Bienvenue
Bienvenue dans la documentation HCL AppScan Enterprise 10.3.0, dans laquelle vous trouverez des informations sur l'installation, la maintenance et l'utilisation d'HCL AppScan Enterprise.
Fonctions d'accessibilité d'AppScan® Enterprise
Les fonctions d'accessibilité permettent aux utilisateurs souffrant d'un handicap (mobilité ou vision réduite, par exemple) de se servir efficacement des produits utilisant les technologies de l'information.
Présentation du produit
- Gestion de la sécurité des applications
  La sécurité traite de la protection des ressources importantes. Votre organisation possède des ressources importantes sous forme d'informations, d'éléments de propriété intellectuelle, de plans stratégiques et de données client. La protection de ces informations est critique pour que votre organisation fonctionne, soit compétitive et réponde aux exigences en matière de réglementation.
- Composants AppScan® Enterprise
  HCL® AppScan® Enterprise permet aux organisations d'atténuer les risques pour la sécurité des applications, de renforcer les initiatives de gestion des programmes de sécurité d'application et de se mettre en conformité avec les réglementations. Les équipes de sécurité et de développement peuvent collaborer, établir des stratégies et des tests d'échelle tout au long du cycle de vie de l'application. Les tableaux de bord d'Enterprise permettent de classifier et de définir les priorités des ressources d'application en fonction de l'impact métier et d'identifier les zones à haut risque, vous permettant ainsi d'optimiser vos efforts de résolution. Des attributs de performance sont fournis pour vous aider à surveiller la progression des programmes de sécurité de votre application.
- Initiation à la gestion de la sécurité des applications
  En fonction de votre rôle, vous pouvez vous initier à différentes zones du produit.
- Nouveautés d'HCL AppScan® Enterprise
  Cette section décrit les nouvelles fonctions et améliorations du produit AppScan Enterprise dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).
- Interactive Application Security Testing (IAST) dans AppScan Enterprise
  - Octroi de licence pour l'agent IAST
  - Configuration du service de communication IAST dans AppScan Enterprise Server
    Le service de communication IAST est automatiquement configuré lors de l'exécution de l'assistant de configuration.
  - Téléchargement et déploiement d'un agent IAST Java sur le serveur Web
    Vous devez télécharger et déployer un agent IAST sur le serveur Web de l'application testée pour surveiller le trafic envoyé pendant l'exécution et signaler les vulnérabilités découvertes.
  - Téléchargement et déploiement d'un type d'agent IAST .NET ou .NET Core
    Vous pouvez déployer un agent IAST sur le serveur Web de l'application testée qui prend en charge les applications Java, .NET, .NET Core ou Node.js. Cette section explique comment créer un type d'agent IAST .NET ou .NET Core sur votre serveur Web.
  - Téléchargement et déploiement du type d'agent IAST Node.js
    Vous pouvez déployer un agent IAST sur le serveur Web de l'application testée qui prend en charge les applications Java, .NET ou Node.js. Cette section explique comment créer un type d'agent Node.js sur votre serveur Web.
  - Gestion d'agents IAST dans AppScan Enterprise
    AppScan Enterprise peut prendre en charge plusieurs agents IAST pour une seule application.
  - OWASP Benchmark avec l'agent IAST
    Le projet OWASP Benchmark est une suite de tests Java conçue pour évaluer les outils de détection de vulnérabilités logicielles. L'agent Java HCL AppScan IAST est entièrement conforme au OWASP Benchmark.
- Détection des composants vulnérables à l'aide d'AppScan
  AppScan améliore la sécurité des applications en identifiant et en signalant les vulnérabilités des composants tiers, garantissant ainsi la protection des entreprises contre les menaces potentielles. Cela permet de prévenir les vulnérabilités non détectées et assure la continuité des activités.
- Technologies prises en charge
- Problèmes connus et solutions
  Vous trouverez ci-après les problèmes connus et les solutions palliatives.
- Fonctions obsolètes
  Si vous migrez depuis une édition antérieure d'AppScan® Enterprise, prenez connaissance des diverses fonctions qui sont devenues obsolètes dans cette édition.
- AppScan Enterprise - Mentions légales
- Déclaration de pratiques de sécurité recommandées
Installation
Apprenez à installer le produit.
Mise à niveau et migration
Apprenez à mettre à niveau le produit.
Intégration
Apprenez à intégrer le produit à d'autres solutions.
DevOps
Apprenez à étendre les fonctionnalités du produit en utilisant les API REST et les plug-ins.
Meilleures pratiques
Familiarisez-vous avec les meilleures pratiques d'utilisation du produit.
Configuration
Apprenez à configurer le produit.
Administration
Apprenez à administrer le produit.
Gestion des risques d'application
Suivez ce flux pour gérer les risques de sécurité dans votre organisation.
Traitement des incidents et support
Pour vous aider à comprendre, à isoler et à résoudre les incidents liés à vos logiciels HCL®, les informations de traitement des incidents et de support technique contiennent les instructions à suivre pour utiliser les ressources d'identification des incidents fournies avec les produits HCL.
Référence
Consultez les informations de référence relatives au produit.
Glossaire

OWASP Benchmark avec l'agent IAST

Le projet OWASP Benchmark est une suite de tests Java conçue pour évaluer les outils de détection de vulnérabilités logicielles. L'agent Java HCL AppScan IAST est entièrement conforme au OWASP Benchmark.

Procédure

Pour exécuter OWASP Benchmark avec l'agent AppScan IAST Java :

Téléchargez ou git-clonez BenchmarkJava et BenchmarkUtils depuis https://github.com/OWASP-Benchmark.
Ouvrez une invite de commande, accédez au répertoire BenchmarkUtils et exécutez mvn install -DskipTests.
Dans AppScan Enterprise : démarrez une session IAST Java et téléchargez le fichier zip de l'agent comme décrit dans Téléchargement et déploiement d'un agent IAST Java sur le serveur Web.
Extrayez le contenu du fichier ZIP.
Dans le JAR extrait, localisez secagent.jar dans le dossier jar_deployment et copiez-le dans BenchmarkJava\tools\HCL.
Ouvrez une invite de commande, exécutez runBenchmark_wHCL.bat et attendez quelques instants jusqu'à ce que le message « [INFO] Appuyez sur Ctrl-C pour arrêter le conteneur... » s'affiche.
Ouvrez une autre invite de commande et exécutez BenchmarkJava\runCrawler.bat.
Une fois l'analyse terminée, appuyez sur CTRL+C pour arrêter l'instance Benchmark Tomcat. Lorsque « Terminer le travail par lots (O/N) ? » s'affiche, entrez N.
Exécutez BenchmarkJava\createScorecards.bat

Les résultats des tests peuvent être trouvés dans : Fichiers BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version}

Figure : Comparaison des résultats OWASP Benchmark v1.2