Composants AppScan® Enterprise

HCL® AppScan® Enterprise permet aux organisations d'atténuer les risques pour la sécurité des applications, de renforcer les initiatives de gestion des programmes de sécurité d'application et de se mettre en conformité avec les réglementations. Les équipes de sécurité et de développement peuvent collaborer, établir des stratégies et des tests d'échelle tout au long du cycle de vie de l'application. Les tableaux de bord d'Enterprise permettent de classifier et de définir les priorités des ressources d'application en fonction de l'impact métier et d'identifier les zones à haut risque, vous permettant ainsi d'optimiser vos efforts de résolution. Des attributs de performance sont fournis pour vous aider à surveiller la progression des programmes de sécurité de votre application.

Ce diagramme représente l'écosystème AppScan® Enterprise, y compris les intégrations.

Ecosystème AppScan Enterprise

Base de données SQL Server

La base de données SQL Server est le référentiel central pour les informations suivantes qui sont collectées pendant un travail. statistiques, journaux d'examens, interrogation d'événements d'activités. C'est le moyen de communication entre Enterprise Console et les agents de test sur Dynamic Analysis Scanner. Que vous installiez ou non le serveur ou l'outil d'examen, vous créez une base de données sur une instance SQL Server où vous avez installé l'environnement. Elle doit être configurée en premier pour que les informations essentielles dont AppScan® Enterprise Server a besoin pendant la configuration soient prêtes et disponibles. La base de données contient les données suivantes :

  • Toutes les données regroupées par les agents
  • Des informations sur le champ d'application des données des rapports
  • Un résumé des données de rapport historisées
  • Des informations sur la configuration des agents, la planification, les états et les alertes
  • Des informations sur la configuration des utilisateurs et les droits d'accès

AppScan®Enterprise Server

Ce composant comprend :
  • Administration des utilisateurs : le composant Administration des utilisateurs du serveur Enterprise est utilisé pour l'authentification des utilisateurs LDAP.
    Remarque :
    Si vous êtes un utilisateur de la source AppScan®, vous n'avez besoin d'installer que cela, à moins que vous ne souhaitiez voir des rapports corrélés à partir des résultats que vous publiez sur le serveur Enterprise. Dans ce cas, vous devez également installer la console Enterprise.
  • Console Enterprise : la console Enterprise fournit l'interface utilisateur et les rapports via un navigateur Web. Il s'agit de l'interface utilisateur principale et elle prend en charge l'administration, la configuration des analyses et la création de rapports. Selon vos besoins, vous pouvez installer une ou plusieurs instances de la console Enterprise sur un seul serveur.

La vue Moniteur affiche uniquement les applications auxquelles vous avez l'autorisation d'accéder. Les graphiques du tableau de bord suivent diverses mesures et tendances des applications Web qui composent votre portefeuille.



L'onglet Tableau de bord fournit une vue holistique de votre portefeuille d'activités. Dans la partie inférieure du tableau de bord, sélectionnez un graphique à examiner plus en détail :
  • Évaluation du risque de sécurité (tendance) : suivez le risque applicatif au fil du temps. Cochez les cases de catégorie pour afficher le contenu que vous souhaitez voir. Passez la souris sur les sections du graphique pour plus de détails.
  • Évaluation du risque de sécurité par unité commerciale : hiérarchisez la gestion des risques applicatifs par unité commerciale. Passez la souris sur les sections du graphique pour plus de détails. Cliquez sur l'onglet Portefeuille pour continuer votre processus de tri.
  • État des tests (tendance) : suivez l'état des tests. Cochez les cases de catégorie pour afficher le contenu que vous souhaitez voir. Passez la souris sur les sections du graphique pour plus de détails.
  • Problèmes ouverts (tendance) : affiche le nombre de problèmes ouverts. Passez la souris sur les sections du graphique pour plus de détails.
  • Applications avec problèmes ouverts (tendance) : suivez le nombre d'applications avec problèmes ouverts. Passez la souris sur les sections du graphique pour plus de détails.
  • Problèmes ouverts par gravité (tendance) : suivez le nombre de problèmes critiques, élevés, moyens et faibles au fil du temps. Cochez les cases de catégorie pour afficher le contenu que vous souhaitez voir. Passez la souris sur les sections du graphique pour plus de détails.
  • Tendance des analyses par application : affiche un graphique de tendance de toutes les analyses créées au cours des deux dernières années. L'axe X représente la date d'exécution de l'analyse ou la date d'importation. L'axe Y représente le nombre d'analyses associé à l'application, y compris les analyses importées. Le graphique montre la tendance pour le mois au cours duquel les analyses ont été créées ou importées.
    Remarque :
    Pour les analyses SAST, lorsqu'elles sont configurées pour stocker des données historiques, chaque importation portant le même nom est traitée comme une analyse distincte.
  • Principaux types de problèmes (application) : affiche le nombre d'applications dans votre portefeuille contenant les principaux types de problèmes. Passez la souris sur les sections du graphique pour plus de détails. Cliquez sur l'onglet Portefeuille pour continuer votre processus de tri.
  • Top Ten OWASP : identifie les applications qui contiennent des problèmes correspondant aux dix risques de sécurité des applications Web les plus critiques. Passez la souris sur les sections du graphique pour plus de détails. Cliquez sur l'onglet Portefeuille pour continuer votre processus de tri.
  • Top 25 CWE/SANS : identifie les applications qui contiennent des problèmes correspondant aux 25 erreurs de programmation les plus dangereuses du CWE. Passez la souris sur les sections du graphique pour plus de détails. Cliquez sur l'onglet Portefeuille pour continuer votre processus de tri.
  • Gravité du problème (max.) : identifie les applications en fonction de leur niveau de gravité le plus élevé. Passez la souris sur les sections du graphique pour plus de détails. Cliquez sur l'onglet Portefeuille pour continuer votre processus de tri.
  • Gravité du problème (max.) par unité commerciale : identifie les applications par unité commerciale, en fonction de leur niveau de gravité le plus élevé. Passez la souris sur les sections du graphique pour plus de détails. Cliquez sur l'onglet Portefeuille pour continuer votre processus de tri.

Examen d'analyse dynamique

L'outil d'examen comprend deux services :
  • Service d'agent et agents : Le service d'agent surveille la base de données SQL Server à la recherche de travaux à exécuter. Un agent est un processus Windows qui est créé par un service d'agent lorsqu'un travail doit être exécuté. Un fichier de base de données locale est créé au début de chaque examen. L'utilisation d'une base de données locale permet d'améliorer les performances et l'évolutivité en libérant la charge des ressources sur la base de données SQL centrale. La base de données locale contient les informations pour chaque travail exécuté par l'outil d'examen et transmet les données à la base de données SQL Server principale une fois l'examen terminé. Si des alertes ont été configurées, le service des alertes informe les utilisateurs concernés de l'occurrence d'événements spécifiques pendant le travail.
    Remarque :
    1. Les agents de contenu et d'infrastructure ne peuvent exécuter qu'un seul travail à la fois ; cependant, un seul outil d'examen peut exécuter plusieurs agents simultanément. Plusieurs travaux de même type peuvent être exécutés simultanément sur un ordinateur donné, chaque travail étant exécuté dans son propre processus agent.
    2. Le nombre de travaux exécutés peut dépasser le nombre maximum d'agents affectés à l'outil d'examen, car il inclut les travaux qui sont maintenant en post-traitement ou en génération de rapports. Ces travaux n'utilisent plus d'agent sur l'outil d'examen.
    3. Si le nombre de travaux suspendus du fait d'une période d'interruption dépasse le nombre d'agents disponibles dans l'outil d'examen, ces travaux suspendus ont priorité au moment de l'exécution du travail suivant.
  • Service d'alerte : le service d'alerte est chargé d'envoyer des alertes aux périphériques de notification appropriés. Vous pouvez avoir autant d'agents et de services d'agents que nécessaire mais vous ne pouvez installer qu'un seul service d'alerte pour chaque base de données.