Créer une demande d’évaluation de test de pénétration à partir de demandes existantes (v19.0)

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • À partir de la version 19.0, vous pouvez créer des demandes d’évaluation de test de pénétration directement à partir de la liste des demandes existantes. Vous pouvez également copier des demandes existantes à l’état Fermé sur cette liste pour créer des demandes.

    Avant de commencer

    Rôle requis : App-Sec Manager

    Pourquoi et quand exécuter cette tâche

    À partir de la version 19.0 de , si vous utilisez , Veracode Vulnerability Integrationles tests d’évaluation Réponse aux vulnérabilitésde pénétration dans le Veracode Vulnerability Integration sont des résultats manuels de Veracode. Elles ne sont pas liées aux demandes d’évaluation de test de pénétration que vous configurez dans Réponse aux vulnérabilités des applications. Pour plus d’informations sur les évaluations des tests d’intrusion de Veracode, reportez-vous à la Veracode Vulnerability Integrationsection .

    Procédure

    1. Accédez à la Tout > Demandes d'évaluation de test de pénétration > Tout.
    2. Facultatif : Vous pouvez également créer une demande en répliquant les demandes fermées.
      Toutes les valeurs de la demande d’origine sont conservées dans le nouveau formulaire. Les éléments vulnérables de l’application (AVI) actifs sont automatiquement copiés dans la nouvelle demande. Sélectionnez Copier et créer une demande à partir d’enregistrements à l’état Fermé.
    3. Sélectionnez Nouveau et renseignez les champs.
      Tableau 1. Formulaire de demande d’évaluation de test de pénétration
      Champ Description
      Numéro Identificateur unique généré pour la demande d’évaluation de test de pénétration.
      État Sélectionnez une valeur en fonction de l’état de la demande.
      Demandés par Personne demandant l’évaluation de la demande.
      Groupe d'affectation Groupe sélectionné pour travailler sur les résultats du test de pénétration. Elles peuvent être ajoutées ou modifiées manuellement par un gestionnaire de sécurité des applications.

      Pour configurer les groupes, reportez-vous à la section Configurer les tests de pénétration.
      Application Sélectionnez une application à l’aide de l’option de recherche.
      Affecté à Personne du groupe d’affectation sélectionné qui travaille sur les conclusions du test de pénétration. Elles peuvent être ajoutées ou modifiées manuellement par un gestionnaire de sécurité des applications.
      Type d'application Sélectionnez une option parmi :
      • Service Web (connu sous le nom d’API avant la version 16.1)
      • Application Web
      • Client lourd
      • Mobile (si vous sélectionnez Mobile, l’onglet Mobile s’affiche en bas du formulaire avec des champs supplémentaires)
      Sprint Affiche les sprints avec la bande passante disponible pour prendre en charge la demande d’évaluation en fonction du champ Type d’évaluation sélectionné.

      Consultez Configurer les sprints pour les tests de pénétration et Configurer les types d’évaluation pour les tests de pénétration pour plus d’informations sur la modification de la capacité de sprint et du périmètre de test.
      v19.0 : Taille de l’application Sélectionnez la taille de l’application que vous souhaitez tester.
      • Petit
      • Moyen
      • Grand
      • Standard (sélectionnez cette option si vous n’êtes pas sûr de la taille)

      En savoir plus Configurer les tests de pénétration sur la modification de la capacité de sprint et du périmètre de test avec la taille et la capacité de sprint de l’application.
      Créé Date et heure de création de la demande.
      Type d'évaluation Sélectionner le type d’évaluation dans :
      • Test de pénétration complet
      • Test ciblé
      • Retester
      Pour plus de détails sur les combinaisons de test et le périmètre du test, reportez-vous à la section Configurer les types d’évaluation pour les tests de pénétration.
      Mis à jour Date et heure de dernière mise à jour de la demande.
      Date de la démo Date à laquelle cette application peut être démontrée.
      Déploiement du produit planifié le Date planifiée pour le déploiement de cette application en production.
      Version/mise en production de l'application planifiée pour le déploiement Version de l’application planifiée pour un déploiement de production.
      v19.0 : Application appartenant à un fournisseur tiers ou à un onglet de joint-venture

      Si vous sélectionnez Oui pour ce champ, l’onglet Informations sur le fournisseur/la société commune s’affiche. Renseignez les champs supplémentaires.
      Existe-t-il une clause qui nous permet d’effectuer un test de pénétration ? Le terme « clause » peut faire référence à des normes de test qui incluent tous les accords qui existent entre deux ou plusieurs parties que vous souhaitez ajouter. Si vous sélectionnez Oui, ajoutez la clause.
      La clause citant l’autorisation d’effectuer des tests de pénétration
      Nom juridique complet et adresse du fournisseur
      Système de détection des intrusions
      Contact technique du fournisseur
      Les informations enregistrées ont-elles été examinées pour détecter toute activité malveillante ?
      Application hébergée par un autre fournisseur tiers ?
      Contact du fournisseur qui signera le test de pénétration
      Onglet Détails de l’application
      Objet de l'application Description de la fonctionnalité de l’application.
      Détails des piles de technologies Pile technologique complète, du front-end au back-end, en passant par les bases de données et d’autres technologies clés.
      S’agit-il d’une application tierce ? Confirme si cette application appartient à un fournisseur tiers.
      Types de listes de données sensibles accessibles à partir de l'application Types de données sensibles accessibles à partir de l’application. Par exemple, les données PII, les données PHI et les données financières telles que les numéros de carte de crédit.
      Type d'authentification Spécifie si cette application utilise LDAP Authentication, sa propre authentification native ou d’autres formes d’authentification.
      L'application a-t-elle un impact sur un programme de conformité ? Spécifie si cette application a un impact sur des programmes de conformité tels que PCI.
      Contacts de l'équipe d'application Les membres de l’équipe d’application doivent être contactés par l’équipe de piratage éthique pour toute question.
      Liste des programmes de conformité
      Interfaces ou applications tierces associées
      Adresse IP
      Nombre approximatif d’utilisateurs en production ?
      Existe-t-il un script automatisé ?
      La version de production de cette application est-elle orientée vers l’extérieur ?
      v 19.0 : Impact sur l’entreprise
      Dommage financier Sélectionnez-en un dans la liste.
      Non-conformité Sélectionnez-en un dans la liste.
      Atteinte à la réputation Sélectionnez-en un dans la liste.
      Violation de la confidentialité Sélectionnez-en un dans la liste.
      Onglet Détails du test
      URL à tester URL qui doivent être incluses dans les tests de pénétration.
      URL à exclure URL qui doivent être exclues des tests de pénétration.
      Cette application a-t-elle été testée précédemment ? Spécifie si cette application a déjà fait l’objet d’un test de pénétration.
      Motif du nouveau test Motif de demande de réévaluation du test de pénétration si l’application a été testée précédemment.
      Quand l’application a-t-elle été testée ? Délai pendant lequel l’application a fait l’objet d’un test de pénétration.
      Détails du compte de test Détails du compte de test qui peuvent être utilisés par l’équipe de piratage éthique pour les tests d’intrusion.
      Rôles d'application Rôles pris en charge par l’application pour ses utilisateurs.
      Rôles les plus utilisés Rôles les plus couramment utilisés dans l’application.
      Onglet Commentaires supplémentaires
      Notes de travail
    4. Sélectionnez Enregistrer pour enregistrer vos modifications ou Soumettre pour lancer la demande.