Personnalisation à l'aide de règles basées sur des schémas
L'examen AppScan® Source basé sur des schémas est une analyse de votre code source basée sur des critères de recherche personnalisés. Cet examen est similaire à celui de la fonction grep (grep recherche une chaîne de caractères donnés ou un schéma dans un ou plusieurs fichiers). Les auditeurs ou les analystes de la sécurité effectuant un triage peuvent utiliser un examen basé sur des schémas afin de rechercher des schémas spécifiques dans les applications indiquées ou dans un projet. Après avoir défini un schéma comme constituant un type de vulnérabilité, un examen de votre code source identifie la présence de ce schéma comme une vulnérabilité. Lorsque AppScan® Source détecte une correspondance, l'élément concerné figure dans le tableau des constatations. La bibliothèque de règles AppScan® Source prête à l'emploi inclut des règles et des ensembles de règles (collections de règles) prédéfinis.
L'examen basé sur des schémas recherche une expression régulière. Une expression régulière, fréquemment appelée schéma, désigne une chaîne qui décrit ou correspond à un ensemble de chaînes, compte tenu de certaines règles de syntaxe. Vous pouvez indiquer une recherche en créant une règle. Une règle est similaire à une règle personnalisée que vous ajoutez à la AppScan® Source Security Knowledgebase dans la vue Règles personnalisées. Lorsque vous créez une règle, vous devez définir sa gravité, sa classification, le type de vulnérabilité, ainsi que d'autres critères.
La section Vue Bibliothèque de règles de schémas vous permet de créer de nouvelles règles de schémas et ensembles de règles, mais aussi de modifier ou de supprimer des règles ou ensembles existants. Vous utilisez ensuite la vue Propriétés pour une application sélectionnée, la vue Propriétés pour un projet sélectionné ou des configurations d'examen pour appliquer les règles de schémas et les ensembles de règles (vous pouvez aussi lancer la boîte de dialogue qui vous permet de créer une nouvelle règle depuis ces vues).* Pour plus d'informations sur l'application des règles et des ensembles de règles, voir Application de règles et d'ensembles de règles de schémas.
Exemples de règles de schéma pouvant être créées :
- Correspondances de schéma de nom de fichier
- Règle unique avec multiples schémas
- Règles d'absence