou qui modifie le code, pourrait être requis de mettre le code source de ce produit ou sa modification à la disposition du public au cas où ils distribuent le logiciel ou (b) permettent l'utilisation de ce logiciel par d'autres à travers des services hôtes ou Web. Des conditions d'attribution et/ou de licence peuvent être requises.
Liaison
  • La liaison infectera le code de liaison (Viral).
  • La liaison dynamique n'infectera pas le code de liaison (Dynamique).
  • L'octroi de licence du code de liaison ne sera pas affecté (Non viral).
Risque de brevet
  • Exempté de redevances et sans risques de brevet identifiés (1).
  • Sans redevances excepté en cas de litige (2).
  • Aucun brevet octroyé (3).
  • Risques spécifiques identifiés relatifs au brevet (4).
Niveau de risque Risque global de la bibliothèque pour l'application.
  • Faible
  • Moyen
  • Elevé
Exempté de redevances Statut de la redevance de la bibliothèque
  • Exempté de redevances et sans risques de brevet identifiés (OUI).
  • Sans redevances excepté en cas de litige (CONDITIONNEL).
  • Aucun brevet octroyé (NON).
URL URL à partir de laquelle vous souhaitez en savoir plus sur la bibliothèque spécifiée.
Remarque : Une bibliothèque peut avoir plusieurs licences.

Onglet Code source (SAST uniquement)

L'onglet Code source affiche le code associé au problème pour un triage plus rapide et plus efficace.

Par défaut, vous pouvez parcourir votre structure de répertoires locale pour trouver des fichiers de code source :
  • Cliquez sur Ajouter un répertoire pour associer un répertoire de code source local au problème.
  • Passez le curseur sur les vulnérabilités mises en surbrillance dans le code source pour obtenir des suggestions de correction.
  • Le code source affiché dans le volet Détails des problèmes reste privé. Le code source n'est pas téléchargé sur ASoC.
Si le fichier IRX examiné a été généré dans un référentiel GitHub, et qu'à ce titre l'examen contient des informations le reliant à GitHub :
  • Assurez-vous que la dernière validation disponible lors de l'examen est également disponible sur le serveur GitHub.
  • Cliquez sur Ouvrir le fichier sur GitHub pour ouvrir le fichier dans l'interface Web GitHub dans un nouvel onglet du navigateur.
  • Corrigez le code dans GitHub.

Dans les deux cas, la connexion au code source n'est pas permanente ; reconnectez-vous au code source à chaque session du navigateur, si nécessaire, pendant le triage et la correction.

Onglet Comment résoudre le problème

L'onglet Comment résoudre le problème fournit des informations détaillées sur la cause, le risque, un exemple d'exploitation, les recommandations de correction, CWE, les articles associés et les références externes. Cliquez sur le symbole > en regard de chaque section pour en développer les informations.

Dans la mesure du possible, une large sélection d'informations spécifiques au code est disponible en cliquant sur le nom du code concerné (.Net, Angular, Apex, etc.) directement sous le nom du problème et dans la liste déroulante à droite du panneau.

Onglet Commentaires

Utilisez cet onglet pour ajouter vos propres commentaires qui seront visibles par vous et d'autres utilisateurs, et inclus dans les rapports.

Onglet Piste d'audit

L'onglet Audit indique les détails du problème. Une ligne pour chaque modification indique la date et l'heure de la modification, l'entité qui a effectué la modification et les détails de la modification de la question. Par exemple, une modification du type de problème ou de la gravité sera notée dans les entrées de l'onglet Audit.

Onglet Propriétés

L'onglet Propriétés répertorie les détails étendus du problème, y compris comment et quand le problème a été détecté, le type, le statut, la gravité, la technologie de scanner, et l'emplacement, avec l'ID du problème.

Dans l'onglet Propriétés, vous pouvez :
  • cliquer sur l'ID du problème pour ouvrir tous les détails du problème dans l'onglet actuel du navigateur ;
  • cliquer sur l'icône Copier () pour copier une propriété spécifique dans le presse-papiers du système et la coller dans d'autres applications ;
  • cliquer sur Copier les propriétés pour copier toutes les propriétés répertoriées dans le presse-papiers du système afin de les coller dans d'autres applications, telles qu'un élément Jira.