Ajout d'une règle
Cette rubrique de tâche décrit la procédure d'ajout d'une règle personnalisée à l'aide de l'Assistant Règles personnalisées.
Pourquoi et quand exécuter cette tâche
Remarque : L'ajout ou la suppression de constatations de sécurité ou de couverture d'examen et la modification de leur gravité affecte la densité V du projet.
Procédure
- Ouvrez l'assistant depuis la vue Règles personnalisées en cliquant sur le bouton Lancer l'assistant Règles personnalisées.
- Sur la page Sélectionnez l'application, le projet et les fichiers, sélectionnez l'application et le projet auxquels la règle s'appliquera. Assurez-vous que l'application et le projet concerné se rapportent au code source de l'élément que vous souhaitez ajouter à la Knowledgebase. Sélectionnez la configuration si celle-ci est disponible.
- Dans la section Portée, définissez la portée de l'examen. Les options d'examen sont les suivantes et varient en fonction du langage que vous examinez :
Tableau 1. Options de fichiers de projet par langage Langage Options de fichiers de projet .NET - Examiner le projet complet pour signatures de méthodes
- Sélectionner un ou plusieurs fichiers externes au projet
Un projet .NET inclut n'importe quel assemblage valide, généralement un fichier .dll ou .exe.
Java™ - Examiner le projet complet pour signatures de méthodes
- Sélectionner un ou plusieurs fichiers dans le projet
- Sélectionner un ou plusieurs fichiers externes au projet
Un projet Java™ inclut des fichiers .jar ou .class ou une hiérarchie de répertoires de fichiers de classe.
C/C++ - Examiner le projet complet pour signatures de méthodes
- Sélectionner un ou plusieurs fichiers dans le projet
Visual Basic Examiner les fichiers FRM
(formulaires),CLS
(classe) etBAS
(basic)Classic ASP Fichiers Scan ASP files uniquement - Le mode d'examen par défaut est : Examiner le projet complet pour signatures de méthodes. Ce mode examine la totalité du projet et renvoie toutes les signatures disponibles. Ce mode d'examen peut prendre du temps.
- L'option Sélectionnez un ou plusieurs fichiers dans le projet permet d'isoler certains fichiers de projet contenant des méthodes qui peuvent nécessiter des règles personnalisées.
- L'option Sélectionnez un ou plusieurs fichiers externes au projet identifie des fichiers externes à ce projet qui doivent être inclus dans l'examen.
- Dans la section Mise en cache, cochez la case permettant de relire un projet ou un code modifié. Le cache d'analyse de vulnérabilité sera lui aussi vidé (si le projet en cours est configuré pour mise en cache de l'analyse de vulnérabilité, ce cache sera recréé à l'analyse suivante).
- Analyse de chaîne : L'analyse de chaîne surveille les manipulations de chaînes dans les projets Java™ ou Microsoft™ .NET. Elle assure la détection automatique des routines d'assainissement et de validation. Grâce à cette détection, il est possible de réduire les résultats faussement positifs ou faussement négatifs. Pour activer l'analyse de chaîne, cochez la case Activer l'analyse de chaîne pour trouver les fonctions permettant de valider et rendre inoffensif. La case Appliquer les règles importées à la portée globale détermine si les routines d'assainissement ou de validation découvertes doivent être appliquées à l'échelle du projet ou au niveau global (à tous les projets).Remarque : L'analyse de chaîne peut ralentir un examen. Il est donc recommandé de ne l'appliquer qu'après un changement de code, puis de la désactiver pour les examens suivants. En outre, les routines découvertes doivent être considérées comme des suggestions et examinées par les auditeurs. Ces routines peuvent être visualisées dans la vue Règles personnalisées.
- Cliquez sur Suivant pour passer à la page suivante de l'assistant.
- Sur la page Sélectionner les méthodes :
- Si vous ajoutez des méthodes en tant que Non vulnérable aux tâches, N'est pas une routine de validation/codage, Propagateur de tâche ou Rappel entaché, cliquez sur Terminer pour ajouter les enregistrements à la AppScan® Source Security Knowledgebase.
- Si vous ajoutez des méthodes en tant que Source (de tache) ou Message d'information, procédez comme suit :
- Si vous ajoutez des méthodes en tant que Collecteur (vulnérable aux taches) :
- Si vous ajoutez des méthodes en tant que Constatation sans trace :