Accueil
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse des bibliothèques et du code tiers pour détecter les failles de sécurité
Pour analyser les bibliothèques Open Source et le code tiers à la recherche de failles de sécurité, suivez les étapes décrites dans ces rubriques.
Runtime SCA (Software Composition Analysis)
Identifiez et gérez les vulnérabilités dans les composants et bibliothèques Open Source utilisés par une application au moment de l'exécution.

Mise en route
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
- À propos de l'analyse de la composition du logiciel
  Software Composition Analysis (SCA) localise et analyse les packages Open Source et tiers utilisés par votre code.
- Configuration système requise pour SCA
  Les types de fichiers qu'ASoC est capable d'examiner lorsque vous réalisez un test Open Source.
- Analyse des bibliothèques et du code tiers pour détecter les failles de sécurité
  Pour analyser les bibliothèques Open Source et le code tiers à la recherche de failles de sécurité, suivez les étapes décrites dans ces rubriques.
  - Configurer un examen Open Source dans AppScan sur Cloud
  - Configuration d'un examen à l'aide d'AppScan Go!
    AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Vous pouvez ensuite exécuter l'examen dans le cloud ou utiliser un plug-in pour automatiser l'examen.
  - Génération d'un fichier IRX à l'aide de l'interface de ligne de commande
    Pour lancer une analyse de vos fichiers, vous devez générer un fichier IRX à envoyer pour examen. Pour générer le fichier IRX à l'aide de l'interface de ligne de commande, suivez les instructions ci-dessous.
  - Génération d'un fichier IRX à l'aide d'un plug-in ou d'un IDE
  - Runtime SCA (Software Composition Analysis)
    Identifiez et gérez les vulnérabilités dans les composants et bibliothèques Open Source utilisés par une application au moment de l'exécution.
- Résultats de l'examen SCA
  Fonctions disponibles dans les résultats des examens d'analyse SCA.
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Runtime SCA (Software Composition Analysis)

Identifiez et gérez les vulnérabilités dans les composants et bibliothèques Open Source utilisés par une application au moment de l'exécution.

Software Composition Analysis (SCA) est un outil puissant qui permet de localiser et d'analyser les logiciels libres et les packages tiers utilisés dans votre code. Cependant, à mesure que les applications deviennent de plus en plus complexes et que de plus en plus de bibliothèques et de packages sont utilisés, les résultats de l'examen SCA peuvent être difficiles à obtenir. Runtime SCA permet aux organisations de comprendre non seulement quelles bibliothèques et quels packages sont référencés dans le code, mais aussi quelles bibliothèques et quels packages sont réellement utilisés par l'application lors de l'exécution.

Runtime SCA (Software composition Analysis) identifie et gère les vulnérabilités des composants et bibliothèques Open Source utilisés dans les applications logicielles pendant l'exécution. Contrairement à SCA traditionnel, qui analyse les dépendances de manière statique (c'est-à-dire en examinant le code et les bibliothèques pendant le processus de création), Runtime SCA surveille en permanence les applications au fur et à mesure de leur exécution pour détecter toute utilisation des bibliothèques pendant l'exécution.

Runtime SCA offre une vue plus précise sur les vulnérabilités potentielles, ce qui facilite la priorisation des mesures correctives et de résolution des problèmes.

Runtime SCA peut être appliqué aux applications en production ou dans des environnements de test inférieurs.

Pour tirer parti de Runtime SCA (Software Composition Analysis) :

Déployez un agent IAST.
ASoC prend en charge Java et les agents .NET à utiliser avec Runtime SCA.
Activez les variables d'environnement spécifiques à Runtime SCA, IAST_RUNTIME_SCA ou IAST_SCA_PROD, dans le fichier de configuration IAST.
Testez votre application en exécutant des tests fonctionnels, une analyse dynamique, ou en explorant l'application manuellement.
L'agent IAST surveille et génère des rapports sur chaque bibliothèque tierce chargée dans l'exécution.
Créez et exécutez un examen SCA.
Les bibliothèques identifiées par IAST pendant l'exécution et par l'examen SCA sont corrélées et affichées dans un groupe de corrélation. Par exemple :