Aller au contenu principal
HCL Logo Product Documentation
Customer Support Community
Customer Support HCLSoftware U Community Forums Customer Idea Portal
HCL AppScan Source
  1. Home icon
  2. Welcome
  3. Extension des fonctionnalités du produit

    Apprenez à étendre le produit pour répondre à des exigences de développement spécifiques.

  4. HCL®AppScan® Source for Development (Eclipse Plug-in)

    Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Source Security Knowledgebase.

  5. Vues et fenêtres

    Les vues et fenêtres de AppScan® Source for Development fournissent des présentations alternatives des constatations, permettent l'édition du code et la navigation entre les informations dans votre plan de travail. Une vue peut figurer seule ou être juxtaposée à d'autres dans un bloc-notes à onglets. Vous pouvez modifier l'agencement d'une perspective ou d'une fenêtre en ouvrant et en fermant des vues, et en les ancrant dans des positions différentes dans la fenêtre du plan de travail.

  6. Vue Rapport

    La vue Rapport vous permet d'organiser les résultats d'un examen en fonction d'une série de rapports d'audit qui mesurent la conformité avec les meilleures pratiques en matière de sécurité logicielle et les exigences réglementaires.

  7. Rapports Open Web Application Security Project (OWASP) Top 10 2017 et 2021

    Cette rubrique propose des liens vers le site Web Open Web Application Security Project (OWASP) ainsi que vers des documents d'aide.

Product logo

  • Bienvenue

    Bienvenue dans la documentation relative à HCL® AppScan® Source.

  • Nouveautés

    Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette version.

  • Installation

    Apprenez à installer, mettre à niveau et activer HCL® AppScan® Source.

  • Configuration

    Découvrez comment configurer des applications, des dossiers et des projets, et définir des attributs et des propriétés dans HCL® AppScan® Source.

  • Administration

    Apprenez à administrer les comptes utilisateur et les droits, auditer l'activité des utilisateurs d'audit et à gérer les intégrations dans HCL® AppScan® Source.

  • Examen

    Cette section explique comment examiner votre code source et gérer les évaluations dans HCL® AppScan® Source.

  • Triage et analyse

    Le regroupement de constatations similaires permet aux analystes de la sécurité et aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.

  • Génération de rapport

    Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.

  • Extension des fonctionnalités du produit

    Apprenez à étendre le produit pour répondre à des exigences de développement spécifiques.

    • Personnalisation de la base de données des vulnérabilités et des règles de schémas

      Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens.

    • Extension de l'infrastructure d'importation de serveur d'applications

      AppScan® Source vous permet d'importer des applications Java™ depuis Apache Tomcat et le profil Liberty WebSphere® Application Server. Vous pouvez importer des applications Java à partir d'autres serveurs d'applications en étendant l'infrastructure d'importation de serveurs d'applications, comme expliqué dans cette rubrique.

    • HCL®AppScan® Source for Development (Eclipse Plug-in)

      Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Source Security Knowledgebase.

      • Glossaire
      • AppScan® Source for Development en server mode et en local mode

        Les plug-in AppScan® Source for Development peuvent être utilisés avec ou sans serveur AppScan Enterprise Server. En server mode, vous vous connectez au serveur pour exécuter des examens et accéder aux données partagées. En local mode, AppScan Source for Development s'exécute sans se connecter à un serveur AppScan Enterprise Server et vous ne pouvez pas accéder aux éléments partagés tels que les filtres, les examens de configuration et les règles personnalisées.

      • Création de variables

        Pour ouvrir une évaluation ou un groupement créé précédemment dans AppScan® Source for Analysis qui s'appuie sur une variable de chemin, vous devez créer une variable correspondante dans votre environnement de développement. La création d'une variable garantit la disponibilité des données sur plusieurs ordinateurs. Pour partager des données d'évaluation, vous devez définir les variables appropriées.

      • Configuration des examens

        Selon le type de projet que vous examinez et le type d'examen que vous souhaitez réaliser, vous devrez peut-être configurer votre examen avant de l'exécuter. Par exemple, il est possible de configurer des projets pour utiliser un autre compilateur JDK ou JSP que ceux définis par défaut.

      • Préférences générales

        Les préférences générales vous permettent d'adapter certains paramètres par défaut d'AppScan® Source for Development en fonction de vos préférences personnelles.

      • Préférences générales

        Les préférences générales vous permettent d'adapter certains paramètres par défaut de AppScan® Source for Development en fonction de vos préférences personnelles.

      • Examen des espaces de travail, des projets et des fichiers

        Vous pouvez examiner un espace de travail, un projet ou un fichier Eclipse. Sont inclus l'examen de projets Java™ (y compris Android) et l'examen de projets JavaServer Pages (JSP).

      • Ouverture et sauvegarde d'évaluations

        AppScan® Source examine le code source pour détecter des vulnérabilités et génère des constatations. Ces constatations sont les vulnérabilités détectées au cours d'un examen et le résultat d'un examen constitue une évaluation. Vous pouvez ouvrir une évaluation sauvegardée à partir d'AppScan Source for Development ou AppScan Source for Analysis. Après votre examen, vous pouvez sauvegarder l'évaluation sur un fichier. Ensuite, vous pouvez rouvrir l'évaluation à tout moment. Les évaluations sont sauvegardées sous la forme filename.ozasmt.

      • Personnalisation du tableau de constatations

        Vous pouvez personnaliser les tables de constatations dans toutes les vues comportant des constatations (hormis la vue Différences entre les évaluations dans AppScan® Source for Analysis) en identifiant les seules colonnes et l'ordre dans lequel vous désirez les afficher. Chaque vue peut avoir des paramètres distincts ou vous pouvez appliquer vos options à toutes les vues. Pour personnaliser l'ordre des colonnes, suivez les procédures de cette rubrique de tâche.

      • Sauvegarde de constatations sélectionnées dans une évaluation

      • Recherche de constatations

        Vous pouvez rechercher des constatations spécifiques dans plusieurs vues contenant des constatations. Les critères de recherche incluent les groupements, le code, les fichiers, les projets et les types de vulnérabilité. Les résultats figurent dans la vue Résultats de la recherche.

      • Modification de constatations

        Les constatations modifiées sont celles dont le type de vulnérabilité, la classification ou la gravité a été modifié ou auxquelles des annotations ont été ajoutées. La vue Constatations modifiées affiche ces constatations pour l'application en cours (l'application active après qu'une évaluation a été ouverte pour cette application). Dans la vue Mes évaluations (disponible uniquement dans AppScan® Source for Analysis), la colonne Modifié indique si une constatation a été modifiée dans l'évaluation en cours.

      • Résolution des problèmes de sécurité et affichage de l'aide à la résolution

        AppScan® Source vous alerte en cas d'erreurs ou de failles de conception courantes de la sécurité et vous assiste dans leur processus de résolution. La AppScan Source Security Knowledgebase et les éditeurs de code internes ou externes vous aident au cours de ce processus.

      • Triage avec exclusions

        Après un examen, vous pouvez décider que certaines constatations ne sont pas pertinentes pour votre travail actuel et que vous ne désirez pas qu'elles soient visibles dans le tableau des constatations lors du triage de ces résultats. Ces exclusions (ou constatations exclues) n'apparaissent plus dans la vue Constatations et les métriques des évaluations sont immédiatement actualisées avec les résultats modifiés. Le filtrage et les exclusions de groupements ajoutés à une configuration ne prennent effet que lors des examens ultérieurs.

      • Création et gestion de filtres

        AppScan® Source propose plusieurs méthodes pour la création et l'utilisation des filtres. L'éditeur de filtre, la vue principale pour la création de filtres, propose un ensemble de règles robustes pouvant être définies manuellement, puis enregistrées dans un filtre. La vue Editeur de filtre fournit également un mécanisme permettant de gérer les filtres que vous avez créés, en vous permettant de les modifier ou de les supprimer. Vous pouvez également filtrer le tableau des constatations depuis les vues affichant des représentations graphiques de celles-ci, puis enregistrer ces filtres dans la vue Editeur de filtre. Lorsque vous créez un filtre, les autres vues sont actualisées en reflétant les propriétés du filtre.

      • Annotations et attributs pris en charge

        Certains attributs ou annotations utilisés pour enrichir le code sont traités lors des examens. Lorsqu'une annotation ou un attribut pris en charge est détecté lors d'un examen, ces informations sont utilisées pour marquer la méthode enrichie en tant que rappel entaché. Une méthode marquée comme rappel entaché est traitée si tous ses arguments comportent des données entachées. Ceci débouche sur un plus grand nombre de constatations accompagnées de traces. Les annotations et attributs pris en charge sont répertoriés dans cette rubrique d'aide.

      • Utilisation de groupements

        Un groupement (mécanisme d'agrégation de constatations) vous permet d'importer un instantané de constatations depuis AppScan® Source for Analysis vers AppScan Source for Development. Une fois que les constatations se trouvent dans des groupements, vous pouvez utiliser AppScan Source for Development pour ouvrir le projet qui contient le groupement, importer le groupement ou ouvrir un fichier de groupement sauvegardé (file_name.ozbdl).

      • Trace AppScan® Source

        La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.

      • Vues et fenêtres

        Les vues et fenêtres de AppScan® Source for Development fournissent des présentations alternatives des constatations, permettent l'édition du code et la navigation entre les informations dans votre plan de travail. Une vue peut figurer seule ou être juxtaposée à d'autres dans un bloc-notes à onglets. Vous pouvez modifier l'agencement d'une perspective ou d'une fenêtre en ouvrant et en fermant des vues, et en les ancrant dans des positions différentes dans la fenêtre du plan de travail.

        • Vue Récapitulatif de l'évaluation

          La vue Récapitulatif de l'évaluation, qui est une représentation graphique sous forme de diagramme à barres de l'évaluation ouverte, affiche des informations sur certaines constatations.

        • Vue Matrice de vulnérabilités

          Cette vue affiche le nombre total de constatations pour toutes les applications couvertes par l'examen. Les modifications apportées aux constatations actualisent cette matrice.

        • Vue Editeur de filtre

          La vue Editeur de filtre permet une manipulation plus granulaire du filtre sélectionné que d'autres vues AppScan® Source. Elle contient tous les éléments d'après lesquels vous pouvez effectuer un filtrage.

        • Tableau Constatations

        • Vue Constatations

          La vue Constatations contient des données liées aux constatations d'une évaluation. Les constatations peuvent être regroupées en fonction des paramètres répertoriés dans cette rubrique.

        • Vue Constatations exclues

          Cette vue contient uniquement les constatations exclues. Une constatation exclue est omise des examens. Depuis cette vue, vous pouvez rechercher des constatations spécifiques. Les colonnes de cette vue sont identiques à celles de la vue Constatations.

        • Vue Constatations modifiées

          Cette vue contient toutes les constatations modifiées de l'application actuelle. Les constatations modifiées désignent des constatations dont le type de vulnérabilité, la gravité, la classification ou les notes ont été changés. Les modifications perdues( c'est-à-dire ne figurant pas dans l'évaluation actuellement ouverte) figurent en vert et en italiques et ne peuvent pas être modifiées.

        • Vue Constatations résolues

          La vue Constatations résolues identifie les constatations figurant dans des groupements, mais absentes de l'évaluation en cours. Une constatation est identifiée comme corrigée/manquante si elle a été résolue, supprimée ou que son fichier source n'a pas été analysé.

        • Vue Résultats de la recherche

          Lorsque vous recherchez des constatations, les résultats apparaissent dans la vue Résultats de la recherche.

        • Vue Constatations personnalisées

          Cette vue affiche les constatations définies par l'utilisateur, ou encore constatations personnalisées, existant dans l'évaluation ouverte actuellement. Depuis cette vue, vous pouvez créer, supprimer ou modifier des constatations personnalisées pour l'évaluation en cours. Lorsqu'une constatation personnalisée est créée dans cette vue, la nouvelle constatation est ajoutée à l'évaluation en cours et ses métriques actualisées en conséquence.

        • Vue Rapport

          La vue Rapport vous permet d'organiser les résultats d'un examen en fonction d'une série de rapports d'audit qui mesurent la conformité avec les meilleures pratiques en matière de sécurité logicielle et les exigences réglementaires.

          • Rapport CWE Top 25 2024

            Le rapport CWE Top 25 2024 est basé sur la liste des 2024 CWE Top 25 Most Dangerous Software Errors (25 erreurs logicielles CWE les plus dangereuses, 2021).

          • Rapport CWE Top 25 2021

            Le rapport CWE Top 25 2021 est basé sur la liste des 2021 CWE Top 25 Most Dangerous Software Errors (25 erreurs logicielles CWE les plus dangereuses, 2021).

          • Rapports DISA Application Security and Development STIG V5R3 et V6R3

            Cette rubrique propose des liens vers le site Web du guide d'implémentation technique de sécurité de développement et de sécurité d'application (STIG) du DISA (Defense Information Systems Agency) ainsi que vers des documents d'aide.

          • Rapports Open Web Application Security Project (OWASP) Top 10 2017 et 2021

            Cette rubrique propose des liens vers le site Web Open Web Application Security Project (OWASP) ainsi que vers des documents d'aide.

          • Rapport Open Web Application Security Project (OWASP) Mobile Top 10

            Cette rubrique propose des liens vers le site Web Open Web Application Security Project (OWASP) ainsi que vers des documents d'aide.

          • Rapport PCI DSS (Payment Card Industry Data Security Standard) version 4.0
          • Rapport Profil de sécurité logicielle

            Le rapport Profil de sécurité logicielle présente une analyse exhaustive des caractéristiques de votre application ayant un impact direct sur sa sécurité. Il fournit un audit détaillé des fonctions de sécurité cruciales du logiciel pour un projet spécifique. Ce rapport vous aide à vérifier l'implémentation d'exigences telles que le chiffrement, le contrôle d'accès, la journalisation et le traitement des erreurs avant la certification du logiciel pour son déploiement.

        • Vue Constatation détaillée

          Lorsque vous sélectionnez une constatation, la vue Constatation détaillée, dans laquelle vous pouvez modifier ses propriétés, s'affiche. Avec cette vue, vous pouvez modifier une constatation individuelle.

        • Vue Métriques

          Cette vue présente des statistiques basées sur une évaluation et inclut le nombre de lignes de code analysées, la nombre total de constatations, la densité des vulnérabilités et V/KLoC.

        • Vue Groupements

          La vue Groupements répertorie tous les groupements associés à l'espace de travail/application AppScan® Source for Development (ainsi que les projets qu'il contient) (les groupements autres que Groupement exclu doivent avoir au préalable été créés dans AppScan Source for Analysis).

        • Vue Comment résoudre le problème

          La AppScan® Source Security Knowledgebase fournit des renseignements sur chaque vulnérabilité dans son contexte spécifique. La Knowledgebase vous explique la nature de la vulnérabilité, pourquoi son utilisation n'est pas sûre, comment la corriger et comment l'éviter à l'avenir. Une fois l'examen réalisé, la Knowledgebase fournit les informations spécifiques nécessaires pour éliminer les risques dans les applications critiques pour votre activité. Le conseil pour la résolution provenant de la Knowledgebase apparaît dans la vue Comment résoudre le problème. Une fois l'examen réalisé, la Knowledgebase fournit les informations spécifiques nécessaires pour éliminer les risques dans les applications critiques pour votre activité.

        • Vue Trace

          AppScan® Source effectue une analyse des entrées/sorties, puis identifie et affiche les vulnérabilités détectées. Une icône identifie dans la liste des constatations les lignes contenant un diagramme de trace AppScan Source.

        • Vue Sources et collecteurs

          Cette vue permet de visualiser des constatations en fonction d'une trace des entrées et des sorties.

        • Editeurs Eclipse et AppScan® Source

          Les éditeurs affichent le code source du projet en cours. Lorsque vous accédez à une erreur dans la vue Constatations, Erreurs ou Groupements, la ligne de code correspondante est soulignée dans l'éditeur. Une infobulle s'affiche dans la barre de défilement de gauche. Les marqueurs de problème, qui indiquent l'emplacement de vulnérabilités du code, s'affichent dans la barre de défilement de droite.

        • Vue Erreurs

          La vue Erreurs affiche des problèmes de code, des erreurs et des avertissements. Lorsque vous cliquez deux fois sur l'icône d'un problème, d'une erreur ou d'un avertissement, Java™ Editor s'ouvre et le code problème apparaît souligné.

      • Emplacements des fichiers de données utilisateur et des fichiers d'installation

        Lorsque vous installez AppScan® Source, les fichiers de données utilisateur et de configuration sont stockés hors du répertoire d'installation.

      • Prise en charge de CWE

        La liste CWE (Common Weakness Enumeration) est une liste de normes de l'industrie fournissant des noms usuels pour les faiblesses logicielles publiquement connues. Cette rubrique répertorie les ID CWE pris en charge dans la version actuelle de AppScan® Source.

      • Analyse de résultats intelligente (IFA)

        Découvrez l'auto-triage et l'analyse des constatations depuis AppScan® Source.

  • Référence

    Consultez les informations de référence pour HCL® AppScan® Source, y compris l'utilisation d'utilitaires, de plug-ins et d'API.

  • Traitement des incidents et support

    Informations, ressources et outils d'auto-assistance pour vous aider à résoudre les problèmes lors de l'utilisation de HCL® AppScan® Source.

 Feedback

Rapports Open Web Application Security Project (OWASP) Top 10 2017 et 2021

Cette rubrique propose des liens vers le site Web Open Web Application Security Project (OWASP) ainsi que vers des documents d'aide.

Pour plus d'informations sur OWASP, voir https://www.owasp.org/index.php/Main_Page. Des liens vers divers documents et risques de sécurité OWASP sont disponibles sur le site https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project.

  • Share: Email
  • Twitter
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences