Test de pénétration
Le test de pénétration permet Application Vulnerability Response aux propriétaires d’applications d’évaluer la posture de sécurité de leur application. Il s’agit du test manuel d’une application par l’équipe de piratage éthique.
Rôles requis
Le test de pénétration nécessite les rôles suivants :
Gestionnaire de sécurité des applications : contient les gestionnaires de sécurité et les propriétaires d’applications qui gèrent les demandes d’évaluation des tests de pénétration. Il contient les rôles granulaires suivants :
- sn_vul.app_manage_pen_test_request
- sn_vul.app_lire_tout
- cmdb_read
Hacker éthique : contient les membres de l’équipe de piratage éthique qui effectuent des tests d’intrusion dans les applications. Il comprend les rôles granulaires suivants :
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_gérer_les_avits manuels
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_lire_tout
- sn_vul.app_manage_pen_test_request
- sn_vul.app_état de mise à jour
Pour en savoir plus sur ces rôles, reportez-vous à Application Vulnerability Response Groupes d’utilisateurs et rôles.
À partir de la version 19.0 de Vulnerability Response, si vous utilisez le Veracode Vulnerability Integration, les tests d’évaluation de pénétration de la Veracode Vulnerability Integration sont des résultats manuels de Veracode. Elles ne sont liées à aucune demande d’évaluation de test de pénétration que vous configurez dans Application Vulnerability Response. Pour plus d’informations sur les évaluations des tests de pénétration de Veracode, reportez-vous à la Veracode Vulnerability Integrationsection .
Cycle de vie des tests de pénétration
En tant que propriétaire de l’application, vous pouvez demander à l’équipe de piratage éthique une évaluation de test d’intrusion de votre application. L’équipe de piratage éthique donne suite à cette demande et crée les résultats des tests d’intrusion. Ces résultats sont des éléments vulnérables de l’application (AVI) créés manuellement.
Le workflow de test d’intrusion couvre le cycle de vie des tests d’intrusion, de l’émission de la demande de test à la résolution des conclusions de l’équipe de piratage éthique.
Demander une évaluation de test de pénétration
À partir de la version 19.0, vous pouvez créer de nouvelles demandes ou copier des demandes existantes à l’adresse suivante : .
Avant la version 19.0, en tant que propriétaire de l’application, vous pouviez demander une évaluation de test de pénétration pour votre application à l’aide du catalogue de services ITSM.
Examiner la demande d’évaluation de test de pénétration
L’équipe de piratage éthique examine et évalue l’application et le périmètre de la demande d’évaluation de test d’intrusion, et l’ajoute au backlog existant.
Préparation d’un environnement
L’équipe de piratage éthique envoie ensuite une demande au propriétaire de l’application pour lui fournir un environnement lui permettant de commencer les tests. Une fois que l’environnement est prêt, le propriétaire de l’application informe l’équipe de piratage éthique.
Pour plus d’informations sur la configuration des demandes de test, reportez-vous à la section Configurer un test de pénétration.
Test et génération de rapports sur les résultats du test de pénétration
L’équipe de piratage éthique peut créer une bibliothèque d’entrées de vulnérabilité d’application (AVE) et les réutiliser lors du signalement des AVI. Ils peuvent également suivre l’état des résultats du test de pénétration.
Corriger et valider les résultats du test d’intrusion
Une fois que les résultats du test d’intrusion sont corrigés et résolus par l’équipe d’application, les correctifs sont validés manuellement et fermés par l’équipe de piratage éthique.
Rapports Gestion de la vulnérabilité des applications
Utilisez les rapports disponibles sur le Gestion de la vulnérabilité des applications tableau de bord PA pour suivre les conclusions des tests de pénétration.