Affichage des constatations

La vue Constatations, ou toute vue contenant des constatations, affiche leur arborescence (regroupement hiérarchique des critères d'évaluation) et un Tableau des constatations pour chaque examen. L'élément sélectionné dans l'arborescence des constatations détermine les constatations présentées dans le tableau.

Lorsque vous sélectionnez la racine de l'arborescence, toutes les constatations s'affichent dans le tableau. Lorsque vous sélectionnez un type de groupement, seules les constatations de ce type apparaissent.

Vue Constatations

AppScan® Source for Analysis affiche les constatations dans des regroupements différents incluant :

  • Groupe de correctifs (par défaut)

    Les groupes de correctifs dans l'arborescence des constatations sont répertoriés selon la hiérarchie suivante : Groupe et type vulnérabilité > Source > Gravité.

  • Type de vulnérabilité
  • Classification
  • Fichier
  • Source
  • Collecteur
  • API
  • Groupement
  • CWE
  • CWE
Remarque : les classifications et gravités sont triées par défaut par ordre descendant. Toutes les autres colonnes sont triées par ordre ascendant.

Les colonnes suivantes apparaissent dans un tableau des constatations.

Tableau 1. Tableau Constatations
En-tête de colonne Description
Trace Une icône dans cette colonne indique qu'il existe une trace pour les collecteurs perdus ou connus.
Gravité
  • Elevée : Pose un risque pour la confidentialité, l'intégrité et la disponibilité des données et/ou des ressources de traitement. Vous devriez affecter cette priorité aux conditions nécessitant une résolution immédiate.
  • Moyenne : Pose un risque pour la sécurité des données et l'intégrité des ressources mais la condition est moins susceptible de subir des attaques. Les conditions de gravité moyenne devraient être examinées et résolues dans la mesure du possible.
  • Faible : Pose un risque minime à la sécurité des données et à l'intégrité des ressources.
  • Info : La constatation elle-même ne présente pas de risque. Elle décrit plutôt les technologies, les caractéristiques de l'architecture ou les mécanismes de sécurité utilisés dans le code.
Classification Type de constatation : constatation de sécurité Définitive ou Suspectée - ou constatation de Couverture d'examen.
Remarque : Dans certains cas, la classification Aucun est utilisée pour indiquer une constatation qui n'est ni une constatation de sécurité ni une constatation de couverture d'examen.
Type de vulnérabilité Catégorie de la vulnérabilité, telle que Validation.Required ou Injection.SQL.
API Indique l'appel vulnérable, en présentant à la fois l'API et les arguments qui lui sont transmis.
Source Une source est une entrée du programme, telle qu'un fichier, une requête de servlet, une saisie depuis la console ou un socket. Dans le cas de la plupart des sources d'entrées, les données renvoyées ne sont pas limitées en termes de contenu et de longueur. Lorsqu'une entrée n'est pas vérifiée, elle est considérée comme entachée.
Collecteur un collecteur peut être un format externe quelconque dans lequel des données peuvent être consignées. Comme exemples de collecteurs, on peut citer des bases de données, des fichiers, des sorties console et des sockets. La consignation de données dans un collecteur sans leur vérification peut donner lieu à une vulnérabilité sérieuse de la sécurité.
Directory Chemin d'accès complet des fichiers analysés.
Fichier Nom du fichier de code dans lequel la constatation de sécurité ou la constatation de couverture d'examen survient. Les chemins de fichier dans les constatations sont relatifs au répertoire de travail du projet analysé.
Méthode d'appel Fonction (ou méthode) depuis laquelle l'appel vulnérable est effectué.
Ligne Numéro de la ligne dans le fichier de code contenant l'API vulnérable.
Groupement Groupement contenant cette constatation.
CWE ID et sujet du dictionnaire de faiblesses logicielles courantes développé par la communauté (rubriques CWE - Common Weakness Enumeration).
Remarque : Si vous sélectionnez une constatation et que AppScan® Source ne peut pas trouver de source liée à celle-ci, vous verrez apparaître une boîte de dialogue qui vous permet de choisir si vous souhaitez être consulté lorsque cette situation se produit. Si vous sélectionnez Oui, vous serez consulté à chaque fois qu'une constatation est sélectionnée et qu'aucun fichier source ne peut être trouvé pour celle-ci. Si vous sélectionnez Non, vous ne serez pas consulté. Ce paramètre demeure disponible tant que l'évaluation en cours est ouverte. Ce paramètre est réinitialisé à chaque fois que l'évaluation est ouverte ou si vous quittez AppScan® Source.