Créer une demande d’évaluation de test de pénétration à partir de demandes existantes (v19.0)

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • À partir de la version 19.0, vous créez des demandes d’évaluation de test de pénétration directement à partir de la liste des demandes existantes. Vous pouvez également copier des demandes existantes à l’état Fermé dans cette liste pour créer des demandes.

    Avant de commencer

    Rôle requis : gestionnaire App-Sec

    Pourquoi et quand exécuter cette tâche

    À partir de la version 19.0 de Vulnerability Response, si vous utilisez le Veracode Vulnerability Integration, les tests d’évaluation de pénétration de la Veracode Vulnerability Integration sont des résultats manuels de Veracode. Elles ne sont liées à aucune demande d’évaluation de test de pénétration que vous configurez dans Application Vulnerability Response. Pour plus d’informations sur les évaluations des tests de pénétration de Veracode, reportez-vous à la Veracode Vulnerability Integrationsection .

    Procédure

    1. Accédez à la Tous > Demandes d'évaluation de test de pénétration > Tous.
    2. Facultatif : Vous pouvez également créer une demande en répliquant les demandes fermées.
      Toutes les valeurs de la demande d’origine sont conservées dans le nouveau formulaire. Les éléments vulnérables de l’application (AVI) actifs sont automatiquement copiés dans la nouvelle demande. Sélectionnez Copier et créer une demande à partir d’enregistrements à l’état Fermé.
    3. Sélectionnez Nouveau et renseignez les champs.
      Tableau 1. Formulaire de demande d’évaluation de test de pénétration
      Champ Description
      Numéro Identificateur unique généré pour la demande d’évaluation de test de pénétration.
      État Sélectionnez une valeur en fonction de l’état de la demande.
      Demandés par Personne demandant l’évaluation de la demande.
      Groupe d'affectation Groupe sélectionné pour travailler sur les résultats du test de pénétration. Peut être ajouté ou modifié manuellement par un gestionnaire de sécurité des applications.

      Pour configurer les groupes, reportez-vous à la section Configurer un test de pénétration.
      Application Sélectionnez une application à l’aide de l’option de recherche.
      Affecté à Personne du groupe d’affectation sélectionné qui travaille sur les résultats du test de pénétration. Peut être ajouté ou modifié manuellement par un gestionnaire de sécurité des applications.
      Type d'application Sélectionnez une option parmi :
      • Service Web (connu sous le nom d’API avant v16.1)
      • Application Web
      • Client lourd
      • Mobile (si vous sélectionnez Mobile, l’onglet Mobile s’affiche en bas du formulaire avec des champs supplémentaires)
      Sprint Affiche les sprints avec la bande passante disponible pour répondre à la demande d’évaluation en fonction du champ Type d’évaluation sélectionné.

      Voir Configurer des sprints pour les tests de pénétration et Configurer les types d’évaluation pour les tests de pénétration pour plus d’informations sur la modification de la capacité de sprint et du périmètre de test.
      v19.0 : Taille de l’application Sélectionnez la taille de l’application que vous souhaitez tester.
      • Petit
      • Moyen
      • Grand
      • Standard (sélectionnez cette option si vous n’êtes pas sûr de la taille)

      En savoir plus Configurer un test de pénétration sur la modification de la capacité de sprint et du périmètre de test avec la taille et la capacité de sprint de l’application.
      Créé Date et heure de création de la demande.
      Type d'évaluation Sélectionner le type d’évaluation à partir de :
      • Test de pénétration complet
      • Test ciblé
      • Retester
      Pour en savoir plus sur les combinaisons et le périmètre des tests, reportez-vous à Configurer les types d’évaluation pour les tests de pénétration.
      Mis à jour Date et heure de la dernière mise à jour de la demande.
      Date de la démo Date à laquelle cette application peut être démontrée.
      Déploiement du produit planifié le Date planifiée pour le déploiement de cette application en production.
      Version/mise en production de l'application planifiée pour le déploiement Version de l’application planifiée pour le déploiement de production.
      v19.0 : Application appartenant à un fournisseur tiers ou à un onglet de société commune

      Si vous sélectionnez Oui pour ce champ, l’onglet Informations sur le fournisseur/la société commune s’affiche. Renseignez les champs supplémentaires.
      Existe-t-il une clause qui nous permet d’effectuer des tests de pénétration ? Le terme « Clause » peut faire référence à des normes de test qui incluent tous les accords existants entre deux ou plusieurs parties que vous souhaitez ajouter. Si vous sélectionnez Oui, ajoutez la clause.
      La clause citant l’autorisation d’effectuer des tests de pénétration
      Nom juridique complet et adresse du fournisseur
      Système de détection des intrusions
      Contact technique du fournisseur
      Les informations enregistrées ont-elles été examinées pour détecter toute activité malveillante ?
      Application hébergée par un autre fournisseur tiers ?
      Contact du fournisseur qui signera le test de pénétration
      Onglet Détails de l’application
      Objet de l'application Description de la fonctionnalité de l’application.
      Détails des piles de technologies Pile technologique complète, du front-end au back-end, en passant par les bases de données et d’autres technologies clés.
      S’agit-il d’une application tierce ? Confirme si cette application appartient à un fournisseur tiers.
      Types de listes de données sensibles accessibles à partir de l'application Types de données sensibles accessibles à partir de l’application. Par exemple, les données PII, les données PHI et les données financières telles que les numéros de carte de crédit.
      Type d'authentification Spécifie si cette application utilise l’authentification LDAP, sa propre authentification native ou d’autres formes d’authentification.
      L'application a-t-elle un impact sur un programme de conformité ? Spécifie si cette application a un impact sur des programmes de conformité tels que PCI.
      Contacts de l'équipe d'application Les membres de l’équipe d’application doivent être contactés par l’équipe de piratage éthique pour toute question.
      Liste des programmes de conformité
      Interfaces ou applications tierces associées
      Adresse IP
      Nombre approximatif d’utilisateurs en production ?
      Existe-t-il un script automatisé ?
      La version de production de cette application est-elle orientée vers l’extérieur ?
      v 19.0 : Impact sur l’entreprise
      Dommage financier Sélectionnez-en un dans la liste.
      Non-conformité Sélectionnez-en un dans la liste.
      Atteinte à la réputation Sélectionnez-en un dans la liste.
      Violation de la confidentialité Sélectionnez-en un dans la liste.
      Onglet Détails des tests
      URL à tester URL qui doivent être incluses dans les tests de pénétration.
      URL à exclure URL qui doivent être exclues des tests de pénétration.
      Cette application a-t-elle été testée précédemment ? Spécifie si cette application a déjà fait l’objet de tests de pénétration.
      Motif du nouveau test Motif pour demander une réévaluation du test de pénétration si l’application a été testée plus tôt.
      Quand l’application a-t-elle été testée ? Délai pendant lequel l’application a été testée en pénétration.
      Détails du compte de test Détails du compte de test qui peut être utilisé par l’équipe de piratage éthique pour les tests de pénétration.
      Rôles d'application Rôles pris en charge par l’application pour ses utilisateurs.
      Rôles les plus utilisés Rôles les plus couramment utilisés dans l’application.
      Onglet Commentaires supplémentaires
      Notes de travail
    4. Sélectionnez Enregistrer pour enregistrer vos modifications ou Soumettre pour lancer la demande.