Aller au contenu principal
HCL Logo Product Documentation
Customer Support Software Academy Community Forums
Aide HCL AppScan on Cloud
  • Mise en route
  • Navigation
  • Administration
  • Analyse dynamique
  • Surveillance interactive
  • Analyse de la composition du logiciel
  • Analyse statique
  • Résultats
  • Résolution des incidents
  • Foire aux questions et référence
  1. Accueil
  2. Analyse statique

    Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).

  3. Examen des vulnérabilités de sécurité

    Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.

  4. Intégrations de l'analyse statique
  • Mise en route

    Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.

  • Navigation

    Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.

  • Administration

    Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.

  • Analyse dynamique

    AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.

  • Surveillance interactive

    A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.

  • Analyse de la composition du logiciel

    Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).

  • Analyse statique

    Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).

    • A propos de l'analyse statique (SAST)
    • Configuration requise par le système pour l'analyse statique

      Systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que ASoC est capable d'examiner lorsque vous réalisez une analyse statique.

    • Examen des vulnérabilités de sécurité

      Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.

      • Configurer un examen dans AppScan sur Cloud

        Configurez un examen d'analyse statique.

      • Configuration d'un examen à l'aide d'AppScan Go!

        AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Vous pouvez ensuite exécuter l'examen dans le cloud ou utiliser un plug-in pour automatiser l'examen.

      • Génération d'un fichier IRX à l'aide de l'interface de ligne de commande

        Pour lancer une analyse de vos fichiers, vous devez générer un fichier IRX à envoyer pour examen. Pour générer le fichier IRX à l'aide de l'interface de ligne de commande, suivez les instructions ci-dessous.

      • Génération d'un fichier IRX à l'aide d'un plug-in ou d'un IDE
      • À propos de l'analyse de la composition du logiciel

        Software Composition Analysis (SCA) localise et analyse les packages Open Source et tiers utilisés par votre code.

      • Intégrations de l'analyse statique
        • Action GitHub CodeSweep

          L'action CodeSweep pour GitHub de HCL AppScan vous permet de vérifier votre code à chaque demande d'extraction. Après chaque mise à jour, l'action identifie les vulnérabilités présentes dans le code modifié. Mais au-delà de l'identification des problèmes, l'extension CodeSweep pour GitHub de HCL AppScan vous aide à atténuer les problèmes avant qu'ils n'atteignent la branche principale.

        • ASoC et GitLab

          . Utilisez AppScan sur Cloud avec GitLab pour exécuter des tests de sécurité d'analyse statique (SAST) sur les fichiers de votre référentiel à chaque requête de fusion, empêchant ainsi les vulnérabilités d'atteindre la branche principale. Les résultats sont stockés dans AppScan sur Cloud.

        • Action GitHub SAST

          L'action Github AppScan SAST vous permet d'exécuter des tests SAST (Static Analysis Security Testing) sur les fichiers de votre référentiel. L'examen SAST identifie les vulnérabilités de sécurité présentes dans votre code et enregistre les résultats dans AppScan sur Cloud.

      • Envoi d'évaluations HCL AppScan Source vers le cloud à des fins d'analyse

        Si vous disposez d'un abonnement à HCL AppScan on Cloud, vous pouvez soumettre des évaluations AppScan Source pour analyse ici. Les évaluations d'AppScan Source versions 9.0 et ultérieures sont prises en charge. Le nombre d'examens que vous pouvez envoyer dépend de votre abonnement à ASoC.

      • Meilleures pratiques en matière d'examen Java
      • Résultats des examens d'analyse statique

        Fonctions disponibles dans les résultats des examens d'analyse statique.

    • Exemples de script et d'application

      Utilisez ces exemples d'applications pour vous entraîner aux examens avec ASoC.

    • Traitement des incidents de l'analyse statique

      Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.

  • Résultats

    La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.

  • Résolution des incidents

    Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.

  • Foire aux questions et référence

    Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Intégrations de l'analyse statique

HCL AppScan on Cloud a développé un certain nombre d'intégrations et d'extensions pour continuer à améliorer les tests de sécurité. Pour une liste complète des intégrations, consultez Intégrations.
  • Action GitHub CodeSweep
  • GitLab
  • Action GitHub SAST
  • Share: Email
  • Twitter
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences