Welcome
Examen
Cette section explique comment examiner votre code source et gérer les évaluations dans HCL® AppScan® Source.
Examen des espaces de travail, des projets et des fichiers
Vous pouvez examiner un espace de travail, un projet ou un fichier Eclipse. Sont inclus l'examen de projets Java™ (y compris Android) et l'examen de projets JavaServer Pages (JSP).
Examen des intégrations
HCL® AppScan® Source permet des intégrations avec la technologie de conteneurisation et l'automatisation des examens à l'aide de conteneurs.
Création de conteneurs à l'aide d'une image Podman
Configuration d'un conteneur pour accéder aux artefacts d'examen

Bienvenue
Bienvenue dans la documentation relative à HCL® AppScan® Source.
Nouveautés
Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette version.
Installation
Apprenez à installer, mettre à niveau et activer HCL® AppScan® Source.
Configuration
Découvrez comment configurer des applications, des dossiers et des projets, et définir des attributs et des propriétés dans HCL® AppScan® Source.
Administration
Apprenez à administrer les comptes utilisateur et les droits, auditer l'activité des utilisateurs d'audit et à gérer les intégrations dans HCL® AppScan® Source.
Examen
Cette section explique comment examiner votre code source et gérer les évaluations dans HCL® AppScan® Source.
- Examen des espaces de travail, des projets et des fichiers
  Vous pouvez examiner un espace de travail, un projet ou un fichier Eclipse. Sont inclus l'examen de projets Java™ (y compris Android) et l'examen de projets JavaServer Pages (JSP).
  - Considérations relatives aux examens
    Cette rubrique décrit les restrictions et les considérations susceptibles d'affecter vos examens.
  - Configurations d'examen
    Des configurations d'examen sont utilisées au moment de lancer des examens et peuvent parfois donner lieu à de meilleurs résultats de l'examen. AppScan® Source inclut des configurations d'examen intégrées, qui sont accessibles en server mode ou en local mode. De plus, des configurations d'examen personnalisées peuvent être créées dans AppScan Source for Analysis et partagées sur le AppScan Enterprise Server. Elles sont accessibles depuis AppScan Source for Development en server mode.
  - Examen des intégrations
    HCL® AppScan® Source permet des intégrations avec la technologie de conteneurisation et l'automatisation des examens à l'aide de conteneurs.
    - Création de conteneurs à l'aide d'une image Podman
    - Configuration de l'automatisation des analyses avec Jenkins et les conteneurs
      Le conteneur de l'interface de ligne de commande (CLI) HCL® AppScan® Source, disponible depuis HCL Harbor et Portail My HCLSoftware portal (MHS), peut être utilisé pour automatiser les examens d'analyse statique avec Jenkins, et sans installer une instance complète de AppScan Source.
    - Configuration de l'automatisation de l'examen avec Azure et les conteneurs
      Le conteneur de l'interface de ligne de commande (CLI) HCL® AppScan® Source, disponible depuis HCL Harbor et Portail My HCLSoftware portal (MHS), peut être utilisé pour automatiser les examens d'analyse statique avec Azure, et sans installer une instance complète d'AppScan Source.
    - Configuration de l'automatisation de l'examen avec GitHub Action et des conteneurs
      Le conteneur de l'interface de ligne de commande (CLI) HCL® AppScan® Source, disponible depuis HCL Harbor et Portail My HCLSoftware portal, peut être utilisé pour automatiser les examens d'analyse statique avec GitHub, et sans installer une instance complète de AppScan Source.
    - Configuration de l'automatisation de l'examen avec GitLab CI/CD et des conteneurs
      Le conteneur de l'interface de ligne de commande (CLI) HCL® AppScan® Source, disponible depuis HCL Harbor et Portail My HCLSoftware portal, peut être utilisé pour automatiser les examens d'analyse statique avec GitLab, et sans installer une instance complète de AppScan Source.
  - Secrets d'analyse
    Activez le scanner de codes secrets pour toutes les applications, tous les projets et tous les dossiers globalement à partir du fichier scan.ozsettings.
  - Exclusion d'un fichier dans l'examen
  - Exclusion d'un dossier dans l'examen
  - Annulation ou arrêt d'un examen
    Bien qu'il soit possible d'annuler un examen en cours, cette opération provoque la perte de toutes les données de l'examen. Vous pouvez également arrêter un examen pour l'interrompre et produire une évaluation à l'aide des résultats obtenus à ce stade.
  - Prérequis pour les composants AppScan® Source for Analysis et AppScan® Source for Development (plug-in Eclipse) sous Linux™
    Sous Linux™, Eclipse requiert l'installation d'un composant tiers pour l'affichage du contenu du navigateur. Sans ce composant, AppScan® Source for Analysis et le plug-in Eclipse AppScan Source for Development peuvent produire des symptômes tels qu'un blocage après la connexion ou un échec pendant l'utilisation du produit.
- Gestion de Mes évaluations
  La vue Mes évaluations contient une liste d'évaluations (évaluation actuellement ouverte, ainsi que les évaluations que vous avez enregistrées). Depuis cette vue, vous pouvez ouvrir, supprimer, sauvegarder, renommer ou comparer des évaluations. Lorsqu'un examen se termine ou lorsque vous ouvrez une évaluation, celle-ci apparaît dans la vue Mes évaluations. Cette vue contient un tableau des évaluations ouvertes ou sauvegardées et identifie les évaluations publiées ou modifiées. La suppression d'une évaluation de cette vue (sans qu'elle soit sauvegardée ni publiée) est définitive.
- Publication d'évaluations
  AppScan® Source offre deux options de publication. Vous pouvez publier des évaluations sur AppScan Source Database pour les stocker et pour les partager. Si votre serveur AppScan Enterprise Server a été installé avec l'option Enterprise Console, vous pouvez publier dessus des évaluations. La AppScan Enterprise Console offre divers outils de gestion des évaluations, tels que des fonctions de génération de rapports, de gestion des problèmes et d'analyse de tendance, ainsi que des tableaux de bord.
- Ouverture et sauvegarde d'évaluations
  AppScan® Source examine le code source pour détecter des vulnérabilités et génère des constatations. Ces constatations sont les vulnérabilités détectées au cours d'un examen et le résultat d'un examen constitue une évaluation. Vous pouvez ouvrir une évaluation sauvegardée à partir d'AppScan Source for Development ou AppScan Source for Analysis. Après votre examen, vous pouvez sauvegarder l'évaluation sur un fichier. Ensuite, vous pouvez rouvrir l'évaluation à tout moment. Les évaluations sont sauvegardées sous la forme filename.ozasmt.
- Suppression d'évaluations de Mes évaluations
  Lorsque des évaluations sont supprimées de la vue Mes évaluations, elles ne sont pas supprimées de votre système de fichiers local. Si une évaluation est supprimée de la vue, elle peut être ajoutée à nouveau à l'aide de l'action Ouvrir une évaluation.
- Définition des variables
  Lors de la sauvegarde d'évaluations ou de groupements, ou de la publication d'évaluations, AppScan® Source for Analysis peut vous suggérer de créer une variable pour remplacer des chemins absolus (sans variables, AppScan Source for Analysis consigne des chemins absolus vers le fichier d'évaluation pour référencer des éléments tels que des fichiers source). La configuration de variables pour des chemins absolus facilite le partage des évaluations entre plusieurs ordinateurs. L'utilisation de variables est conseillée en cas de partage des évaluations.
Triage et analyse
Le regroupement de constatations similaires permet aux analystes de la sécurité et aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
Génération de rapport
Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.
Extension des fonctionnalités du produit
Apprenez à étendre le produit pour répondre à des exigences de développement spécifiques.
Référence
Consultez les informations de référence pour HCL® AppScan® Source, y compris l'utilisation d'utilitaires, de plug-ins et d'API.
Traitement des incidents et support
Informations, ressources et outils d'auto-assistance pour vous aider à résoudre les problèmes lors de l'utilisation de HCL® AppScan® Source.

Configuration d'un conteneur pour accéder aux artefacts d'examen

Pour examiner une application à l'aide d'un conteneur Podman, les fichiers correspondants doivent être mis à disposition du conteneur : montez le répertoire contenant les artefacts d'examen sur le conteneur Podman.

Podman prend en charge l'option “--volume | -v” permettant de monter un volume dans un conteneur.

Par exemple, pour monter le chemin /host_machine_workspace/simpleIOT/ à partir de la machine hôte (où Podman est installé sur le /container_workspace/simpleIOT/ du chemin du conteneur :

podman run -it --rm --env-file ./env.list --volume
        /host_machine_workspace/simpleIOT/:/container_workspace/simpleIOT/
        hcl/appscan/source/cli:10.1.0

Remarque :

Spécifiez les droits nécessaires sur le répertoire monté de sorte qu'un examen exécuté à partir du conteneur puisse effectuer les opérations de fichier nécessaires. Par exemple, les fichiers/dossiers doivent disposer d'au moins 755 droits et doivent être ajoutés au groupe root.
Toutes les références de chemin dans les .paf/.ppf fichiers doivent pouvoir être résolues dans le conteneur.

Remarque : A partir de la version 10.3.0, AppScan® Source prend en charge la conteneurisation à l'aide de Podman. Docker n'étant pas pris en charge dans Red Hat Enterprise Linux 8 et 9, utilisez Podman si votre hôte exécute RHEL 8 ou 9. Podman prend en charge toutes les principales commandes Docker. Remplacez Docker par Podman dans les exemples de cette rubrique pour créer des conteneurs et effectuer des examens dans l'environnement Podman.