Créer une demande d’évaluation de test de pénétration à partir de demandes existantes (v19.0)

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • À partir de la version 19.0, vous créez des demandes d’évaluation de test de pénétration directement à partir de la liste des demandes existantes. Vous pouvez également copier des demandes existantes à l’état Fermé sur cette liste pour créer des demandes.

    Avant de commencer

    Rôle requis : gestionnaire App-Sec

    Pourquoi et quand exécuter cette tâche

    À partir de la version 19.0 de Réponse aux vulnérabilités, si vous utilisez le Veracode Vulnerability Integration, les tests d’évaluation de pénétration dans le Veracode Vulnerability Integration sont des conclusions manuelles de Veracode. Ils ne sont pas liés à des demandes d’évaluation de test de pénétration que vous configurez dans Réponse aux vulnérabilités des applications. Pour plus d’informations sur les évaluations de tests de pénétration de , reportez-vous à Veracodela Veracode Vulnerability Integrationsection .

    Procédure

    1. Accédez à la Tout > Demandes d'évaluation de test de pénétration > Tout.
    2. Facultatif : Vous pouvez également créer une demande en répliquant les demandes fermées.
      Toutes les valeurs de la demande d’origine sont conservées dans le nouveau formulaire. Les éléments vulnérables de l’application (AVI) actifs sont automatiquement copiés dans la nouvelle demande. Sélectionnez Copier et créer une demande à partir d’enregistrements à l’état Fermé.
    3. Sélectionnez Nouveau et remplissez les champs.
      Tableau 1. Formulaire de demande d’évaluation de test de pénétration
      Champ Description
      Numéro Identificateur unique généré pour la demande d’évaluation de test de pénétration.
      État Sélectionnez une valeur en fonction de l’état de la demande.
      Demandé par Personne demandant l’évaluation de la demande.
      Groupe d'affectation Groupe sélectionné pour travailler sur les résultats du test de pénétration. Peut être ajouté ou modifié manuellement par un gestionnaire App-Sec.

      Pour configurer les groupes, reportez-vous à la section Configurer les tests de pénétration.
      Application Sélectionnez une application à l’aide de l’option de recherche.
      Affecté à Personne du groupe d’affectation sélectionné qui travaille sur les résultats du test de pénétration. Peut être ajouté ou modifié manuellement par un gestionnaire App-Sec.
      Type de demande Sélectionnez une option dans :
      • Service Web (connu sous le nom d’API avant la version v16.1)
      • Application Web
      • Client lourd
      • Mobile (si vous sélectionnez Mobile, l’onglet Mobile s’affiche au bas du formulaire avec des champs supplémentaires)
      Sprint Affiche les sprints avec la bande passante disponible pour prendre en charge la demande d’évaluation en fonction du champ de type d’évaluation sélectionné.

      Consultez Configurer les sprints pour le test de pénétration et Configurer les types d’évaluation pour les tests de pénétration pour plus d’informations sur la modification de la capacité de sprint et du champ d’application du test.
      v19.0 : Taille de l’application Sélectionnez la taille de l’application que vous souhaitez tester.
      • Petit
      • Moyenne
      • Grand
      • Standard (sélectionnez cette option si vous n’êtes pas sûr de la taille)

      Découvrez plus Configurer les tests de pénétration d’informations sur la modification de la capacité de sprint et le périmètre de test avec la taille de l’application et la capacité de sprint.
      Créées Date et heure de création de la demande.
      Type d'évaluation Sélectionnez le type d’évaluation dans :
      • Test de pénétration complet
      • Test ciblé
      • Retester
      Pour plus d’informations sur les combinaisons de test et le champ d’application du test, reportez-vous à la section Configurer les types d’évaluation pour les tests de pénétration.
      Mise à jour Date et heure de la dernière mise à jour de la demande.
      Date de la démo Date à laquelle cette application peut être démontrée.
      Déploiement du produit planifié le Date planifiée de déploiement de cette application en production.
      Version/mise en production de l'application planifiée pour le déploiement Version de l’application planifiée pour le déploiement en production.
      v19.0 : onglet Application appartenant à un fournisseur tiers ou à une société commune

      Si vous sélectionnez Oui pour ce champ, l’onglet Informations sur le fournisseur/la société commune s’affiche. Renseignez les champs supplémentaires.
      Existe-t-il une clause qui nous permet d’effectuer un test de pénétration ? Le terme « Clause » peut faire référence à des normes de test qui incluent tout accord existant entre deux ou plusieurs parties que vous souhaitez ajouter. Si vous sélectionnez Oui, ajoutez la clause.
      La clause citant l’autorisation d’effectuer un test de pénétration
      Nom juridique complet et adresse du fournisseur
      Système de détection des intrusions
      Contact technique du fournisseur
      Les informations enregistrées ont-elles été examinées à partir d’une activité malveillante ?
      Application hébergée par un autre fournisseur tiers ?
      Contact du fournisseur qui signera le test de pénétration
      Onglet Détails de l’application
      Objet de l'application Description de la fonctionnalité de l’application.
      Détails des piles de technologies Pile technologique complète, du front-end au back-end, des bases de données et d’autres technologies clés.
      S’agit-il d’une application tierce ? Confirme si cette application appartient à un fournisseur tiers.
      Types de listes de données sensibles accessibles à partir de l'application Types de données sensibles accessibles à partir de l’application. Par exemple, les données PII, les données PHI et les données financières telles que les numéros de carte de crédit.
      Type d'authentification Spécifie si cette application utilise l’authentification LDAP, sa propre authentification native ou d’autres formes d’authentification.
      L'application a-t-elle un impact sur un programme de conformité ? Spécifie si cette application a un impact sur des programmes de conformité tels que PCI.
      Contacts de l'équipe d'application Les membres de l’équipe d’application doivent être contactés par l’équipe de piratage éthique pour toute question.
      Liste des programmes de conformité
      Interfaces ou applications tierces associées
      Adresse IP
      Nombre approximatif d’utilisateurs en production ?
      Existe-t-il un script automatisé ?
      La version de production de cette application est orientée vers l’extérieur ?
      v 19.0 : Impact sur l’entreprise
      Dommage financier Sélectionnez-en un dans la liste.
      Non-conformité Sélectionnez-en un dans la liste.
      Atteinte à la réputation Sélectionnez-en un dans la liste.
      Violation de la confidentialité Sélectionnez-en un dans la liste.
      Onglet Détails du test
      URL à tester URL qui doivent être incluses dans le test de pénétration.
      URL à exclure URL qui doivent être exclues des tests de pénétration.
      Cette application a-t-elle été testée précédemment ? Spécifie si cette application a déjà été testée de pénétration.
      Motif du nouveau test Raison de demander une réévaluation par test de pénétration si l’application a été testée plus tôt.
      Quand l’application a-t-elle été testée ? Délai du test de pénétration de l’application.
      Détails du compte de test Détails du compte de test qui peuvent être utilisés par l’équipe de piratage éthique pour les tests de pénétration.
      Rôles d'application Rôles pris en charge par l’application pour ses utilisateurs.
      Rôles les plus utilisés Rôles les plus couramment utilisés dans l’application.
      Onglet Commentaires supplémentaires
      Notes de travail
    4. Sélectionnez Enregistrer pour enregistrer vos modifications ou Soumettre pour lancer la demande.