Triage et analyse
Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
Lorsque vous examinez le code, les résultats de l'examen, dénommés constatations, apparaissent. Le triage désigne le processus d'évaluation des constatations et de détermination de la manière de les résoudre. Cependant, les procédures requises pour atteindre cet objectif dépendent de facteurs multiples, notamment du nombre total de constatations, de questions de sécurité spécifiques, de l'évaluation des risques de l'application, etc. Outre le fait de déterminer si une constatation dénote un problème de sécurité valide, le triage implique également la modification des attributs des constatations (gravité, type, classification), le cas échéant.
L'utilisation d'une stratégie de triage est importante pour garantir la réalisation de vos objectifs dans l'ordre voulu et les délais impartis. Le triage optimal est réalisé par le biais d'une itération dans laquelle vous évaluez un sous-ensemble de constatations et déterminez la position de chaque sous-ensemble dans chaque itération. Plusieurs approches valides sont possibles pour décider comment définir les itérations du triage. Une approche consiste à créer des sous-ensembles de constatations à haut risque basés sur leur gravité globale. Vous pouvez alors commencer à résoudre les constatations présentant le risque potentiel le plus élevé, avant de passer aux constatations mineures. Une autre approche consiste à définir des sous-ensembles en fonction de la menace posée à la sécurité (par exemple, injection SQL ou validation requise).
Le triage est généralement effectué par un analyste de la sécurité ou un auditeur du service informatique. Celui-ci peut soumettre les constatations imposant des modifications du code à un système de suivi des défauts, puis aux développeurs pour leur résolution. Dans certains cas, les développeurs peuvent procéder eux-mêmes au triage et à la résolution des problèmes.
Lors de la phase de triage, vous pouvez :
- Examiner les constatations associées à des types de vulnérabilité particulièrement pertinents
- Afficher les API d'une catégorie spécifique
- Comparer les constatations d'évaluations différentes
- Filtrer ou exclure des constatations spécifiques
- Modifier la gravité ou le type de vulnérabilité d'une constatation
- Promouvoir les constatations suspectées et les constatations de couverture d'examen en constatations définitives
- Annoter des constatations
- Soumettre des défauts à des systèmes de suivi des défauts ou transmettre des constatations à d'autres intervenants par courrier électronique.
AppScan® Source fournit tous les outils nécessaires pour analyser les résultats par le biais de différentes stratégies de triage. Le filtrage permet de visualiser exclusivement les constatations à traiter au cours d'une itération de triage spécifique. Si votre stratégie d'itération repose sur leur gravité et classification, vous pouvez filtrer les constatations depuis la vue Matrice de vulnérabilités. Si elle découle du type de vulnérabilité, vous pouvez les filtrer depuis la vue Récapitulatif d'évaluation. AppScan® Source for Analysis fournit également un éditeur de filtre prenant en charge des approches d'itération complexes.
Une fois votre approche de triage sélectionnée, AppScan® Source for Analysis prend en charge le traitement des constatations.
- Exclusion de collections ou de constatations individuelles
- Modification des caractéristiques des constatations (type, gravité, classification)
- Création de groupements (mécanisme d'agrégation de constatations)
- Comparaison d'évaluations par le biais de la vue Différences entre les évaluations