Accueil
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Configuration requise par le système pour l'analyse statique
Systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que ASoC est capable d'examiner lorsque vous réalisez une analyse statique.
Prise en charge des langages de l'analyse statique
Les types de fichiers qu'ASoC est capable d'examiner lorsque vous réalisez une analyse statique.
Recherche de secrets via un examen d'analyse statique

Mise en route
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
- A propos de l'analyse statique (SAST)
- Configuration requise par le système pour l'analyse statique
  Systèmes d'exploitation compatibles, ainsi que les types de fichiers, les emplacements et les projets que ASoC est capable d'examiner lorsque vous réalisez une analyse statique.
  - Prise en charge des langages de l'analyse statique
    Les types de fichiers qu'ASoC est capable d'examiner lorsque vous réalisez une analyse statique.
    - Recherche de secrets via un examen d'analyse statique
  - Prise en charge des clients de l'analyse statique
    Systèmes d'exploitation compatibles, ainsi que les types de projets qu'ASoC est capable d'examiner lorsque vous réalisez une analyse statique.
  - Conformité avec la législation en vigueur aux Etats-Unis
    La conformité avec la législation en vigueur aux Etats-Unis sur la technologie de l'information et la sécurité contribue à éliminer les entraves et les obstacles d'ordre commercial. Elle prouve également aux clients du monde entier que HCL fait le maximum pour créer les produits les plus sûrs du marché. L'Utilitaire de ligne de commande Static Analyzer prend en charge les normes et les directives mentionnées dans cette rubrique. Pour en savoir plus sur la configuration de l'utilitaire de conformité, contactez votre représentant de support HCL.
- Examen des vulnérabilités de sécurité
  Pour examiner le code source et détecter les éventuelles vulnérabilités de sécurité, suivez la procédure indiquée dans ces rubriques.
- Exemples de script et d'application
  Utilisez ces exemples d'applications pour vous entraîner aux examens avec ASoC.
- Traitement des incidents de l'analyse statique
  Si vous rencontrez des problèmes avec l'analyse statique, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Recherche de secrets via un examen d'analyse statique

La recherche de secrets via un examen est désactivée par défaut. Pour activer la recherche de secrets via un examen, utilisez les options -es, --enableSecrets ou -so, --secretsOnly avec appscan prepare ou appscan.sh prepare.

AppScan sur Cloud prend en charge la recherche de secrets via un examen pour les plateformes et fournisseurs suivants :


Fournisseur/plateforme	Secret
Alibaba Cloud	`alibaba_cloud_access_key_id`
Alibaba Cloud	`alibaba_cloud_access_key_secret`
AWS	`aws_access_key_id`
AWS	`aws_secret_access_key`
AWS	`aws_session_token`
Atlassian	`atlassian_api_token`
Atlassian	`atlassian_jwt`
Azure	`azure_cosmosdb_key_identifiable`
Azure	Chaîne de connexion Azure CosmosDB
Azure	`azure_devops_personal_access_token`
Azure	`azure_sas_token`
Azure	`azure_search_admin/query_key`
Azure	`azure_sql_connection_string`
Azure	`azure_storage_account_key`
Azure	Chaîne de connexion du compte de stockage Azure
Databricks	`databricks_access_token`
GitHub	`github_oauth_access_toke`n
GitHub	`github_personal_access_token`
GitHub	`github_refresh_token`
Google Cloud	`google_api_key`
Google Cloud	`google_cloud_private_key_id`
Ouvrir l'IA	`openai_api_key`
Stripe	`stripe_live_restricted_key`
Stripe	`stripe_live_secret_key`
Stripe	`stripe_test_restricted_key`
Stripe	`stripe_test_secret_key`
mongodb	Authentification API
mongodb	URL de connexion
Jenkins	Mot de passe/phrase de passe Jenkins
numéros de carte de crédit	Numéros de carte de crédit
Numéros de sécurité sociale (SSN)	Numéros de sécurité sociale