Welcome
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Balayage des vulnérabilités de sécurité
Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.
Résultats des examens d'analyse statique
Le moteur de lecture SAST utilise l'IA et des technologies complémentaires pour améliorer la précision de la détection et rationaliser l'analyse des résultats.

Initiation
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan on Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
- A propos de l'analyse statique (SAST)
- Configuration requise par le système pour l'analyse statique
  Systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que ASoC est capable d'examiner lorsque vous réalisez une analyse statique.
- Balayage des vulnérabilités de sécurité
  Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.
  - Configurer un examen dans AppScan on Cloud
    Configurez un examen d'analyse statique.
  - Configuration d'un examen à l'aide d'AppScan Go!
    AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Exécutez l'examen dans le cloud ou utilisez un plug-in pour l'automatiser.
  - Génération d'un fichier IRX à l'aide de l'interface de ligne de commande
    Pour lancer une analyse de vos fichiers, vous devez générer un fichier IRX à envoyer pour examen. Pour générer le fichier IRX à l'aide de l'interface de ligne de commande, suivez les instructions ci-dessous.
  - Génération d'un fichier IRX à l'aide d'un plug-in ou d'un IDE
  - À propos de l'analyse de la composition du logiciel
    L'analyse de la composition logicielle (SCA) identifie et examine les packages Open Source au sein de votre base de code afin de détecter les vulnérabilités de sécurité potentielles. SCA peut analyser à la fois les fichiers de code source individuels et les artefacts du gestionnaire de packages, tels que les fichiers de configuration et les fichiers de verrouillage, afin de déterminer les packages Open Source dont dépend votre projet.
  - Intégrations de l'analyse statique
  - Envoi d'évaluations HCL AppScan Source vers le cloud à des fins d'analyse
    Si vous disposez d'un abonnement à HCL AppScan on Cloud, vous pouvez soumettre des évaluations AppScan Source pour analyse ici. Les évaluations d'AppScan Source versions 9.0 et ultérieures sont prises en charge. Le nombre d'examens que vous pouvez envoyer dépend de votre abonnement à ASoC.
  - Meilleures pratiques en matière d'examen Java
  - Résultats des examens d'analyse statique
    Le moteur de lecture SAST utilise l'IA et des technologies complémentaires pour améliorer la précision de la détection et rationaliser l'analyse des résultats.
    - Exemple de résultat de trace
      L'exemple de résultat de trace suivant montre le flux de données entachées à travers une section d'une application qui contient une vulnérabilité d'injection SQL.
    - Groupes de correctifs
      Pour le moment, les groupes de correctifs s'appliquent uniquement aux problèmes détectés dans les examens utilisant l'analyse statique.
- Exemples de script et d'application
  Utilisez ces exemples d'applications pour vous entraîner aux examens avec ASoC.
- Traitement des incidents de l'analyse statique
  Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Résultats de l'examen SAST

Le moteur de lecture SAST utilise l'IA et des technologies complémentaires pour améliorer la précision de la détection et rationaliser l'analyse des résultats.

Analyse de code intelligente (ICA)

Les examens d'analyse statique utilisent l'analyse de code intelligente (ICA). L'ICA détecte automatiquement les nouvelles API et évalue leur impact sur la sécurité. L'ICA examine toutes les infrastructures et les API tierces et leur attribue un niveau de sécurité adapté. Ainsi, vous pouvez disposer de résultats d'examen plus complets. Pour en savoir plus sur ICA, consultez cet article.

Analyse de résultats intelligente (IFA)

Les constatations sont traitées par l'analyse de résultats intelligente (IFA) dans le cadre du balayage. L'IFA est une puissante technologie basée sur l'IA qui effectue une grande partie du travail de triage à votre place, notamment en filtrant les faux positifs et en identifiant les constatations qui ne peuvent pas être résolues par un correctif dans un point de code. Pour en savoir plus sur IFA, consultez cet article.

Remarque : L'ICA s'applique aux analyses de code non source de Java, C/C++ et .NET, tandis que l'IFA s'applique aux analyses de Java et .NET, ainsi qu'à tous les examens JavaScript.

Groupes de correctifs

Les évaluations utilisant l'analyse statique dressent la liste des constatations par groupe de correctifs. Un groupe de correctifs représente le nœud le plus commun que parcourent les résultats regroupés. En règle générale, si un correctif est mis en œuvre pour un groupe de correctifs, vous pouvez obtenir le meilleur effet pour moins de travail. En outre, il est possible de considérer un groupe de correctifs comme un point de regroupement logique dans lequel on peut consulter les résultats associés en même temps. Il est à noter qu'un groupe de correctifs n'est pas l'emplacement exact auquel un correctif doit être placé. La restructuration future, les pratiques liées au code et d'autres facteurs peuvent empêcher l'utilisation de l'emplacement d'un groupe de correctifs pour un correctif.

Remarque : Chaque groupe de correctifs affiche un maximum de 100 résultats par type de vulnérabilité.