Test de pénétration
Les tests de pénétration dans Réponse aux vulnérabilités des applications permettent aux propriétaires d’applications d’évaluer la posture de sécurité de leur application. Il s’agit du test manuel d’une application par l’équipe de piratage éthique.
Rôles requis
Les tests de pénétration nécessitent les rôles suivants :
Gestionnaire de sécurité des applications : contient les gestionnaires de la sécurité et les propriétaires d’applications qui gèrent les demandes d’évaluation des tests de pénétration. Il contient les rôles granulaires suivants :
- sn_vul.app_manage_pen_test_request
- sn_vul.app_lecture_tout
- cmdb_read
Hacker éthique : contient les membres de l’équipe de piratage éthique qui effectuent des tests de pénétration des applications. Il comprend les rôles granulaires suivants :
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_gérer_les AVIT manuels
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_lecture_tout
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
Pour en savoir plus sur ces rôles, reportez-vous à la section Réponse aux vulnérabilités des applications Groupes et rôles d’utilisateurs.
À partir de la version 19.0 de Réponse aux vulnérabilités, si vous utilisez le Veracode Vulnerability Integration, les tests d’évaluation de pénétration dans le Veracode Vulnerability Integration sont des conclusions manuelles de Veracode. Ils ne sont pas liés à des demandes d’évaluation de test de pénétration que vous configurez dans Réponse aux vulnérabilités des applications. Pour plus d’informations sur les évaluations de tests de pénétration de , reportez-vous à Veracode la Veracode Vulnerability Integration section .
Cycle de vie du test de pénétration
En tant que propriétaire d’application, vous pouvez demander à l’équipe de piratage éthique d’évaluer votre application par un test de pénétration. L’équipe de piratage éthique donne suite à cette demande et crée les conclusions du test de pénétration. Ces résultats sont des éléments vulnérables de l’application (AVI) créés manuellement.
Le workflow des tests de pénétration couvre le cycle de vie du test de pénétration, depuis le lancement de la demande de test jusqu’à la résolution des conclusions de l’équipe de piratage éthique.
Demande d’évaluation de test de pénétration
À partir de la version 19.0, vous pouvez créer de nouvelles demandes ou copier des demandes existantes sur .
Avant la version 19.0, en tant que propriétaire de l’application, vous pouviez demander une évaluation de test de pénétration pour votre application à l’aide du catalogue de services ITSM.
Examen de la demande d’évaluation du test de pénétration
L’équipe de piratage éthique examine et évalue l’application et le périmètre de la demande d’évaluation du test de pénétration, et les ajoute au backlog existant.
Préparation d’un environnement
L’équipe de piratage éthique envoie ensuite une demande au propriétaire de l’application pour qu’il lui fournisse un environnement pour commencer les tests. Une fois que l’environnement est prêt, le propriétaire de l’application informe l’équipe de piratage éthique.
Pour plus d’informations sur la configuration des demandes de test, reportez-vous à la section Configurer les tests de pénétration.
Test et rapport des conclusions du test de pénétration
L’équipe de piratage éthique peut créer une bibliothèque d’entrées de vulnérabilité d’application (AVE) et les réutiliser lors de la génération de rapports sur les AVI. Ils peuvent également suivre l’état des conclusions du test de pénétration.
Corriger et valider les conclusions du test de pénétration
Une fois les résultats du test de pénétration corrigés et résolus par l’équipe d’application, les correctifs sont validés manuellement et fermés par l’équipe de piratage éthique.
Rapports Gestion de la vulnérabilité des applications
Utilisez les rapports disponibles sur le tableau de Gestion de la vulnérabilité des applications bord PA pour suivre les conclusions du test de pénétration.