Bienvenue
Bienvenue dans la documentation relative à HCL®AppScan® Source.
Introduction à HCL®AppScan® Source
HCL®AppScan® Source offre une valeur optimale à tous les utilisateurs de votre entreprise jouant un rôle dans la sécurité logicielle. Que vous soyez analyste de la sécurité, professionnel de l'assurance qualité, développeur ou responsable en matière de sécurité, les produits AppScan Source vous apportent les fonctionnalités, la souplesse et la puissance dont vous avez besoin sur votre ordinateur.
Concepts importants
Avant de commencer à utiliser ou administrer AppScan® Source, vous devez vous familiariser avec les concepts fondamentaux de AppScan Source. Cette section définit la terminologie et les concepts de base de AppScan Source. Les chapitres ultérieurs reviennent sur ces définitions pour vous aider à comprendre leur contexte dans AppScan Source for Analysis.
Présentation d'HCL®AppScan® Source for Analysis
Cette section décrit comment AppScan® Source for Analysis s'intègre dans la solution AppScan Source complète et fournit une base pour la compréhension du flux de travaux d'assurance logicielle.
Connexion à AppScan® Enterprise Server à partir des produits AppScan® Source
La plupart des produits et des composants AppScan® Source requièrent une connexion à un serveur AppScan Enterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partage d'évaluations. Toute la gestion des utilisateurs s'effectue dans AppScan Enterprise.
Conformité avec la législation en vigueur aux Etats-Unis
La conformité avec la législation en vigueur aux Etats-Unis sur la technologie de l'information et la sécurité contribue à éliminer les entraves et les obstacles d'ordre commercial. Elle prouve également aux clients du monde entier qu'HCL® fait le maximum pour créer les produits les plus sûrs du marché. Cette rubrique répertorie les normes et instructions prises en charge par AppScan® Source.
AppScan® Source et l'accessibilité
L'accessibilité concerne les utilisateurs atteints d'un handicap physique, tel qu'une mobilité réduite ou une vision limitée. Les problèmes d'accessibilité peuvent empêcher un utilisateur d'utiliser un produit logiciel avec succès. Cette rubrique présente les problèmes d'accessibilité connus liés à AppScan® Source, ainsi que les solutions pour les contourner.
Nouveautés
Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.
Installation
Apprenez à installer, mettre à niveau et activer HCL®AppScan® Source.
Modèles de déploiement d'AppScan® Source
Cette section décrit trois modèles de déploiement différents ainsi que les composants qui constituent chaque modèle.
Exemples de scénarios d'installation
Lorsque vous installez AppScan® Source, il est important de suivre la procédure d'installation appropriée. Ces rubriques vont vous guider tout au long des étapes requises dans des exemples de scénarios d'installation.
Installation avancée et rubriques d'activation
Cette section décrit les options d'installation avancée et les procédures d'activation.
Programme d'installation silencieuse d'AppScan® Source
L'assistant d'installation silencieuse d'AppScan® Source permet de créer des programmes d'installation silencieuse.
Suppression d'AppScan® Source de votre système
Vous pouvez supprimer AppScan® Source depuis le Panneau de configuration Windows™ ou via un script de désinstallation Linux™. La désinstallation de AppScan Source ne supprime pas et ne sauvegarde pas une base de données Oracle installée. La suppression de l'utilisateur AppScan Source d'une instance Oracle est une tâche manuelle d'administration de base de données.
Configuration
Découvrez comment configurer des applications et des projets, et définir des attributs et des propriétés dans HCL®AppScan® Source.
Configuration d'applications et de projets
Avant d'effectuer un examen, vous devez configurer les applications et les projets. Cette section décrit les assistants Application Discovery Assistant, Nouvelle application et Nouveau projet. Vous apprendrez à configurer les attributs pour AppScan® Source for Analysis. En outre, cette section vous explique comment ajouter des applications et projets existants à l'examen et comment ajouter des fichiers à des projets.
Préférences
Les préférences sont les choix personnels de l'utilisateur concernant l'apparence et le fonctionnement de AppScan® Source for Analysis.
Administration
Apprenez à administrer les comptes utilisateur et les droits, auditer l'activité des utilisateurs d'audit et à gérer les intégrations dans HCL®AppScan® Source.
Administration de AppScan® Source
Cette section décrit la gestion des utilisateurs, les autorisations, l'enregistrement des applications et des projets ainsi que la configuration des ports.
Audit de l'activité de l'utilisateur
AppScan® Source offre un emplacement pratique pour auditer l'activité de l'utilisateur. La vue Audit consigne les événements tels que l'authentification sur le serveur AppScan Enterprise Server, la création d'utilisateurs et la création de règles dans la base de données.
Connexion à AppScan® Enterprise Server à partir des produits AppScan® Source
La plupart des produits et des composants AppScan® Source requièrent une connexion à un serveur AppScan Enterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partage d'évaluations. Toute la gestion des utilisateurs s'effectue dans AppScan Enterprise.
l'intégration LDAP,
Pour ajouter un utilisateur AppScan® Source qui sera authentifié via LDAP, vous devez avoir configuré le référentiel d'utilisateurs AppScan Enterprise Server pour utiliser un référentiel d'utilisateurs LDAP.
Fichiers d'application et de projet AppScan® Source
Les applications et les projets AppScan® Source ont des fichiers correspondants qui contiennent les informations de configuration requises pour l'examen et pour la personnalisation du triage. Il est recommandé de placer ces fichiers dans le même répertoire que le code source car les informations de configuration (dépendances, options du compilateur, etc.) requises pour générer les projets sont très similaires à celles requises pour que AppScan Source puisse les examiner avec succès. Les bonnes pratiques consistent à gérer ces fichiers avec votre système de contrôle des sources.
Examen
Cette section explique comment examiner votre code source et gérer les évaluations dans HCL®AppScan® Source.
Examen des espaces de travail, des projets et des fichiers
Vous pouvez examiner un espace de travail, un projet ou un fichier Eclipse. Sont inclus l'examen de Java™ (y compris Android), l'examen des pages JSP (JavaServer Pages) et l'examen des projets IBM® MobileFirst Platform.
Gestion de Mes évaluations
La vue Mes évaluations contient une liste d'évaluations (évaluation actuellement ouverte, ainsi que les évaluations que vous avez enregistrées). Depuis cette vue, vous pouvez ouvrir, supprimer, sauvegarder, renommer ou comparer des évaluations. Lorsqu'un examen se termine ou lorsque vous ouvrez une évaluation, celle-ci apparaît dans la vue Mes évaluations. Cette vue contient un tableau des évaluations ouvertes ou sauvegardées et identifie les évaluations publiées ou modifiées. La suppression d'une évaluation de cette vue (sans qu'elle soit sauvegardée ni publiée) est définitive.
Envoi d'évaluations AppScan® Source vers le cloud à des fins d'analyse
Si vous avez un abonnement à HCL AppScan on Cloud dans HCL Cloud Marketplace, vous pouvez soumettre des évaluations AppScan® Source pour analyse ici. Les évaluations des versions 9.0 ou ultérieures d'AppScan Source sont prises en charge et le nombre d'examens que vous pouvez soumettre dépend de votre abonnement à AppScan sur Cloud.
Publication d'évaluations
AppScan® Source offre deux options de publication. Vous pouvez publier des évaluations sur AppScan Base de données Source pour les stocker et pour les partager. Si votre serveur AppScan Enterprise Server a été installé avec l'option Enterprise Console, vous pouvez publier dessus des évaluations. La AppScan Enterprise Console offre divers outils de gestion des évaluations, tels que des fonctions de génération de rapports, de gestion de problème et d'analyse de tendance, ainsi que des tableaux de bord.
Ouverture et sauvegarde d'évaluations
AppScan® Source examine le code source pour détecter des vulnérabilités et génère des constatations. Ces constatations sont les vulnérabilités détectées au cours d'un examen et le résultat d'un examen constitue une évaluation. Vous pouvez ouvrir une évaluation sauvegardée à partir d'AppScan Source for Development ou AppScan Source for Analysis. Après votre examen, vous pouvez sauvegarder l'évaluation sur un fichier. Ensuite, vous pouvez rouvrir l'évaluation à tout moment. Les évaluations sont sauvegardées sous la forme filename.ozasmt.
Suppression d'évaluations de Mes évaluations
Lorsque des évaluations sont supprimées de la vue Mes évaluations, elles ne sont pas supprimées de votre système local de fichiers. Si une évaluation est supprimée de la vue, elle peut être ajoutée à nouveau à l'aide de l'action Ouvrir une évaluation.
Définition de variables
Lors de la sauvegarde d'évaluations ou de groupements, ou de la publication d'évaluations, AppScan® Source for Analysis peut vous suggérer de créer une variable pour remplacer des chemins absolus (sans variables, AppScan Source for Analysis consigne des chemins absolus vers le fichier d'évaluation pour référencer des éléments tels que des fichiers source). La configuration de variables pour des chemins absolus facilite le partage des évaluations entre plusieurs ordinateurs. L'utilisation de variables est conseillée en cas de partage des évaluations.
Triage et analyse
Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
Affichage des constatations
La vue Constatations, ou toute vue contenant des constatations, affiche leur arborescence (regroupement hiérarchique des critères d'évaluation) et un Tableau des constatations pour chaque examen. L'élément sélectionné dans l'arborescence des constatations détermine les constatations présentées dans le tableau.
Processus de triage AppScan® Source
Le processus de triage désigne la manipulation des constatations via des groupements, des filtres et des exclusions et la comparaison des résultats des évaluations.
Exemple de triage
Cet exemple décrit un flux de travaux de triage AppScan® Source utilisé par un analyste de la sécurité. Le flux de travail de triage peut varier en fonction des besoins de votre activité.
Triage avec des filtres
AppScan® Source for Analysis rend compte de toutes les vulnérabilités de sécurité potentielles et peut donc générer des milliers de constatations pour une base de code de moyenne/grande envergure. Lors de l'examen, vous pouvez conclure que la liste des constatations contient des éléments sans importance dans votre cas. Pour éliminer certains éléments de la vue Constatations, vous pouvez choisir un filtre prédéfini ou créer votre propre filtre. Un filtre spécifie les critères qui déterminent les constatations à supprimer de la vue.
Triage avec exclusions
Après un examen, vous pouvez décider que certaines constatations ne sont pas pertinentes pour votre travail actuel et que vous ne désirez pas qu'elles soient visibles dans le tableau des constatations lors du triage de ces résultats. Ces exclusions (ou constatations exclues) n'apparaissent plus dans la vue Constatations et les métriques des évaluations sont immédiatement actualisées avec les résultats modifiés. Le filtrage et les exclusions de groupements ajoutés à une configuration ne prennent effet que lors des examens ultérieurs.
Utilisation de groupements
Un groupement (mécanisme d'agrégation de constatations) vous permet d'importer un instantané de constatations depuis AppScan® Source for Analysis vers AppScan Source for Development. Une fois que les constatations se trouvent dans des groupements, vous pouvez utiliser AppScan Source for Development pour ouvrir le projet qui contient le groupement, importer le groupement ou ouvrir un fichier de groupement sauvegardé (file_name.ozbdl).
Utilisation de groupes de correctifs de l'analyse statique
Les groupes de correctifs sont une nouvelle approche de la gestion, du triage et de la résolution de problèmes détectés dans l'analyse statique. Après l'exécution d'un examen statique, AppScan® Source organise les problèmes détectés en groupes de correctifs, en fonction du type de vulnérabilité et de la tâche de résolution requise.
Modification de constatations
Les constatations modifiées sont celles dont le type de vulnérabilité, la classification ou la gravité a été modifié ou auxquelles des annotations ont été ajoutées. La vue Constatations modifiées affiche ces constatations pour l'application en cours (l'application active après qu'une évaluation a été ouverte pour cette application). Dans la vue Mes évaluations (disponible uniquement dans AppScan® Source for Analysis), la colonne Modifié indique si une constatation a été modifiée dans l'évaluation en cours.
Comparaison des constatations
Utilisez l'action Evaluations de différences ou l'utilitaire AppScanDelta pour comparer les évaluations. Lorsque deux évaluations sont comparées, leurs différences s'affichent dans la vue Différences entre les évaluations ou dans un fichier .ozasmt. Les résultats contiennent les constatations nouvelles, corrigées/manquantes et communes.
Constatations personnalisées
Pour étoffer vos résultats d'analyse, vous pouvez créer des constatations personnalisées. Il s'agit de constatations créées par l'utilisateur que AppScan® Source for Analysis ajoute à l'évaluation ouverte actuellement ou à l'application sélectionnée. Les constatations personnalisées affectent les métriques d'évaluations et peuvent être incluses dans des rapports. Une fois créée, une constatation personnalisée est incluse automatiquement dans les examens ultérieurs de l'application.
Résolution des problèmes de sécurité et affichage de l'aide à la résolution
AppScan® Source vous alerte en cas d'erreurs ou de failles de conception courantes de la sécurité et vous assiste dans leur processus de résolution. La AppScan Base de connaissances de sécurité Source et les éditeurs de code internes ou externes vous aident au cours de ce processus.
Annotations et attributs pris en charge
Certains attributs ou annotations utilisés pour enrichir le code sont traités lors des examens. Lorsqu'une annotation ou un attribut pris en charge est détecté lors d'un examen, ces informations sont utilisées pour marquer la méthode enrichie en tant que rappel entaché. Une méthode marquée comme rappel entaché est traitée si tous ses arguments comportent des données entachées. Ceci débouche sur un plus grand nombre de constatations accompagnées de traces. Les annotations et attributs pris en charge sont répertoriés dans cette rubrique d'aide.
Trace AppScan® Source
La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
Génération de rapports
Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.
Création de rapports personnalisés
Dans l'éditeur de rapport, vous pouvez créer des modèles de rapport servant à générer des rapports personnalisés.
Exportation de constatations
Exportez les constatations au format CSV ou SARIF à partir de la liste des constatations d'un examen.
Extension des fonctionnalités du produit
Apprenez à étendre le produit pour répondre à des exigences de développement spécifiques.
Personnalisation de la base de données des vulnérabilités et des règles de schémas
Cette section explique comment personnaliser la base de données et intégrer des vulnérabilités personnalisées et d'autres routines dans des examens.
Extension de l'infrastructure d'importation de serveur d'applications
AppScan® Source vous permet d'importer des applications Java™ depuis Apache Tomcat et le profil Liberty WebSphere® Serveur d'applications. Vous pouvez importer des applications Java à partir d'autres serveurs d'applications en étendant l'infrastructure d'importation de serveurs d'applications, comme expliqué dans cette rubrique.
HCL®AppScan® Source for Development (plug-in Eclipse)
Avec AppScan® Source for Development, vous pouvez travailler dans votre environnement de développement existant et effectuer une analyse de la vulnérabilité en matière de sécurité de vos projets Java et IBM® MobileFirst Platform. L'analyse de sécurité permet de dénicher les vulnérabilités dans le code source et de les éliminer avec l'assistance de rattrapage de AppScan Base de connaissances de sécurité Source.
Référence
Consultez les informations de référence pour HCL®AppScan® Source, y compris l'utilisation d'utilitaires, de plug-ins et d'API.
L'utilitaire de génération Ounce/Make
Ounce/Make est un outil automatisant l'importation d'informations de configuration dans AppScan® Source à partir d'environnements de génération utilisant un fichier makefile. Ounce/Make vous évite d'avoir à importer manuellement ces informations des fichiers makefiles. C'est la méthode recommandée pour configurer ces projets.
AppScan® Source - Interface de ligne de commande (CLI)
L'interface CLI est une interface de la fonctionnalité de base AppScan® Source.
L'outil de génération Ounce/Ant
Cette section décrit comment utiliser Ounce/Ant, qui est un utilitaire de génération AppScan® Source intégrant AppScan Source et Apache Ant. L’intégration d’Ounce/Ant avec votre environnement Ant vous aide à automatiser les générations et les évaluations de code.
API d'accès aux données AppScan® Source
L'API d'accès aux données fournit l'accès aux résultats d'évaluation générés par AppScan® Source, y compris aux constatations et aux détails des constatations. Elle donne également accès aux métriques d'évaluation telles que la date et l'heure de l'analyse, le nombre de lignes de code, la densité V et le nombre de constatations.
Glossaire
Apprenez la terminologie courante du produit
Traitement des incidents et support
Informations, ressources et outils d'auto-assistance pour vous aider à résoudre les problèmes lors de l'utilisation de HCL®AppScan® Source.
Présentation du processus d'identification des incidents
Le processus d'identification et de résolution des incidents consiste à rechercher et à éliminer la cause d'un incident. En présence d'un incident lié à votre logiciel, vous commencez ce processus dès que vous vous posez la question Que s'est-il passé ?
Contacter le service de support logiciel HCL®
Si les ressources d'aide ne vous ont pas permis de résoudre votre incident, vous pouvez contacter le service de support logiciel HCL®. Le service de support logiciel HCL fournit une aide à la résolution des défauts des produits.