Recherche de secrets via un examen d'analyse statique
Le balayage des secrets est activé et désactivé au niveau de l'organisation. Cependant, les examens individuels peuvent remplacer le paramètre de niveau organisationnel à l'aide des options
appscan prepare ou appscan.sh prepare liées aux secrets :- Lorsque les secrets sont activés au niveau de l'organisation :
- Utilisez
-ds, --disableSecretsavecappscan prepareouappscan.sh preparepour désactiver le balayage des secrets. - Utilisez
-so, -secretsOnlyavecappscan prepareouappscan.sh preparepour rechercher des secrets uniquement lors de l'exécution d'un examen de code source uniquement.
- Utilisez
- Lorsque les secrets sont désactivés au niveau de l'organisation :
- Utilisez
-es, --enableSecretsou-so, --secretsOnlyavecappscan prepareouappscan.sh preparepour activer le balayage des secrets. - Utilisez
-so, -secretsOnlyavecappscan prepareouappscan.sh preparepour rechercher des secrets uniquement lors de l'exécution d'un examen de code source uniquement.
- Utilisez
AppScan on Cloud prend en charge la recherche de secrets via un examen pour les plateformes et fournisseurs suivants :
| Fournisseur/plateforme | Secret |
|---|---|
| Alibaba Cloud | alibaba_cloud_access_key_id |
| Alibaba Cloud | alibaba_cloud_access_key_secret |
| AWS | aws_access_key_id |
| AWS | aws_secret_access_key |
| AWS | aws_session_token |
| Atlassian | atlassian_api_token |
| Atlassian | atlassian_jwt |
| Azure | azure_cosmosdb_key_identifiable |
| Azure | Chaîne de connexion Azure CosmosDB |
| Azure | azure_devops_personal_access_token |
| Azure | azure_sas_token |
| Azure | azure_search_admin/query_key |
| Azure | azure_sql_connection_string |
| Azure | azure_storage_account_key |
| Azure | Chaîne de connexion du compte de stockage Azure |
| Databricks | databricks_access_token |
| GitHub | github_oauth_access_token |
| GitHub | github_personal_access_token |
| GitHub | github_refresh_token |
| Google Cloud | google_api_key |
| Google Cloud | google_cloud_private_key_id |
| Hashicorp | Jetons HashiCorpVault codés en dur |
| Hasicorp | Formations d'authentification AppRole (RoleID et SecretID) |
| Ouvrir une AI | openai_api_key |
| Stripe | stripe_live_restricted_key |
| Stripe | stripe_live_secret_key |
| Stripe | stripe_test_restricted_key |
| Stripe | stripe_test_secret_key |
| mongodb | Authentification API |
| mongodb | URL de connexion |
| Jenkins | Mot de passe/phrase de passe Jenkins |
| numéros de carte de crédit | Numéros de carte de crédit |
| Numéros de sécurité sociale (SSN) | Numéros de sécurité sociale |