nos solutions

HCL AppScan

Contactez-nous dès aujourd’hui.

HCL AppScan

AppScan est un fournisseur d’outils de test de sécurité des applications qui aide les éditeurs de logiciels à détecter et à remédier aux vulnérabilités, ainsi qu’à se conformer aux réglementations et aux meilleures pratiques en matière de sécurité. Ses puissants moteurs de balayage statique, dynamique et interactif peuvent être déployés à chaque phase du cycle de développement et tester les applications web, les API et les applications mobiles. Les moteurs de balayage d’AppScan sont entretenus par des chercheurs en sécurité experts et constamment mis à jour pour rester à jour avec les nouvelles technologies et les tactiques d’attaque.

  • Tests de sécurité des applications prêts pour DevOps, qui peuvent fonctionner en harmonie avec la plupart des pipelines CI/CD.
  • Sécurité orientée vers la gauche pour aider les entreprises à identifier les problèmes tôt dans le cycle de développement, lorsqu’ils sont plus faciles et moins coûteux à résoudre.
  • Une suite complète de tests de sécurité qui orchestre plusieurs technologies de balayage – DAST, SAST, SCA et IAST – pour trouver plus de vulnérabilités.
  • Balayage continu des vulnérabilités pour automatiser les tests de chaque version incrémentale et découvrir les vulnérabilités qui peuvent vous exposer à des risques.
  • Conformité continue aux réglementations et aux meilleures pratiques de l’industrie pour vous assurer que vous êtes toujours en conformité.

DAST (Dynamic Application Security Testing – Test de sécurité dynamique des applications)

Accélération spectaculaire de nos analyses DAST est rendue possible grâce à une combinaison de nouvelles fonctionnalités, notamment :

  • Les optimisations des tests se concentrent sur les vulnérabilités les plus graves et celles qui ont plus de chances d’être identifiées, garantissant ainsi que des analyses plus courtes fournissent des résultats utiles
  • La focalisation des analyses sur les vulnérabilités significatives et l’adaptation continue des politiques de test au paysage des menaces actuel réduisent considérablement les temps d’analyse.
  • Dans AppScan V10, les utilisateurs peuvent choisir de faire un compromis entre la vitesse (dans certains cas, jusqu’à 90% de temps de test plus court) et la profondeur, ou ils peuvent toujours effectuer des analyses complètes selon les besoins.
  • Les analyses progressives qui se concentrent uniquement sur les parties de l’application qui ont changé permettent une accélération spectaculaire des temps d’analyse.
  • Au lieu d’analyser l’ensemble de l’application à chaque nouvelle version, les scanners identifient automatiquement les parties de l’application qui ont changé et se concentrent sur les tests de cette nouvelle fonctionnalité.

Les analyses SAST plus rapides sont rendues possibles grâce à trois nouvelles fonctionnalités introduites dans notre moteur d’analyse SAST :

  • La possibilité de configurer les analyses, permettant aux opérateurs de faire un compromis entre vitesse et profondeur.
  • L’utilisation de l’analyse distribuée pour accélérer le traitement intensif en calcul en le répartissant sur plusieurs ressources informatiques.
  • Les analyses progressives permettent des analyses plus courtes qui se concentrent uniquement sur les parties du code qui ont changé.
  • Des analyses plus précises sont rendues possibles grâce à la filtration et à la priorisation basées sur l’IA, qui se concentrent sur les vulnérabilités de gravité élevée nécessitant une attention immédiate.

Révolutionnaire IAST

AppScan V10 présente une toute nouvelle solution de test de sécurité interactive des applications (IAST) facile à installer, avec un impact de performance réduit et une meilleure détection des vulnérabilités. L’agent IAST instrumente automatiquement le code en temps d’exécution de l’application et surveille les exécutions de code vulnérables qui nécessitent une attention. Plus précisément, il surveille la propagation des données sensibles (taint propagation) et la qualité des sanitiseurs de l’application.

AppScan IAST peut être utilisé en mode passif, sans aucune tentative délibérée d’exploiter l’application, ou en mode actif, où un scanner DAST est utilisé pour « attaquer » activement l’application.

AppScan IAST peut être utilisé à n’importe quelle étape du cycle de développement, de l’IDE à la production, pour repérer les exécutions de code vulnérable. Il permet aux développeurs de tester leur code depuis l’IDE, aux experts en assurance qualité et en sécurité d’analyser l’application dans un environnement de test, ou aux équipes d’exploitation de surveiller l’application en production.

Outils de test centrés sur les développeurs

AppScan V10 aide les entreprises à mettre en œuvre des tests de sécurité dès le début (shift-left) en introduisant des outils de test adaptés aux développeurs. Le plug-in de l’IDE d’AppScan permet aux développeurs d’exécuter des analyses en temps réel sur le code dans l’IDE. Le code vulnérable est surligné – comme un correcteur orthographique surlignerait un mot mal orthographié – et les développeurs peuvent facilement résoudre le problème en utilisant les recommandations de correction contextuelles. AppScan prend également en charge le SAST, le DAST et l’IAST privés, pour aider les développeurs à identifier les problèmes en privé, avant de valider leur code, et surtout, avant d’impacter le cycle de publication.

Automatisation adaptée à DevOps

Amélioration des APIs

AppScan V10 propose des dizaines d’APIs nouvelles ou améliorées pour déclencher des analyses, modifier des configurations, gérer des utilisateurs, et plus encore.

Amélioration des plug-ins

La suite de tests de sécurité AppScan dispose d’un ensemble complet de plug-ins pour assurer son intégration avec d’autres outils DevOps. La version 10 introduit des améliorations majeures aux plug-ins Jenkins et UrbanCode.

Cloud

AppScan on Cloud (ASoC) continue de fournir une suite complète d’outils de test de sécurité depuis le cloud, comprenant le SAST, le DAST, l’IAST, le SCA et l’analyse mobile. Les clients peuvent commencer à analyser leurs applications sans installer de logiciel et sans frais de licence initiaux.

Sur site (On-Premise)

AppScan Standard est un outil de test de sécurité des applications dynamiques conçu pour les experts en sécurité et les testeurs de pénétration. À l’aide d’un moteur de numérisation puissant, AppScan parcourt automatiquement l’application cible et teste les vulnérabilités.

AppScan Enterprise offre des capacités évolutives de test de sécurité des applications et de gestion des risques pour aider les entreprises à gérer les risques et la conformité. AppScan permet aux équipes de sécurité et de DevOps de collaborer, d’établir des politiques et de réaliser des tests tout au long du cycle de développement des applications. L’interface REST d’AppScan Enterprise permet l’intégration avec divers outils d’automatisation pour assurer une intégration transparente avec les pipelines CI/CD de DevOps.

AppScan Source aide les organisations à développer des logiciels plus sécurisés et à éviter les vulnérabilités coûteuses qui se manifestent tard dans le cycle de développement. En intégrant les tests de sécurité dès le début du cycle de développement – c’est-à-dire la sécurité dès le départ (shift-left security) – AppScan réduit l’exposition aux risques et les coûts de remédiation.