Concepts importants
Avant de commencer à utiliser ou administrer AppScan® Source, vous devez vous familiariser avec les concepts fondamentaux de AppScan® Source. Cette section définit la terminologie et les concepts de base de AppScan® Source. Les chapitres ultérieurs reviennent sur ces définitions pour vous aider à comprendre leur contexte dans AppScan® Source for Analysis.
AppScan® Source for Analysis examine le code source pour détecter des vulnérabilités et génère des constatations. Ces constatations sont les vulnérabilités détectées au cours d'un examen et le résultat d'un examen constitue une évaluation. Un groupement désigne une collection nommée de constatations individuelles et est stocké avec une application.
Les applications, leurs attributs et les projets sont créés et organisés dans AppScan® Source for Analysis :
- Applications : une application contient un ou plusieurs projets et leurs attributs associés.
- Projets : un projet est constitué d'un jeu de fichiers, notamment un code source, et de ses informations connexes, comme des données de configuration. Un projet fait toujours partie d'une application.
- Attributs : un attribut est une caractéristique d'une application qui aide à organiser les résultats de l'examen en groupes significatifs, tels que par service ou par chef de projet. Vous définissez les attributs dans AppScan® Source for Analysis.
L'activité principale de AppScan® Source for Analysis est l'examen du code source et la détection des vulnérabilités. Les évaluations fournissent une analyse du code source pour l'identification de vulnérabilités et comprennent les éléments suivants :
- Gravité : élevée, moyenne ou faible, qui identifie le niveau de risque
- Type de vulnérabilité : catégorie de vulnérabilité (par exemple, injection SQL ou dépassement de mémoire tampon)
- Fichier : fichier de code dans lequel la constatation existe
- API/Source : appel vulnérable, où est présenté l'API et les arguments qui lui sont transmis
- Méthode : fonction ou méthode depuis laquelle l'appel vulnérable est émis
- Emplacement : numéro de la ligne et de la colonne dans le fichier de code qui contient l'API vulnérable
- Classification : constatation de sécurité ou constatation de couverture d'examen. Pour plus d'informations, voir Classifications.