IBM SecurityAppScan Source Version 9.0 · version 8.0.x ou antérieure vers la version 8.6.x . . 46 ... OS/2 et Windows - Paramètres canadiens Au ... les configurations d'examen

IBM Security AppScan SourceVersion 9.0.2

Guide d'installation et d'administration

��

IBM Security AppScan SourceVersion 9.0.2

Guide d'installation et d'administration

��

LE PRESENT DOCUMENT EST LIVRE EN L'ETAT SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE. IBM DECLINENOTAMMENT TOUTE RESPONSABILITE RELATIVE A CES INFORMATIONS EN CAS DE CONTREFACON AINSI QU'EN CASDE DEFAUT D'APTITUDE A L'EXECUTION D'UN TRAVAIL DONNE.

Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. Les informations qui y sont fourniessont susceptibles d'être modifiées avant que les produits décrits ne deviennent eux-mêmes disponibles. En outre, il peut contenirdes informations ou des références concernant certains produits, logiciels ou services non annoncés dans ce pays. Cela ne signifiecependant pas qu'ils y seront annoncés.

Pour plus de détails, pour toute demande d'ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-vous auxdocuments d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial.

Vous pouvez également consulter les serveurs Internet suivants :

v http://www.fr.ibm.com (serveur IBM en France)

v http://www.ibm.com/ca/fr (serveur IBM au Canada)

v http://www.ibm.com (serveur IBM aux Etats-Unis)

Compagnie IBM FranceDirection Qualité17, avenue de l'Europe92275 Bois-Colombes Cedex

Ce programme inclut : Jacorb 2.3.0, Copyright 1997-2006 Le projet JacORB et XOM1.0d22, Copyright 2003 Elliotte Rusty Harold,chacun d'eux étant disponible sous licence LGPL (Gnu Library General Public License) dont une copie figure dans le fichier desremarques accompagnant ce programme.

http://www.fr.ibm.com

http://www.ibm.com/ca/fr

http://www.ibm.com

Table des matières

Avis aux lecteurs canadiens . . . . . . v

Chapitre 1. Présentation d'IBM SecurityAppScan Source . . . . . . . . . . . 1Nouveautés dans AppScan Source . . . . . . . 2Migration vers la version en cours d'AppScan Source 3

Migration depuis la version 9.0 . . . . . . . 3Migration depuis la Migration depuis laVersionersion 8.7 . . . . . . . . . . . . 3

Concepts importants . . . . . . . . . . . . 5Classifications . . . . . . . . . . . . . 6Flux de travaux . . . . . . . . . . . . 6

Modèles de déploiement d'AppScan Source . . . . 7Déploiement sur un ordinateur standard . . . . 9Déploiement de petit groupe de travail . . . . 10Déploiement de groupe de travail d'entreprise. . 12

Conformité avec la législation en vigueur auxEtats-Unis . . . . . . . . . . . . . . . 14AppScan Source et l'accessibilité . . . . . . . 16

Chapitre 2. Configuration requise etcomposants prérequis pourl'installation . . . . . . . . . . . . 17Support de langage et infrastructure dans AppScanSource . . . . . . . . . . . . . . . . 17Prérequis pour les composants AppScan Source forAnalysis et AppScan Source for Development(plug-in Eclipse) sous Linux . . . . . . . . . 20

Chapitre 3. Exemples de scénariosd'installation . . . . . . . . . . . . 23Installation de tous les composants requis sur unemachine . . . . . . . . . . . . . . . 24

Installation d'IBM Rational License Server . . . 24Installation d'IBM Security AppScan EnterpriseServer . . . . . . . . . . . . . . . 26Installation d'AppScan Source . . . . . . . 26Connexion à AppScan Source . . . . . . . 31

Installation des composants AppScan Source dansun environnement à plusieurs machines . . . . . 31

Installation d'IBM Rational License Server sur laMachine A. . . . . . . . . . . . . . 32Installation d'IBM Security AppScan EnterpriseServer sur la Machine B . . . . . . . . . 33Installation des produits client AppScan Sourcesur la Machine C . . . . . . . . . . . 34Installation de la base de données AppScanSource sur la Machine D . . . . . . . . . 36Connexion à AppScan Source . . . . . . . 40

Installation d'AppScan Source et intégration de cedernier avec un serveur AppScan Enterprise Serverexistant . . . . . . . . . . . . . . . . 41

Installation d'AppScan Source . . . . . . . 41Connexion à AppScan Source . . . . . . . 46

Migration de Rational AppScan Source Editionversion 8.0.x ou antérieure vers la version 8.6.x . . 46

Installation d'IBM Rational License Server . . . 47Installation de Rational AppScan EnterpriseServer . . . . . . . . . . . . . . . 48Mise à niveau de Rational AppScan SourceEdition . . . . . . . . . . . . . . . 49Connexion à Rational AppScan Source Edition . 51

Chapitre 4. Mise à niveau d'AppScanSource. . . . . . . . . . . . . . . 53

Chapitre 5. Installation avancée etrubriques d'activation . . . . . . . . 57Démarrage de l'assistant d'installation . . . . . 58Installation et emplacements des fichiers de donnéesutilisateur . . . . . . . . . . . . . . . 59

Modification du répertoire de données AppScanSource . . . . . . . . . . . . . . . 61

Présentation d'AppScan Enterprise Server . . . . 62Installation de la base de données et configurationdes connexions au serveur AppScan EnterpriseServer . . . . . . . . . . . . . . . . 63

Installation et configuration de IBM solidDB . . 64Effectuer l'installation sur une base de donnéesOracle existante . . . . . . . . . . . . 68Enregistrement de la base de données AppScanSource auprès du serveur AppScan EnterpriseServer . . . . . . . . . . . . . . . 75Sauvegarde de la base de données AppScanSource . . . . . . . . . . . . . . . 76Restauration de la base de données AppScanSource IBM solidDB . . . . . . . . . . 77

Installation d'AppScan Source sous OS X . . . . 77Installation d'AppScan Source for Development . . 80

AppScan Source for Development (plug-in pourEclipse, IBM MobileFirst Platform et RationalApplication Developer for WebSphere Software(RAD) . . . . . . . . . . . . . . . 81Installation du plug-in AppScan Source forDevelopment pour Visual Studio . . . . . . 85

Installation d'AppScan Source for Automation . . . 86Syntaxe. . . . . . . . . . . . . . . 88

Installation de groupe de correctifs . . . . . . 89

Chapitre 6. Personnalisation del'installation AppScan Source . . . . . 91Création d'une installation personnalisée ousilencieuse . . . . . . . . . . . . . . . 91

Lancement de l'assistant de configurationd'installation . . . . . . . . . . . . . 92Utilisation de l'assistant de configurationd'installation personnalisée . . . . . . . . 93

© Copyright IBM Corp. 2003, 2015 iii

Exécution d'une installation personnalisée ousilencieuse . . . . . . . . . . . . . . . 95Exemple : Installer AppScan Source via uneinstallation personnalisée . . . . . . . . . . 96

Chapitre 7. Programme d'installationsilencieuse d'AppScan Source . . . . 97Création d'une installation personnalisée ousilencieuse . . . . . . . . . . . . . . . 97

Lancement de l'assistant de configurationd'installation . . . . . . . . . . . . . 97Utilisation de l'assistant de configurationd'installation personnalisée . . . . . . . . 99

Exécution d'une installation personnalisée ousilencieuse . . . . . . . . . . . . . . 101Exemple : Installer AppScan Source en modesilencieux via une infrastructure d'installation . . 101

Chapitre 8. Activation du logiciel . . . 103Importation d'un fichier de licence . . . . . . 103Utilisation d'une licence flottante . . . . . . . 104Affichage des licences . . . . . . . . . . 105

Chapitre 9. Suppression d'AppScanSource de votre système . . . . . . 107Suppression sur les plateformes MicrosoftWindows . . . . . . . . . . . . . . . 107Suppression sur les plateformes Linux . . . . . 107Suppression sur les plateformes OS X . . . . . 107

Chapitre 10. Administrationd'AppScan Source . . . . . . . . . 109Comptes utilisateur et autorisations . . . . . . 109Création d'utilisateurs AppScan Source . . . . . 110

Authentification AppScan Enterprise Server :Considérations sur la migration pour leremplacement du composant d'authentificationdes utilisateurs d'IBM Rational Jazz par IBMWebSphere Liberty. . . . . . . . . . . 111Configuration de la connexion automatique desutilisateurs d'AppScan Enterprise Server . . . 112

Création d'administrateurs produit locaux dansAppScan Enterprise Server Liberty . . . . . 113Création d'un compte utilisateur pourAutomation Server . . . . . . . . . . 115

Chapitre 11. Contrôle de l'activité del'utilisateur . . . . . . . . . . . . 117

Chapitre 12. Connexion à AppScanEnterprise Server à partir des produitsAppScan Source . . . . . . . . . . 119Modification des mots de passe des utilisateursd'AppScan Source . . . . . . . . . . . . 120Certificats SSL pour AppScan Enterprise Server 120

Chapitre 13. Intégration LDAP . . . . 123

Chapitre 14. Enregistrement desapplications et des projets pour lapublication sur AppScan Source . . . 125

Chapitre 15. Fichiers d'application etde projet AppScan Source . . . . . . 127

Chapitre 16. Configuration des ports 131Ports ouverts par défaut . . . . . . . . . . 131Configuration du réacheminement de port . . . 131Modification du port IBM solidDB . . . . . . 132

Chapitre 17. Modification des mots depasse utilisateur d'IBM solidDB aprèsl'installation . . . . . . . . . . . . 133

Remarques . . . . . . . . . . . . 143

Index . . . . . . . . . . . . . . . 147

iv IBM Security AppScan Source - Guide d'installation et d'administration

Avis aux lecteurs canadiens

Le présent document a été traduit en France. Voici les principales différences etparticularités dont vous devez tenir compte.

Illustrations

Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir desdonnées propres à la France.

Terminologie

La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous autableau ci-dessous, au besoin.

IBM France IBM Canada

ingénieur commercial représentant

agence commerciale succursale

ingénieur technico-commercial informaticien

inspecteur technicien du matériel

Claviers

Les lettres sont disposées différemment : le clavier français est de type AZERTY, etle clavier français-canadien de type QWERTY.

OS/2 et Windows - Paramètres canadiens

Au Canada, on utilise :v les pages de codes 850 (multilingue) et 863 (français-canadien),v le code pays 002,v le code clavier CF.

Nomenclature

Les touches présentées dans le tableau d'équivalence suivant sont libelléesdifféremment selon qu'il s'agit du clavier de la France, du clavier du Canada ou duclavier des États-Unis. Reportez-vous à ce tableau pour faire correspondre lestouches françaises figurant dans le présent document aux touches de votre clavier.

© Copyright IBM Corp. 2003, 2015 v

Brevets

Il est possible qu'IBM détienne des brevets ou qu'elle ait déposé des demandes debrevets portant sur certains sujets abordés dans ce document. Le fait qu'IBM vousfournisse le présent document ne signifie pas qu'elle vous accorde un permisd'utilisation de ces brevets. Vous pouvez envoyer, par écrit, vos demandes derenseignements relatives aux permis d'utilisation au directeur général des relationscommerciales d'IBM, 3600 Steeles Avenue East, Markham, Ontario, L3R 9Z7.

Assistance téléphonique

Si vous avez besoin d'assistance ou si vous voulez commander du matériel, deslogiciels et des publications IBM, contactez IBM direct au 1 800 465-1234.

vi IBM Security AppScan Source - Guide d'installation et d'administration

Chapitre 1. Présentation d'IBM Security AppScan Source

IBM® Security AppScan Source offre une valeur optimale à tous les utilisateurs devotre entreprise jouant un rôle dans la sécurité logicielle. Que vous soyez analystede la sécurité, professionnel de l'assurance qualité, développeur ou responsable enmatière de sécurité, les produits AppScan Source vous apportent lesfonctionnalités, la souplesse et la puissance dont vous avez besoin sur votreordinateur.

L'ensemble de produits comprend :v AppScan Source for Analysis : Plan de travail permettant de configurer les

applications et les projets, d'examiner du code, d'effectuer des analyses, des testset d'agir en cas de vulnérabilités prioritaires.

v AppScan Source for Automation : Permet d'automatiser les principaux aspectsdu flux de travaux AppScan Source et d'intégrer la sécurité aux environnementsde construction pendant le cycle de vie de développement logiciel.

v AppScan Source for Development : Les plug-in Developer intègrent denombreuses fonctions d'AppScan Source for Analysis à Microsoft Visual Studio,au plan de travail Eclipse et à Rational Application Developer for WebSphereSoftware (RAD). Ainsi, les développeurs peuvent rechercher les vulnérabilités etles corriger pendant le processus de développement. Le plug-in Eclipse vouspermet d'analyser le code source pour détecter les vulnérabilités de sécurité.Vous pouvez aussi analyser des projets IBM MobileFirst Platform avec ceplug-in.

Pour augmenter la valeur de AppScan Source dans votre entreprise, les produitsincluent ces composants :v Base de connaissances de sécurité AppScan Source Security : Informations en

contexte sur chaque vulnérabilité, offrant des descriptions précises sur les causespremières, la gravité du risque et des conseils de résolution concrets.

v AppScan Enterprise Server : La plupart des produits et composants AppScanSource doivent communiquer avec un serveur AppScan Enterprise Server. Sivous ne disposez pas d'un tel serveur, vous pouvez utiliser AppScan Source forDevelopment en mode local, mais les fonctions telles que les règlespersonnalisées, les configurations d'examen partagées et les filtres partagés neseront pas disponibles.Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurs etun mécanisme de partage d'évaluations via la base de données AppScan Source.Le serveur inclut un composant de Enterprise Console facultatif. Si votreadministrateur installe ce composant, vous pouvez publier des évaluationsdepuis AppScan Source for Analysis, AppScan Source for Automation etl'interface de ligne de commande AppScan Source. Le composant de EnterpriseConsole offre divers outils de gestion des évaluations, tels que des fonctions degénération de rapports, de gestion de problème et d'analyse de tendance, ainsique des tableaux de bord.

Remarque :

– AppScan Enterprise Server n'est pas pris en charge sous OS X.

© Copyright IBM Corp. 2003, 2015 1

– Si vous disposez d'une licence de serveur de base, le serveur n'est accessibleque par dix (10) connexions simultanées au maximum depuis les produitsAppScan. Avec une licence de serveur Premium, un nombre illimité deconnexions est autorisé.

Important : Au cours de l'examen, le client AppScan Enterprise Server et leclient AppScan Source (sauf AppScan Source for Development) requièrent uneconnexion directe à la base de données AppScan Source (solidDB ou Oracle).

Cette offre logicielle n'utilise pas de cookies ni aucune autre technologie afin decollecter des informations personnelles.

Langues nationales traduites

Les interfaces utilisateur AppScan Source sont disponibles dans les languessuivantes :v Allemandv Anglaisv Chinois simplifiév Chinois traditionnelv Coréenv Espagnolv Françaisv Italienv Japonaisv Portugais brésilienv Russe

Nouveautés dans AppScan SourceCette rubrique décrit les nouvelles fonctions qui ont été ajoutées à AppScan Source.v «Prise en charge de la nouvelle plateforme et de la solution d'intégration»v «Prise en charge du rapport DISA Application Security and Development STIG

V3R9»v «Prise en charge du rapport PCI DSS version 3.0», à la page 3

Prise en charge de la nouvelle plateforme et de la solutiond'intégration

A partir d'AppScan Source version 9.0.2 :v Rational Team Concert version 4.0.7 est désormais un système de suivi des

défauts pris en charge (la prise en charge d'Rational Team Concert version 4.0.7est rétroactive à AppScan Source version 9.0.1).

Prise en charge du rapport DISA Application Security andDevelopment STIG V3R9

AppScan Source prend désormais en charge le rapport Defense InformationSystems Agency (DISA) Application Security and Development Security TechnicalImplementation Guide (STIG) V3R9.

2 IBM Security AppScan Source - Guide d'installation et d'administration

Prise en charge du rapport PCI DSS version 3.0

AppScan Source prend désormais en charge le rapport Payment Card IndustryData Security Standard (PCI DSS) version 3.0.

Migration vers la version en cours d'AppScan SourceCette rubrique contient des informations de migration pour les modifications quiont été introduites dans la présente version d'AppScan Source. Si vous effectuezune mise à niveau depuis une version antérieure d'AppScan Source, notez lesmodifications de la version d'AppScan Source que vous mettez à niveau et detoutes les versions précédentes.v «Migration depuis la version 9.0»v «Migration depuis la Migration depuis la Versionersion 8.7»

Migration depuis la version 9.0Authentification AppScan Enterprise Server : Considérations surla migration pour le remplacement du composantd'authentification des utilisateurs d'IBM Rational Jazz par IBMWebSphere Libertyv Migration depuis un serveur Enterprise Server comportant uniquement des

utilisateurs Jazz locaux : Dans ce scénario de mise à niveau, les anciensutilisateurs Jazz apparaissent dans la base de données AppScan Source en tantqu'utilisateurs AppScan Enterprise Server. Toutefois, ils ne seront pas valides.Ces utilisateurs peuvent être supprimés de base de données ou être convertis enutilisateurs AppScan Source. Dans ce dernier cas, appliquez les instructions de larubrique http://www.ibm.com/support/docview.wss?uid=swg21686347 pourexécuter cette conversion.

v Migration depuis un serveur Enterprise Server configuré avec LDAP : Pendantla mise à niveau d'Enterprise Server, vous pouvez de nouveau configurerEnterprise Server avec LDAP. Dans ce cas, les utilisateurs existants restentvalides dans AppScan Source.

v Migration depuis un serveur Enterprise Server configuré avecl'authentification Windows : Si votre Enterprise Server a été configuré avecl'authentification Windows, les utilisateurs existants restent valides dansAppScan Source, à condition que le nouveau serveur Enterprise Server Libertysoit configuré pour utiliser l'authentification Windows.

Migration depuis la Migration depuis la Versionersion 8.7v «Modifications apportées aux classifications des constatations»v «Modifications des paramètres par défaut qui améliorent la couverture

d'examen», à la page 4v «Restauration des filtres prédéfinis d'AppScan Source à partir de versions

antérieures», à la page 5

Modifications apportées aux classifications des constatations

Après la version 8.7, les classifications des constatations ont été modifiées. Cetableau répertorie les anciennes classifications mappées aux nouvellesclassifications :

Chapitre 1. Présentation d'IBM Security AppScan Source 3

http://www.ibm.com/support/docview.wss?uid=swg21686347

Tableau 1. Modifications apportées aux classifications des constatations

Classifications des constatations avantAppScan Source version 8.8

Classifications à partir d'AppScan Sourceversion 8.8

Vulnérabilité Constatation de sécurité définitive

Exception de type I Constatation de sécurité suspectée

Exception de type II Constatation de couverture d'examen

La vue Matrice de vulnérabilités comporte un exemple de ces modifications.

A partir de la version 8.8, la vue se présente comme suit :

Modifications des paramètres par défaut qui améliorent lacouverture d'examen

A partir d'AppScan Source version 8.8 :


v La valeur par défaut de show_informational_findings dans scan.ozsettings estpassée de true à false.

v La valeur par défaut de wafl_globals_tracking dans ipva.ozsettings est passéede false à true. Ce paramètre permet à AppScan Source de rechercher un fluxde données entre différents composants d'une application basée sur unestructure (par exemple, un flux de données entre un contrôleur et une vue).

La modification apportée à show_informational_findings aboutit à des évaluationsqui n'incluent pas de constatations avec le niveau de gravité Info par défaut.

Remarque : Si des configurations d'examen créées avant la version 8.8 n'ont pasexplicitement défini de valeurs pour ces paramètres, les configurations d'examenutilisent désormais leurs valeurs par défaut.

Restauration des filtres prédéfinis d'AppScan Source à partir deversions antérieures

Dans AppScan Source version 8.8, les filtres prédéfinis ont été améliorés pourfournir de meilleurs résultats d'examen. Si vous devez continuer à utiliser les filtresprédéfinis des versions antérieures d'AppScan Source (les filtres archivés sontrépertoriés dans Chapitre 18, «Filtres prédéfinis AppScan Source (versions 8.7.x etantérieures)», à la page 135), suivez les instructions de la section Chapitre 19,«Restauration des filtres prédéfinis archivés», à la page 137.

Concepts importantsAvant de commencer à utiliser ou administrer AppScan Source, vous devriez vousfamiliariser avec les concepts fondamentaux d'AppScan Source. Cette sectiondéfinit la terminologie et les concepts de base d'AppScan Source. Les chapitresultérieurs reviennent sur ces définitions pour vous aider à comprendre leurcontexte dans AppScan Source for Analysis.

AppScan Source for Analysis examine le code source pour détecter desvulnérabilités et génère des constatations. Ces constatations sont les vulnérabilitésdétectées au cours d'un examen et le résultat d'un examen constitue une évaluation.Un groupement désigne une collection nommée de constatations individuelles et eststocké avec une application.

Les applications, leurs attributs et les projets sont créés et organisés dans AppScanSource for Analysis :v Applications : une application contient un ou plusieurs projets et leurs attributs

associés.v Projets : un projet est constitué d'un ensemble de fichiers (y compris du code

source) et des informations qui y sont associées (telles que les données deconfiguration). Un projet fait toujours partie d'une application.

v Attributs : un attribut est une caractéristique d'une application qui aide àorganiser les résultats de l'examen en groupes significatifs, tels que par serviceou par chef de projet. Vous définissez les attributs dans AppScan Source forAnalysis.

L'activité principale de AppScan Source for Analysis est l'examen du code source etla détection des vulnérabilités. Les évaluations fournissent un examen du codesource pour l'identification de vulnérabilités et comprennent :v Gravité : élevée, moyenne ou faible, qui identifie le niveau de risque


v Type de vulnérabilité : catégorie de vulnérabilité (par exemple, injection SQLou dépassement de mémoire tampon)

v Fichier : fichier de code dans lequel la constatation existev API/Source : appel vulnérable, où est présenté l'API et les arguments qui lui

sont transmisv Méthode : fonction ou méthode depuis laquelle l'appel vulnérable est émisv Emplacement : numéro de la ligne et de la colonne dans le fichier de code qui

contient l'API vulnérablev Classification : constatation de sécurité ou constatation de couverture d'examen.

Pour plus d'informations, voir «Classifications».

ClassificationsLes constatations sont classées par AppScan Source pour indiquer s'il s'agit deconstatations de sécurité ou de couverture d'examen. Les constatations de sécuritéreprésentent des vulnérabilités réelles ou probables en matière de sécurité, alorsque les constatations de couverture d'examen représentent les zones danslesquelles la configuration pourrait être améliorée afin de fournir une meilleurecouverture d'examen.

Chaque constatation (ou résultat) se rattache à l'une de ces classifications :v Constatation de sécurité définitive : Une constatation contenant une conception

définitive, une implémentation ou une violation de stratégie qui présente unepossibilité pour un agresseur de provoquer un fonctionnement imprévu del'application.Cette attaque peut résulter en un accès non autorisé, le vol ou l'altération dedonnées, de systèmes ou de ressources. Chaque constatation de sécuritédéfinitive est complètement décomposée et le schéma sous-jacent spécifique dela condition vulnérable est connu et décrit.

v Constatation de sécurité suspectée : Une constatation qui indique une conditionsuspecte et potentiellement vulnérable requérant des informations ou desinvestigations supplémentaires. Un élément ou une structure de code qui peutcréer une vulnérabilité en cas d'utilisation incorrecte.Une constatation suspectée diffère d'une constatation définitive car il existe unecondition inconnue qui empêche la détermination définitive d'une vulnérabilité.L'utilisation d'éléments dynamiques ou de fonctions de bibliothèque pourlesquelles aucun code source n'est disponible sont des exemples de cetteincertitude. En conséquence, un niveau de recherche supplémentaire s'imposepour confirmer ou rejeter une constatation suspectée comme étant définitive.

v Constatation de couverture d'examen : Constatations qui représentent les zonesdans lesquelles la configuration pourrait être améliorée afin de fournir unemeilleure couverture d'examen (par exemple, les constatations de collecteurindéterminé).

Remarque : Dans certains cas, la classification Aucun est utilisée pour indiquerune constatation qui n'est ni une constatation de sécurité ni une constatation decouverture d'examen.

Flux de travaux

Après l'installation, le déploiement et la gestion des utilisateurs, le flux de travauxAppScan Source se compose des étapes de base suivantes :


1. Définir les exigences de sécurité : un responsable ou un expert de la sécuritédéfinit des vulnérabilités et comment déterminer leur criticité.

2. Configurer les applications : organiser les applications et les projets.3. Examiner : exécuter l'analyse sur l'application cible pour identifier les

vulnérabilités.4. Trier et analyser les résultats : les résultats de l'analyse sont étudiés par les

intervenants de la sécurité afin d'attribuer des priorités dans le flux de travauxde résolution et de séparer les vulnérabilités réelles des potentielles enpermettant de lancer immédiatement le triage des problèmes critiques. Isoler lesproblèmes qu'il faut résoudre en priorité.

5. Personnaliser la Base de connaissances : personnaliser la Base deconnaissances de sécurité AppScan Source Security en fonction des règlesinternes d'adresse.

6. Publier les résultats de l'examen : ajouter les résultats de l'examen à la base dedonnées AppScan Source ou les publier sur la console AppScan EnterpriseConsole.

7. Affecter les tâches de résolution : affecter les incidents à l'équipe dedéveloppement pour résoudre les vulnérabilités.

8. Résoudre les problèmes : éliminer les vulnérabilités en réécrivant le code, ensupprimant les failles ou en ajoutant des fonctions de sécurité.

9. Vérification des correctifs : le code est analysé à nouveau pour s'assurer queles vulnérabilités ont été éliminées.

AffecterAppScan Source for Analysis

SolutionAppScan Source for AnalysisAppScan Source for RemediationAppScan Source for Development

TriageAppScan Source for Analysis

AnalyseAppScan Source for AnalysisAppScan Source for AutomationAppScan Source for Development

AppScan Sourcefor Analysis

SurveillanceEnterprise Console

AppScan Enterprise Server

Configuration

Modèles de déploiement d'AppScan SourceCette section décrit trois modèles de déploiement différents ainsi que lescomposants qui constituent chaque modèle.

Les produits AppScan Source (associés à AppScan Enterprise Server) prennent encharge plusieurs options de déploiement qui permettent de répondre aux diversesexigences des organisations. Les composants client et serveur constituent lasolution produit, et chaque composant remplit un objectif spécifique. Certainsmodèles de déploiement requièrent tous les composants, tandis que d'autres n'en


requièrent que quelques-uns. En outre, certaines règles d'administration destechnologies de l'information requièrent le déploiement de certains composantsserveur sur des ordinateurs distincts au lieu de l'ensemble des composants sur unmême ordinateur.

Cette section décrit trois modèles de déploiement différents :v «Déploiement sur un ordinateur standard», à la page 9v «Déploiement de petit groupe de travail», à la page 10v «Déploiement de groupe de travail d'entreprise», à la page 12

Le déploiement qui correspond le mieux à vos besoins peut être une combinaisonde modèles. Ce tableau présente une brève description de chaque produit oucomposant AppScan Source déployé.

Composant Description

AppScan Source for Analysis Un plan de travail pour analyser, isoler etagir sur les vulnérabilités prioritaires. Offreaux analystes sécurité, aux responsablesqualité et aux responsables dudéveloppement des résultats rapides.AppScan Source for Analysis doitcommuniquer avec le serveur AppScanEnterprise Server.

AppScan Source for Development Les composants intégrés à unenvironnement IDE étaient centrés sur larésolution des vulnérabilités au niveau de laligne de code. AppScan Source forDevelopment communique uniquement avecle serveur AppScan Enterprise Serverlorsqu'il examine le code source.

base de données AppScan Source Une base de données prête à l'emploi quiconserve les données de Base deconnaissances de sécurité AppScan SourceSecurity, les données d'évaluation etl'inventaire des applications et des projets.Important : Au cours de l'examen, le clientAppScan Enterprise Server et le clientAppScan Source (sauf AppScan Source forDevelopment) requièrent une connexiondirecte à la base de données AppScan Source(solidDB ou Oracle).

AppScan Source for Automation Automatise les principaux aspects du fluxde travaux de AppScan Source et intègre lesexamens avec les environnements decréation au cours du cycle de vie dudéveloppement de logiciel. AutomationServer traite les demandes d'examen et depublication d'évaluations, ainsi que lesdemandes de génération de rapports. Ils'exécute en tant que service/démon et doitcommuniquer avec AppScan EnterpriseServer.


Composant Description

Client de l'interface de ligne de commandeAppScan Source

Offre un accès en ligne de commande àdifférentes fonctions AppScan Sourcepermettant l'intégration, l'automatisation etl'exécution de scripts en plus des fonctionsfournies par AppScan Source forAutomation.

L'interface CLI doit communiquer avecAppScan Enterprise Server.

Chacun des composants du tableau doit communiquer avec un serveur AppScanEnterprise Server. Ce serveur fournit des fonctionnalités de gestion centralisée desutilisateurs et un mécanisme de partage d'évaluations via la base de donnéesAppScan Source. En outre, si votre administrateur a installé le composantEnterprise Console de AppScan Enterprise Server, vous pouvez publier desévaluations sur ce composant. Le composant Enterprise Console offre divers outilsde gestion des évaluations, tels que des fonctions de génération de rapports, degestion de problème et d'analyse de tendance, ainsi que des tableaux de bord.

Déploiement sur un ordinateur standard

Le déploiement sur un ordinateur standard se fait pour un seul utilisateurAppScan Source dans une organisation de petite taille ou pour unanalyste/auditeur de sécurité qui effectue des évaluations de sécurité à la fois sursite et hors site. Cela suppose qu'il n'y a pas d'intégration de système de suivi desdéfauts ou d'intégration de la génération (via l'utilisation de AppScan Source forAutomation). Ce modèle de déploiement concerne deux composants de AppScanSource, AppScan Source for Analysis (client) et AppScan Enterprise Server, installéssur un même ordinateur, par exemple, un ordinateur bloc-notes. Le modèle dedéploiement sur un ordinateur standard concerne principalement les résultatsd'examen et une productivité et une utilisation individuelles plutôt que lapossibilité de déployer AppScan Source sur un grand nombre d'ordinateurs etl'optimisation du travail en équipe.

Avec ce modèle, un utilisateur s'authentifie auprès du serveur AppScan EnterpriseServer en utilisant le compte d'administrateur AppScan Source ; aucune intégrationà un serveur d'annuaire LDAP n'est prévue. Ce modèle suppose qu'un client degestion de contrôle de source soit installé sur l'ordinateur pour permettre l'accès aucode source, ou que le code source se trouve sur l'ordinateur.

Le déploiement sur un ordinateur standard est idéal pour un auditeur itinérant.Par exemple, l'auditeur peut travailler sur site puis terminer des travaux à domicileou en déplacement. Si l'auditeur ouvre une session sur l'ordinateur bloc-notes quiexécute AppScan Source for Analysis et AppScan Enterprise Server alors qu'il esthors site, il a accès au code source et aux évaluations enregistrées. Plus tard,lorsque l'auditeur revient sur site, la reconnexion au système de contrôle de sourcepermet le retour de la source corrigée dans le référentiel d'entreprise. Ce modèlepermet la génération de rapports complets avec tous les détails du résultat desévaluations.

Le diagramme suivant montre un déploiement sur un ordinateur standard avec lescomposants client et serveur sur le même ordinateur.


AppScan Source forDevelopment

Serveur debase de données

Client du gestionnaire de contrôle des sources


Base de donnéesAppScan Source

AppScan Source for Analysis

Serveur

Client deligne decommandeAppScan SourceNavigateur

EnterpriseConsole

Déploiement de petit groupe de travailLe déploiement de petit groupe de travail convient le mieux à une équipe de taillemodérée qui ne dispose pas d'un grand nombre de guides de bonnes pratiques enmatière de conformité de l'informatique relatives au déploiement d'applications.

Avec ce modèle, les composants serveur AppScan Source se trouvent sur unordinateur dédié, probablement sur le même sous-réseau que celui des ordinateursexécutant les composants client AppScan Source. On suppose qu'un administrateurlocal de AppScan Source gère les comptes utilisateur de AppScan Source et qu'iln'y ait pas d'intégration à un serveur d'annuaire LDAP d'entreprise. Il estégalement supposé qu'un client de gestion de contrôle de source installé surl'ordinateur fournisse un accès au code source ou qu'une copie du code source setrouve sur l'ordinateur.

Ce modèle permet la collaboration d'une équipe avec un minimum de coût etd'administration du déploiement. Il est important de comprendre que ce modèle dedéploiement inclut :v Les analystes de sécurité et les développeurs se connectent au serveur AppScan

Enterprise Server.v Les auditeurs/responsables se connectent au composant Enterprise Console du

serveur AppScan Enterprise Server via un navigateur Web.


v Les composants serveur AppScan Source s'exécutent sur un ordinateur dédiéavec un accès au code source.

Une installation pour un déploiement de petit groupe de travail est constituée descomposants client et serveur nécessaires pour exécuter des composants AppScanSource sur plusieurs ordinateurs d'un réseau.

Composants serveurv AppScan Sourcev AppScan Source for Automation

Composants clientv AppScan Source for Analysisv AppScan Source - Interface de ligne de commandev AppScan Source for Development pour Eclipse, RAD, MobileFirst (non

sélectionné par défaut)v Windows seulement : AppScan Source for Development pour Visual Studio 2013

(non sélectionné par défaut) (cette option n'est disponible que si le programmed'installation a détecté Microsoft Visual Studio 2013 sur votre système)

v Windows seulement : AppScan Source for Development pour Visual Studio 2012(non sélectionné par défaut) (cette option n'est disponible que si le programmed'installation a détecté Microsoft Visual Studio 2012 sur votre système)


Le diagramme suivant montre un déploiement de petit groupe de travail descomposants AppScan Source.


Développeur Administrateur


AppScan Source forAnalysis

Chef de projet

Navigateur

Client de contrôle des sources


Analyste de la sécurité

Serveur debase de données


Serveur AppScan SourceServeur de génération


EnterpriseConsole

AppScan Source forAutomation


Serveur de contrôle des sources



Déploiement de groupe de travail d'entreprise

Le déploiement de groupe de travail d'entreprise convient pour les équipes detaille moyenne et grande dans les grandes organisations où des considérations àl'échelle de l'entreprise sont requises. Ce déploiement fonctionne bien si votreorganisation doit :v Se conformer à des directives en matière de conformité et de gouvernance

informatique, telles que la mise en cluster et des applications Web d'équilibragede charge

v Optimiser les ressources de l'entreprise, par exemple avoir la base de donnéesdans un centre de données avec des sauvegardes automatiques

v Exécuter des composants dans le cadre de certains pare-feu requérant une formede post-acheminement

Ce modèle de déploiement suppose qu'il y a un serveur d'annuaire LDAPd'entreprise et que l'authentification permettant d'utiliser AppScan Source requiertla validation des données d'identification via le serveur d'annuaire. Il supposeégalement que l'accès au code source soit disponible via un client de gestion decontrôle de source sur l'ordinateur ou que le code source se trouve sur l'ordinateur,et qu'une intégration avec un système de suivi des incidents soit implémentée.

En général, l'organisation automatise les examens des applications en réalisant uneintégration avec le processus de génération, ce qui requiert donc le déploiement deAppScan Source for Automation. Dans ce modèle, il est également possible quel'entreprise ait établi un standard quant au serveur de base de données, parexemple Oracle.


Un déploiement de groupe de travail d'entreprise courant aura normalement lescaractéristiques suivantes :v Les analystes de sécurité et les développeurs se connectent au serveur AppScan

Enterprise Server.v Les auditeurs se connectent au composant Enterprise Console de AppScan

Enterprise Server via un navigateur Web.v Les composants serveur AppScan Source s'exécutent sur des ordinateurs

différents en raison des guides de bonnes pratiques de conformité et degouvernance informatique.– Le composant Enterprise Console se trouve sur un cluster de serveurs

d'applications Web central qui fait l'objet d'un équilibrage de charge etAutomation Server s'exécute sur un ou plusieurs serveurs de génération.

– Le centre de données contient un serveur de base de données Oracle.v Automation Server est déployé sur les systèmes de génération.v AppScan Enterprise Server communique avec le serveur d'annuaire LDAP pour

l'authentification des utilisateurs.v AppScan Enterprise Server et les clients AppScan Source se connectent à la base

de données AppScan Source hébergée dans un centre de données (et requièrentéventuellement une base de données spécifique telle qu'Oracle).

v Les clients de contrôle des sources fournissent un accès au code source sur tousles ordinateurs appropriés.

v AppScan Source for Analysis est intégré avec les clients du système de suivi desincidents sur le même ordinateur.

Le diagramme suivant montre le déploiement des composants AppScan Sourcedans un environnement de groupe de travail d'entreprise.


Serveur AppScan Source

AppScan Enterprise ServerServeur de contrôle des sources

Serveur ActiveDirectory Base de données

AppScan Source


Serveur de basede données Oracle

Centre de données

Développeur Administrateur

Serveur du système de suivi des défauts

Analyste de la sécurité


Client du système de suivi des défauts



Chef de projet


Navigateur

EnterpriseConsole

Serveur de génération


Serveur d'automatisation

Client du système de suivi des défauts



Conformité avec la législation en vigueur aux Etats-UnisLa conformité avec la législation en vigueur aux Etats-Unis concernant latechnologie de l'information et la sécurité permet de lever les éventuelles entravesà la vente. Elle prouve également aux clients du monde entier qu'IBM fait lemaximum pour créer les produits les plus sûrs du marché. Cette rubriquerépertorie les normes et instructions prises en charge par AppScan Source.v «Internet Protocol version 6 (IPv6)»v «Federal Information Processing Standard (FIPS)», à la page 15v «National Institute of Standards and Technology (NIST) Special Publication (SP)

800-131a», à la page 15v «Machines Windows 7 configurées pour utiliser USGCB (United States

Government Configuration Baseline)», à la page 16

Internet Protocol version 6 (IPv6)

AppScan Source est activé pour IPv6, avec les exceptions suivantes :v La saisie d'adresses numériques IPv6 n'est pas prise en charge et un nom d'hôte

doit être entré à la place. La saisie d'adresses numériques IPv4 est prise encharge.


v IPv6 n'est pas pris en charge lors de la connexion à Rational Team Concert.

Federal Information Processing Standard (FIPS)

Sur les plateformes Windows et Linux prises en charge par AppScan Source,AppScan Source prend en charge FIPS Publication 140-2, à l'aide d'un modulecryptographique FIPS 140-2 validé et d'algorithmes approuvés. Sur les plateformesOS X prises en charge par AppScan Source, des étapes manuelles sont nécessairespour bénéficier d'un fonctionnement en mode FIPS 140-2.

Pour des informations pertinentes relatives à la conformité d'AppScan Source à lanorme FIPS, et pour savoir comment activer et désactiver le mode FIPS 140-2d'AppScan Source, reportez-vous aux notes techniques suivantes :v Operating AppScan Source version 8.7 or later in FIPS 140-2 mode on OS Xv How to enable/disable/verify FIPS 140-2 mode in AppScan Source (Linux and

Windows)v Background information about AppScan Source version 8.7 or later FIPS 140-2

support

National Institute of Standards and Technology (NIST) SpecialPublication (SP) 800-131a

Les instructions NIST SP 800-131A expliquent la gestion des clés cryptographiques.Ces instructions incluent notamment :v Les procédures de gestion des clésv La manière d'utiliser les algorithmes de cryptographiev Les algorithmes à utiliser et leurs puissances minimalesv Les longueurs de clé pour des communications sécurisées

Les organismes gouvernementaux et les institutions financières suivent lesinstructions NIST SP 800-131A pour garantir la conformité des produits auxexigences requises en matière de sécurité.

Les instructions NIST SP 800-131A sont prises en charge uniquement si AppScanSource fonctionne en mode FIPS 140-2. Pour plus de détails sur l'activation et ladésactivation du mode FIPS 140-2 d'AppScan Source, voir «Federal InformationProcessing Standard (FIPS)».

Important : Si le serveur AppScan Enterprise Server auquel vous allez vousconnecter est activé pour la conformité avec NIST 800-131a, vous devez définirAppScan Source pour qu'il force Transport Layer Security V1.2. Si la fonctionTransport Layer Security V1.2 n'est pas forcée, les connexions au serveuréchoueront.v Si vous n'installez pas base de données AppScan Source (par exemple, vous

installez uniquement les composants client), vous pouvez forcer Transport LayerSecurity V1.2 en modifiant <rép_données>\config\ounce.ozsettings (où<rép_données> est l'emplacement de vos données de programme AppScanSource, comme décrit dans «Installation et emplacements des fichiers de donnéesutilisateur», à la page 59)). Dans ce fichier, repérez le paramètre suivant :<Setting

name="tls_protocol_version"read_only="false"default_value="0"value="0"description="Minor Version of the TLS Connection Protocol"







type="text"display_name="TLS Protocol Version"display_name_id=""available_values="0:1:2"hidden="false"force_upgrade="false"

/>

Dans ce paramètre, modifiez value="0" en value="2", puis enregistrez le fichier.v Si vous installez la base de données AppScan Source, vous pouvez forcer

Transport Layer Security V1.2 dans l'outil de configuration d'IBM SecurityAppScan Enterprise Server après avoir installé AppScan Source et EnterpriseServer.

Machines Windows 7 configurées pour utiliser USGCB (UnitedStates Government Configuration Baseline)

AppScan Source prend en charge l'examen des applications sur les machinesWindows 7 qui sont configurées avec la spécification USGCB.

Remarque : Sur les machines qui sont configurées avec la spécification USGCB,AppScan Source ne prend pas en charge l'intégration du système de suivi desdéfauts à HP Quality Center ou Rational ClearQuest.

AppScan Source et l'accessibilitéL'accessibilité concerne les utilisateurs atteints d'un handicap physique, tel qu'unemobilité réduite ou une vision limitée. Les problèmes d'accessibilité peuventempêcher un utilisateur d'utiliser un produit logiciel avec succès. Cette rubriqueprésente les problèmes d'accessibilité connus liés à AppScan Source, ainsi que lessolutions pour les contourner.

Utilisation du logiciel de lecture d'écran JAWS avec leprogramme d'installation d'AppScan Source

Pour utiliser Freedom Scientific JAWS (http://www.freedomscientific.com/products/fs/jaws-product-page.asp) lorsque vous exécutez le programmed'installation d'AppScan Source, vous devez installer Java™ Access Bridge sur lamachine virtuelle Java d'AppScan Source. Cela permet à JAWS de prononcercorrectement les libellés et les commandes dans les panneaux du programmed'installation.v Vous trouverez des informations sur le logiciel Java Access Bridge (y compris le

lien de téléchargement et les instructions d'installation) à l'adressehttp://www.oracle.com/technetwork/java/javase/tech/index-jsp-136191.html.

v Vous trouverez aussi des informations sur les conditions InstallAnywhererequises pour l'installation de Java Access Bridge à l'adressehttp://kb.flexerasoftware.com/selfservice/documentLink.do?externalID=Q200311.

Utilisation du logiciel de lecture d'écran JAWS dans lespanneaux d'interface utilisateur avec du texte descriptif

De nombreuses parties de l'interface utilisateur AppScan Source contiennent dutexte descriptif. Dans la plupart des cas, vous devez utiliser la combinaison detouches JAWS Inser+B pour pouvoir lire ce texte descriptif.


http://www.freedomscientific.com/products/fs/jaws-product-page.asp

http://www.freedomscientific.com/products/fs/jaws-product-page.asp

http://www.oracle.com/technetwork/java/javase/tech/index-jsp-136191.html

http://kb.flexerasoftware.com/selfservice/documentLink.do?externalID=Q200311

http://kb.flexerasoftware.com/selfservice/documentLink.do?externalID=Q200311

Chapitre 2. Configuration requise et composants prérequispour l'installation

Pour pouvoir exécuter des composants AppScan Source, vos ordinateurs doiventsatisfaire la configuration minimale requise spécifiée (par produit) danshttp://www.ibm.com/support/docview.wss?uid=swg27027486.

Pour plus d'informations sur le support de langage AppScan Source, voir «Supportde langage et infrastructure dans AppScan Source».

Important : Lors d'une installation sur les systèmes Linux 64 bits, certainesbibliothèques 32 bits doivent être préalablement installées pour que l'installationd'AppScan Source réussisse. Ces bibliothèques sont listées dans les entrées desNotes sur Linux 64 bits, à l'adresse http://www.ibm.com/support/docview.wss?uid=swg27027486. Si ces bibliothèques ne sont pas présentes, vousrecevez un message lorsque vous tentez d'installer AppScan Source.

Support de langage et infrastructure dans AppScan SourceCette rubrique dresse la liste des langages pouvant être examinés dans AppScanSource.v «Support de langage sous Windows»v «Support de langage sous Linux», à la page 18v «Support de langage sous OS X», à la page 19v «API de gestion Framework for Frameworks : prise en charge intégrée de

l'infrastructure», à la page 20

Support de langage sous Windows

IBM Security AppScan Source for Analysis, IBM Security AppScan Source forAutomation et l'interface de ligne de commande IBM Security AppScan Source(CLI) prennent en charge l'examen des langages suivants :v C/C++v COBOLv ColdFusionv Java (y compris la prise en charge des API Android)v JavaServer Pages (JSP)v JavaScriptv Perlv PHP (versions 4.x à 5.3)v PL/SQLv T-SQLv .NET (C#, ASP.NET, VB.NET) - Microsoft .NET Framework versions 2.0, 3.0, 3.5,

4.0 et 4.5v ASP (JavaScript/VBScript)v Visual Basic 6

Remarque :





v Pour les langages PHP, Visual Basic 6 et Classic ASP, seuls les jeux de caractèresISO-8859-1 (Europe occidentale), UTF-8 et UTF-16 sont pris en charge.

v Vous pouvez toujours examiner les applications à l'aide de PHP version 5.4 ousupérieure, mais vous risquez de rencontrer des messages d'erreur d'analyseinformatifs. Ces erreurs s'affichent dans la vue Console. Par exemple,07/31/14 14:11:27 - Parsing error at

C:\TestApps\php-5.5-Example\test.php(11,11) due to:found/expected identifier/& ( + - :: ; || && or and

xor | ^ . * / % << >> === !== == != < <= > >= instanceof ?

Ce message indique qu'il existe un nouveau mot-clé ou une nouvelle syntaxedans le code PHP qui n'est pas reconnu par l'analyseur AppScan Source. Cela seproduit uniquement si vous utilisez des mots clés ou une syntaxe nondisponibles dans PHP version 5.4 ou ultérieure. Ces erreurs d'analyse peuvententraîner des constatations manquantes dans le code si l'analyseur syntaxique nepeut pas être réinitialisé et continuer à analyser la portée du code.Exemple : Le mot clé finally a été ajouté dans PHP version 5.5. Il est utilisédans les blocs try-catch-finally. Si le bloc finally est utilisé, l'analyseursyntaxique génère une erreur similaire à celle indiquée plus haut. AppScanSource va tenter de traiter l'erreur et de continuer l'analyse syntaxique. Si cettedernière ne peut pas se poursuivre, l'analyseur arrête d'analyser la méthodedans laquelle l'erreur a été détectée et la méthode toute entière n'est plusdisponible pour l'analyse.

AppScan Source for Development (plug-in Visual Studio) prend en charge l'examenC/C++ et .NET (C#, ASP.NET, VB.NET).

plug-in AppScan Source for Development Eclipse (qui peut s'appliquer à IBMMobileFirst Platform Foundation, Eclipse ou IBM Rational Application Developerfor WebSphere Software (RAD)) prend en charge l'examen de projets Java (ycompris les API Android), JavaServer Pages (JSP) et IBM MobileFirst Platform.v Le support d'examen de projet MobileFirst Platform comprend ce qui suit : code

source natif côté client Android et iOS, en plus de la plupart du code côté clientJavaScript rédigé par l'utilisateur. Vous pouvez aussi analyser les applicationsWeb MobileFirst Platform.

v Le support d'examen de projet MobileFirst Platform ne comprend pas ce quisuit : code JavaScript côté serveur tel que le code MobileFirst Platform Adapter.

Support de langage sous Linux

IBM Security AppScan Source for Analysis, IBM Security AppScan Source forAutomation et l'interface de ligne de commande IBM Security AppScan Source(CLI) prennent en charge l'examen des langages suivants :v C/C++v COBOLv ColdFusionv Java (y compris la prise en charge des API Android)v JavaServer Pages (JSP)v JavaScriptv Perlv PHP (versions 4.x à 5.3)v PL/SQLv T-SQL


Remarque : Pour PHP :v Seuls les jeux de caractères ISO-8859-1 (Europe occidentale), UTF-8 et UTF-16

sont pris en charge.v Vous pouvez toujours examiner les applications à l'aide de PHP version 5.4 ou

supérieure, mais vous risquez de rencontrer des messages d'erreur d'analyseinformatifs. Ces erreurs s'affichent dans la vue Console. Par exemple,07/31/14 14:11:27 - Parsing error at

C:\TestApps\php-5.5-Example\test.php(11,11) due to:found/expected identifier/& ( + - :: ; || && or and

xor | ^ . * / % << >> === !== == != < <= > >= instanceof ?

Ce message indique qu'il existe un nouveau mot-clé ou une nouvelle syntaxedans le code PHP qui n'est pas reconnu par l'analyseur AppScan Source. Cela seproduit uniquement si vous utilisez des mots clés ou une syntaxe nondisponibles dans PHP version 5.4 ou ultérieure. Ces erreurs d'analyse peuvententraîner des constatations manquantes dans le code si l'analyseur syntaxique nepeut pas être réinitialisé et continuer à analyser la portée du code.Exemple : Le mot clé finally a été ajouté dans PHP version 5.5. Il est utilisédans les blocs try-catch-finally. Si le bloc finally est utilisé, l'analyseursyntaxique génère une erreur similaire à celle indiquée plus haut. AppScanSource va tenter de traiter l'erreur et de continuer l'analyse syntaxique. Si cettedernière ne peut pas se poursuivre, l'analyseur arrête d'analyser la méthodedans laquelle l'erreur a été détectée et la méthode toute entière n'est plusdisponible pour l'analyse.

plug-in AppScan Source for Development Eclipse (qui peut s'appliquer à IBMMobileFirst Platform Foundation, Eclipse ou IBM Rational Application Developerfor WebSphere Software (RAD)) prend en charge l'examen des projets Java (ycompris les API Android), JavaServer Pages (JSP), et IBM MobileFirst Platform.v Le support d'examen de projet MobileFirst Platform comprend ce qui suit : code



Support de langage sous OS X

IBM Security AppScan Source for Analysis, IBM Security AppScan Source forAutomation et l'interface de ligne de commande IBM Security AppScan Source(CLI) prennent en charge l'examen des langages suivants :v Objective-C dans les projets et les espaces de travail Xcodev Java (y compris la prise en charge des API Android)v JavaServer Pages (JSP)v JavaScript

plug-in AppScan Source for Development Eclipse (qui peut s'appliquer à IBMMobileFirst Platform Foundation, Eclipse ou IBM Rational Application Developerfor WebSphere Software (RAD)) prend en charge l'examen de projets Java (ycompris les API Android), JavaServer Pages (JSP), Objective-C dans les projetsXcode et IBM MobileFirst Platform.v Le support d'examen de projet MobileFirst Platform comprend ce qui suit : code


Chapitre 2. Configuration requise et composants prérequis pour l'installation 19


Remarque : Si vous utilisez CocoaPods pour créer vos projets Xcode, vous devezinstaller l'outil xcproj pour qu'AppScan Source puisse lire le format de projetXcode généré. Voir https://github.com/CocoaPods/CocoaPods/wiki/Generate-ASCII-format-xcodeproj pour savoir comment installer cet outil.

API de gestion Framework for Frameworks : prise en chargeintégrée de l'infrastructure

AppScan Source comporte un support intégré pour ces frameworks :v Apache Struts 1 et 2v Spring MVC 2.5 et 3v ASP .NET MVC (Windows uniquement)v Enterprise JavaBeans (EJB) 2v ASP .NET (Windows uniquement)v J2EEv JavaServer Faces (JSF) 2v .NET 4.5 (Windows uniquement)v Jax - RS (V1.0 et V1.1)v Jax - WS (V2.2)

Prérequis pour les composants AppScan Source for Analysis etAppScan Source for Development (plug-in Eclipse) sous Linux

Sous Linux, Eclipse requiert l'installation d'un composant tiers pour pouvoirafficher le rendu de contenu de type navigateur. Sans ce composant, AppScanSource for Analysis et le plug-in Eclipse AppScan Source for Development peuventprésenter des symptômes, tels qu'un blocage après la connexion ou une défaillancelors de l'utilisation du produit.

Les informations sur ce prérequis sont disponibles sur le site http://www.eclipse.org/swt/faq.php#browserwebkitgtk.v «Activation de contenu basé sur navigateur sous Linux pour AppScan Source for

Analysis»v «Activation de contenu basé sur navigateur sous Linux pour AppScan Source for

Development installé sur Eclipse version 3.7 ou ultérieure», à la page 21v «Activation de contenu basé sur navigateur sous Linux pour AppScan Source for

Development installé sur Eclipse version 3.6 ou antérieure», à la page 21

Activation de contenu basé sur navigateur sous Linux pourAppScan Source for Analysis

AppScan Source for Analysis est un composant Built on Eclipse ; par conséquent,il est concerné par ce problème.

L'approche recommandée pour remédier à ce problème consiste à vérifier qu'uneversion 32 bits ou i686 de WebKitGTK version 1.2.0 ou ultérieure est installée.Prenez contact avec votre administrateur système pour savoir comment installercorrectement les modules. Toutefois, sur certains systèmes, il suffit d'exécuter yuminstall webkitgtk.i686.


https://github.com/CocoaPods/CocoaPods/wiki/Generate-ASCII-format-xcodeproj

https://github.com/CocoaPods/CocoaPods/wiki/Generate-ASCII-format-xcodeproj

http://www.eclipse.org/swt/faq.php#browserwebkitgtk

http://www.eclipse.org/swt/faq.php#browserwebkitgtk

Si vous ne parvenez pas à installer WebKitGTK, vous pouvez choisir d'installerune version 32 bits de Mozilla XULRunner 1.8. Dans ce cas, vous devrez peut-êtreégalement apporter les mises à jour suivantes à vos variables d'environnement :v Définir MOZILLA_FIVE_HOME avec l'emplacement d'installation de XULRunner.v Mettre à jour LD_LIBRARY_PATH pour ajouter (ou ajouter au début)

$MOZILLA_FIVE_HOME

Activation de contenu basé sur navigateur sous Linux pourAppScan Source for Development installé sur Eclipse version 3.7ou ultérieure

L'approche recommandée pour remédier à ce problème consiste à vérifier qu'uneversion 32 bits ou i686 de WebKitGTK version 1.2.0 ou ultérieure est installée.Prenez contact avec votre administrateur système pour savoir comment installercorrectement les modules. Toutefois, sur certains systèmes, il suffit d'exécuter yuminstall webkitgtk.i686.

Si vous ne parvenez pas à installer WebKitGTK, vous pouvez choisir d'installerune version 32 bits de Mozilla XULRunner 1.8. Dans ce cas, vous devrez peut-êtreégalement apporter les mises à jour suivantes à vos variables d'environnement :v Définir MOZILLA_FIVE_HOME avec l'emplacement d'installation de XULRunner.v Mettre à jour LD_LIBRARY_PATH pour ajouter (ou ajouter au début)

$MOZILLA_FIVE_HOME

Activation de contenu basé sur navigateur sous Linux pourAppScan Source for Development installé sur Eclipse version 3.6ou antérieure

Vérifiez qu'une version 32 bits de Mozilla XULRunner version 1.8 est installée (laversion 1.8.0.4 fonctionne dans la plupart des environnements ; voirhttps://developer.mozilla.org/en-US/docs/XULRunner_1.8.0.4_Release_Notes).Après avoir installé XULRunner, vous devrez peut-être également apporter lesmises à jour suivantes à vos variables d'environnement :v Définir MOZILLA_FIVE_HOME avec l'emplacement d'installation de XULRunner.v Mettre à jour LD_LIBRARY_PATH pour ajouter (ou ajouter au début)

$MOZILLA_FIVE_HOME

Chapitre 2. Configuration requise et composants prérequis pour l'installation 21

https://developer.mozilla.org/en-US/docs/XULRunner_1.8.0.4_Release_Notes


Chapitre 3. Exemples de scénarios d'installation

Lorsque vous installez AppScan Source, il est important de suivre le flux detravaux d'installation approprié. Les rubriques qui suivent vous guident tout aulong des flux de travaux impliqués dans certains des exemples de scénariosd'installation.

Important :

v Avant d'installer un composant requis pour AppScan Source, consultez laconfiguration système requise pour ce composant afin de vous assurer qu'ilprend en charge votre système d'exploitation.

v Ces scénarios ne s'appliquent pas à OS X. Pour savoir comment installerAppScan Source sous OS X, voir «Installation d'AppScan Source sous OS X», à lapage 77.

AppScan Source se compose de composants clés, qui sont répertoriés ici dansl'ordre dans lequel ils doivent être installés :v Rational License Server : Ce composant est nécessaire pour l'application de la

licence AppScan Enterprise Server. Il est également utilisé pour l'application deslicences flottantes AppScan Source (mais pas pour l'application des fichiers delicence locale AppScan Source).

v AppScan Enterprise Server : Tous les produits et composants AppScan Sourcedoivent communiquer avec un serveur AppScan Enterprise Server. Une fois ceserveur installé, vous devez spécifier le serveur Rational License Server verslequel vous avez importé la licence AppScan Enterprise Server.

v Images du produit AppScan Source : Ceci inclut AppScan Source for Analysis,AppScan Source for Automation, AppScan Source for Development et AppScanSource for Remediation. Une fois ces images installées, vous devez spécifier leserveur AppScan Enterprise Server auquel la base de données AppScan Sourceva se connecter. De plus, si vous envisagez d'utiliser une licence flottante pourAppScan Source, vous devez spécifier le serveur Rational License Server surlequel vous avez importé la licence AppScan Source.

Les instructions présentes dans ces scénarios supposent que :v Tous les composants sont installés sous Microsoft Windows. Pour certaines

instructions, des paramètres et des informations de base Linux sont fournis ;cependant, le flux de travaux du scénario principal concerne uniquementWindows.

v Vous disposez de droits d'administration sur la ou les machines sur lesquellesvous installez les composants AppScan Source.

v Vous installez uniquement les fonctionnalités de gestion d'utilisateur du serveurAppScan Enterprise Server.

v Vous utilisez IBM solidDB comme votre base de données AppScan Source.v Une licence flottante sera utilisée pour activer le serveur AppScan Enterprise

Server et les fichiers de licence locale seront utilisés pour l'activation descomposants AppScan Source.

v «Installation de tous les composants requis sur une machine», à la page 24v «Installation des composants AppScan Source dans un environnement à

plusieurs machines», à la page 31


v «Installation d'AppScan Source et intégration de ce dernier avec un serveurAppScan Enterprise Server existant», à la page 41

v «Migration de Rational AppScan Source Edition version 8.0.x ou antérieure versla version 8.6.x», à la page 46

Installation de tous les composants requis sur une machineDans ce scénario, tous les composants sont installés sur une seule machine. Lors dela configuration des connexions des composants, les paramètres localhost sontappliqués.

Pourquoi et quand exécuter cette tâche

Ce scénario est divisé en quatre sections :v «Installation d'IBM Rational License Server»v «Installation d'IBM Security AppScan Enterprise Server», à la page 26v «Installation d'AppScan Source», à la page 26v «Connexion à AppScan Source», à la page 31

Important :



Installation d'IBM Rational License ServerLe serveur Rational License Server est utilisé pour héberger votre licence AppScanEnterprise Server. Il peut également être utilisé pour héberger les licences flottantesAppScan Source, mais les présentes instructions ne couvrent pas ce sujet.


Si vous disposez déjà d'une version prise en charge de Rational License Server,vous pouvez omettre cette partie des instructions concernant l'installation deRational License Server et passer à la partie des instructions qui concerne lelancement de License Key Administrator et l'importation de la licence. Lesversions de Rational License Server prises en charge sont mises en évidence dansles exigences du système AppScan Enterprise Server (http://www.ibm.com/support/docview.wss?uid=swg27027541) et les exigences du systèmeAppScanSource (http://www.ibm.com/support/docview.wss?uid=swg27027486).

Procédure1. Accédez à l'image Rational License Key Server (sur votre DVD produit

AppScan Source ou à partir de l'image que vous avez téléchargée avecAppScan Source eAssembly sur IBM Passport Advantage).

2. Décompressez l'image sur une unité locale et, dans le répertoire résultant,accédez à RLKSSERVER_SETUP\disk1\launchpad.exe et exécutez-le.

3. Dans le programme d'installation de Rational License Server, cliquez surInstaller ou mettre à jour IBM Rational License Key Server.

4. Si IBM Installation Manager n'est pas encore installé sur votre système, il vase lancer en vue de son installation.





a. Sur la première page de l'assistant d'installation des packages, vérifiez quela case IBM Installation Manager et que toutes les cases situées endessous sont cochées. Cliquez sur Suivant.

b. Dans la page Licences, lisez le contrat de licence. Si vous acceptez lesdispositions du contrat de licence, cliquez sur J'accepte les dispositions ducontrat de licence, puis cliquez sur Suivant.

c. Dans la page Emplacement, indiquez le répertoire d'installation et cliquezsur Suivant.

d. Un récapitulatif des composants qui vont être installés s'affiche dansla page Récapitulatif. Pour modifier vos sélections, cliquez sur Précédentpour revenir aux pages précédentes. Une fois que vous êtes satisfait devos choix, cliquez sur Installer.

e. Une fois l'installation terminée, cliquez sur Redémarrer InstallationManager. Installation Manager est alors redémarré et vous pouvezprocéder à l'installation.

5. Sur la première page de l'assistant d'installation des packages, vérifiez que lacase IBM Rational License Key Server et que toutes les cases situées endessous sont cochées. Cliquez sur Suivant.

6. Dans la page des prérequis, il vous est demandé de fermer toutes lesapplications et de désactiver l'antivirus. Effectuez ces tâches et cliquez surSuivant.

7. Dans la page Licences, lisez le contrat de licence. Si vous acceptez lesdispositions du contrat de licence, cliquez sur J'accepte les dispositions ducontrat de licence, puis cliquez sur Suivant.

8. Dans la page Emplacement, indiquez le répertoire d'installation et cliquez surSuivant.

9. Remplissez la page Groupe de packages en fonction de vos besoins (parexemple, si vous utilisez Installation Manager pour la première fois et quevous ne disposez d'aucun groupe de packages existant, laissez les paramètrespar défaut). Cliquez sur Suivant.

10. Dans la page de sélection de la langue, sélectionnez les langues à installer.Cliquez sur Suivant.

11. Dans la page Fonctions, vérifiez que toutes les fonctions sont sélectionnées etcliquez sur Suivant.

12. Un récapitulatif des composants qui vont être installés s'affiche dans la pageRécapitulatif. Pour modifier vos sélections, cliquez sur Précédent pour reveniraux pages précédentes. Une fois que vous êtes satisfait de vos choix, cliquezsur Installer.

13. Une fois l'installation terminée, cliquez sur Terminer et fermez IBMInstallation Manager.

14. Lancez IBM Rational License Key Administrator à partir du menu WindowsDémarrer (dans le menu Programmes, lancez IBM Rational > License KeyAdministrator).

15. Au démarrage d'IBM Rational License Key Administrator, vous êtes invité àutiliser l'assistant License Key Administrator (si l'assistant ne s'ouvre pasautomatiquement, sélectionnez License Keys > License Key Wizard dans lemenu principal). Dans cet assistant, sélectionnez Import a Rational LicenseFile et cliquez sur Next.

16. Dans le panneau d'importation d'un fichier de licence, cliquez sur Browse,puis accédez à votre fichier de licence AppScan Enterprise Server. Ouvrez lefichier à l'aide de la boîte de dialogue Parcourir et cliquez sur Import.

Chapitre 3. Exemples de scénarios d'installation 25

17. Une fois que vous avez confirmé le ou les fichiers de licence à importer, laboîte de dialogue de redémarrage du serveur de licences s'ouvre. Cliquez surOui pour redémarrer le fichier de licences. Si le service de serveur de licences(License Server) ne démarre pas, ouvrez l'outil d'administration WindowsServices. Dans cet outil, localisez FLEXlm License Manager et démarrez-le.

Installation d'IBM Security AppScan Enterprise ServerPour savoir comment installer Enterprise Server, voir AppScan Enterprise - Guidede planification et d'installation ou le guide d'installation interactif dans l'IBMKnowledge Center.


Le manuel AppScan Enterprise - Guide de planification et d'installation accompagne lesimages d'installation d'IBM Security AppScan Enterprise Server. Le guided'installation interactif se trouve sur le site http://www.ibm.com/support/knowledgecenter/SSW2NF/welcome (par exemple, le guide d'installation interactifde la version 9.0.2 est disponible à l'adresse http://www.ibm.com/support/knowledgecenter/SSW2NF_9.0.2/com.ibm.ase.help.doc/topics/roadmap_ase_install.html).

Que faire ensuite

Si AppScan Source a été installé avant Enterprise Server, vous devrez enregistrer labase de données auprès de Enterprise Server. Un utilitaire permettant d'effectuercette tâche est fourni avec AppScan Source. Vous trouverez des informations à cesujet dans la rubrique «Enregistrement de la base de données AppScan Sourceauprès du serveur AppScan Enterprise Server», à la page 75 du Guided'administration et d'installation d'AppScan Source.

Pour désinstaller Enterprise Server, vous devez supprimer son répertoired'installation avant de le réinstaller.

Installation d'AppScan SourceProcédure1. Accédez au fichier zip du produit IBM Security AppScan Source (dans votre

coffret de supports AppScan Source ou via l'image électronique que vous aveztéléchargée dans AppScan Source eAssembly à l'adresse IBM PassportAdvantage).

2. Décompressez l'image sur une unité locale et, dans le répertoire résultant,accédez au fichier setup et exécutez-le. Vous trouverez des informationsdétaillées sur le lancement de l'assistant d'installation dans la rubrique«Démarrage de l'assistant d'installation», à la page 58 du manuel IBM SecurityAppScan Source - Guide d'installation et d'administration.

Remarque : Il existe des images pour chaque produit de la famille AppScanSource. Le fichier setup est situé dans le répertoire racine de ces imagescompressées.

3. L'écran qui s'affiche vous permet de sélectionner la langue nationale qui serautilisée dans les panneaux d'installation. Sélectionnez la langue et cliquez surOK pour continuer.


http://www.ibm.com/support/knowledgecenter/SSW2NF/welcome


http://www.ibm.com/support/knowledgecenter/SSW2NF_9.0.2/com.ibm.ase.help.doc/topics/roadmap_ase_install.html



4. Après le lancement de l'assistant d'installation, le panneau de bienvenue del'assistant d'installation s'ouvre et vous recommande de quitter toutes lesapplications ouvertes. Cliquez sur Suivant pour commencer la procédured'installation.

5. Dans le panneau d'installation Sélection de composant, sélectionnez lescomposants à installer. Les composants AppScan Source se divisent en deuxcatégories : les composants serveur et les composants client.a. Pour installer les composants serveur AppScan Source, sélectionnez

Sélection de composant serveur, puis choisissez les composants àinstaller :v AppScan Sourcev AppScan Source for Automation

b. Pour installer les composants client AppScan Source, sélectionnezSélection de composant client, puis choisissez les composants à installer :v AppScan Source for Analysisv AppScan Source - Interface de ligne de commandev AppScan Source for Development pour Eclipse, RAD, MobileFirst (non

sélectionné par défaut)v Windows seulement : AppScan Source for Development pour Visual

Studio 2013 (non sélectionné par défaut) (cette option n'est disponibleque si le programme d'installation a détecté Microsoft Visual Studio 2013sur votre système)

v Windows seulement : AppScan Source for Development pour VisualStudio 2012 (non sélectionné par défaut) (cette option n'est disponibleque si le programme d'installation a détecté Microsoft Visual Studio 2012sur votre système)


Par défaut, lorsque Sélection de composant client est sélectionné, lescomposants du plug-in AppScan Source for Development sontdésélectionnés et tous les autres composants sont sélectionnés.

Après avoir sélectionné les composants à installer, cliquez sur Suivant pourpasser au panneau d'installation suivant.

6. Dans le panneau Connexion au serveur, sélectionnez l'option qui décrit leserveur AppScan Enterprise Server auquel vous voulez vous connecter :v Je vais utiliser l'instance trouvée sur cette machine : Cette option s'affiche

si une version compatible du serveur AppScan Enterprise Server a étédétectée sur la machine. Sélectionnez cette option si vous avez l'intention devous connecter à ce serveur Enterprise Server lors de l'utilisation deAppScan Source.

v Je vais installer une instance locale compatible d'AppScan EnterpriseServer maintenant : Cette option s'affiche si une version non compatible duserveur AppScan Enterprise Server a été détectée sur cette machine. Si vousavez l'intention d'installer une version compatible du serveur EnterpriseServer sur cette machine, sélectionnez cette option et cliquez sur Suivant.Le panneau d'installation suivant vous guide tout au long des optionsd'installation d'Enterprise Server.

v Je vais installer une instance locale d'AppScan Enterprise Servermaintenant : Cette option s'affiche si AppScan Enterprise Server n'a pas été


détecté sur cette machine. Si vous avez l'intention d'installer le serveurEnterprise Server sur cette machine, sélectionnez cette option et cliquez surSuivant. Le panneau d'installation suivant vous guide tout au long desoptions d'installation d'Enterprise Server.

v Je vais me connecter à une instance distante d'AppScan Server : Lasélection de cette option vous permet de tester le serveur distant AppScanEnterprise Server afin de vérifier qu'il est disponible pour une connexion àAppScan Source. Pour tester la connexion serveur, complétez les zonessuivantes :– AppScan Enterprise Server : indiquez l'adresse hostname de votre

instance AppScan Enterprise Server distante au format URL existant.– ID utilisateur : indiquez votre ID utilisateur AppScan Enterprise Server.– Mot de passe : indiquez le mot de passe associé à votre ID utilisateur

AppScan Enterprise Server.Une fois les paramètres serveur entrés, cliquez sur Tester la connexion pourvérifier que le serveur est disponible pour une connexion à AppScanSource.

v Me laisser continuer sans spécifier de serveur : Sélectionnez cette optionpour continuer sans spécifier de serveur.

Important : Si le serveur Enterprise Server auquel vous allez vous connecterest activé pour la conformité avec NIST 800-131a, vous ne pouvez pas testerde connexion au serveur. Dans ce cas, continuez sans indiquer de serveur. Unefois l'installation d'AppScan Source et d'Enterprise Server terminée, suivez lesinstructions indiquées dans «Enregistrement de la base de données AppScanSource auprès du serveur AppScan Enterprise Server», à la page 75, envérifiant que l'option Force TLSv1.2 est appliquée.Cliquez sur Suivant pour passer au panneau d'installation suivant.

Remarque : Si votre sélection dans le panneau Connexion au serveur supposeune installation existante du serveur AppScan Enterprise Server qui estincompatible ou n'existe pas, le panneau Installation du serveur s'affiche. Cepanneau vous guide tout au long des options de téléchargement du serveurEnterprise Server.

7. Dans la page Spécification de la cible d'installation, spécifiez le répertoired'installation. Les répertoires par défaut, par système d'exploitation, sont lessuivants :v Versions 32 bits de Microsoft Windows :

<UNITESYSTEME>:\Program Files\IBM\AppScanSource

v Versions 64 bits de Microsoft Windows :<UNITESYSTEME>:\Program Files (x86)\IBM\AppScanSource

v Linux : si vous êtes l'utilisateur root, l'assistant d'installation installe votrelogiciel dans /opt/ibm/appscansource. Si vous n'êtes pas l'utilisateur root,vous pouvez installer le plug-in Eclipse AppScan Source for Developmentqui s'installe par défaut dans <rép_base>/AppScan_Source.

v OS X : /Applications/AppScanSource.app

Important :

v Le nom du répertoire d'installation peut uniquement contenir des caractèresanglais. Les noms de dossiers contenant des caractères autres qu'anglais nesont pas autorisés.


v Si vous effectuez l'installation sous Windows, vous devez disposer de droitsd'administrateur pour installer les composants AppScan Source.

v Si vous effectuez une installation sur Linux, vous devez disposer desprivilèges root pour installer les composants serveur de AppScan Source.

Cliquez sur Suivant pour passer au panneau d'installation suivant.8. Si le composant base de données IBM Security AppScan Source a été

sélectionné pour installation dans la page Sélection de composant serveur, lepanneau de sélection de base de données s'affiche. Dans cette page,choisissez :v Installer solidDB

v Installer la base de données sur le serveur Oracle 11g existant

Pour plus d'informations sur l'installation de solidDB ou sur une base dedonnées Oracle existante, voir la rubrique «Installation de la base de donnéeset configuration des connexions au serveur AppScan Enterprise Server», à lapage 63 du manuel IBM Security AppScan Source - Guide d'installation etd'administration.Cliquez sur Suivant pour passer au panneau d'installation suivant.

9. Si vous avez choisi d'installer une base de données solidDB dans le panneaude sélection de base de données, le panneau Configurer l'administrateurd'IBM solidDB s'affiche. Dans ce panneau, configurez le compte del'administrateur de base de données d'solidDB. Le nom d'utilisateur et le motde passe de l'administrateur de base de données sont tous deux dba. Vous nepouvez pas changer ce nom d'utilisateur, mais le mot de passe peut êtremodifié.

Remarque : Pour savoir comment modifier le mot de passe de l'utilisateuraprès avoir terminé l'installation du produit, voir Chapitre 17, «Modificationdes mots de passe utilisateur d'IBM solidDB après l'installation», à la page133.Cliquez sur Suivant pour passer au panneau d'installation suivant.

10. Le panneau Configurer l'utilisateur IBM solidDB AppScan Source vous permetde configurer le compte utilisateur de base de données solidDB AppScanSource. Vous pouvez conserver le nom d'utilisateur par défaut, ounce, et lemot de passe par défaut, ounce. Tous les composants qui lisent ou quiécrivent dans la base de données AppScan Source utilisent ce compte.

Remarque :

v Si vous modifiez les noms d'utilisateur et les mots de passe, vous devezconserver un enregistrement de la nouvelle configuration pour le cas où lesupport technique d'IBM devrait accéder à votre base de données AppScanSource.

v Pour savoir comment modifier le mot de passe de l'utilisateur après avoirterminé l'installation du produit, voir Chapitre 17, «Modification des motsde passe utilisateur d'IBM solidDB après l'installation», à la page 133.

Cliquez sur Suivant pour passer au panneau d'installation suivant.11. Dans le panneau de sélection du module linguistique, choisissez les modules

linguistiques à installer. Lorsque vous installez un module linguistique,l'interface utilisateur d'AppScan Source s'affiche dans cette langue lorsqu'elles'exécute sur un système d'exploitation prenant en charge cet environnementlocal.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationale


différente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il seratoutefois possible de la désélectionner).Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.

Remarque : Si vous n'installez pas un module linguistique spécifique, vous nepourrez pas ajouter la langue choisie après l'installation.

12. Lisez et acceptez les dispositions du contrat de licence puis cliquez surSuivant pour continuer.

13. Examinez le récapitulatif des options d'installation avant de continuer. Pourmodifier vos sélections, cliquez sur Précédent pour revenir aux pagesprécédentes. Une fois que vous êtes satisfait de vos choix d'installation,cliquez sur Installer. Le programme d'installation copie les fichiers sur l'unitéde disque dur.Pour les installations de serveur Linux uniquement : Après avoir copié lesfichiers, vous devez identifier l'utilisateur du démon. Sélectionnez Créerutilisateur 'ounce' ou Exécuter avec l'utilisateur existant, respectivement pourcréer l'utilisateur par défaut ounce ou pour exécuter avec un utilisateurexistant. (L'installation vérifie que l'utilisateur existe. Notez que l'utilisateursélectionné doit avoir un interpréteur de commandes valide.)Pendant l'installation, le fait de cliquer sur Annuler à n'importe quel momentprovoque la désinstallation de tous les composants.

14. Dans le panneau Configuration d'IBM Security AppScan Enterprise Server,spécifiez les paramètres qui permettront à la base de données de se connecterau serveur AppScan Enterprise Server. Par défaut, ce panneau d'installationest pré-renseigné avec des valeurs qui supposent que la base de données et leserveur sont installés sur le même poste, avec les paramètres par défaut, etque le serveur a été configuré pour l'authentification de Jazz Team Server.v Si le serveur est configuré pour l'authentification Windows, cochez la case

Configurer AppScan Enterprise Server maintenant, puis entrez les donnéesd'identification Windows qui ont été utilisées lorsque votre compte a étéajouté au serveur (l'ID utilisateur doit être au format <nom d’hôte>\<IDutilisateur>).

v Si le serveur est configuré pour l'authentification Jazz Team Server, pour cescénario d'installation, les paramètres par défaut doivent être corrects - àl'exception du mot de passe administratif du serveur. Si vous avez modifiéle mot de passe par défaut lors de l'installation d'AppScan EnterpriseServer, cochez la case Configurer AppScan Enterprise Server maintenant etentrez le mot de passe dans la zone Mot de passe.

Remarque : L'entrée figurant dans la zone Nom d'hôte de la base de donnéesdoit toujours être le nom d'hôte qualifié complet de la machine sur laquelle leprogramme d'installation est en cours d'exécution. Cette valeur doit êtreprédéfinie dans cette zone au moment de l'installation et elle ne doit êtremodifiée que si elle est incorrecte.

Remarque : Le serveur peut également être configuré après l'installation àl'aide d'un utilitaire fourni avec AppScan Source. Vous trouverez desinformations à ce sujet dans la rubrique «Enregistrement de la base dedonnées AppScan Source auprès du serveur AppScan Enterprise Server», à lapage 75 du manuel IBM Security AppScan Source - Guide d'installation etd'administration.


Cliquez sur Suivant pour passer au panneau d'installation suivant.15. Dans le panneau Installation terminée, vous pouvez lancer l'activation du

produit immédiatement après la sortie de l'assistant d'installation ensélectionnant Lancer IBM Security AppScan Source License Manager.Cliquez sur Terminé pour terminer l'installation standard et quitter l'assistantd'installation.

16. Dans l'utilitaire License Manager :a. Pour appliquer un fichier de licence, cliquez sur Importer, puis parcourez

l'arborescence jusqu'à la licence AppScan Source téléchargée.b. Pour appliquer une licence flottante, cliquez sur Configurer les serveurs

de licence, puis sur Ajouter. Entrez les informations associées à lamachine hôte contenant la licence flottante.

Pour plus d'informations sur l'activation, voir Chapitre 8, «Activation dulogiciel», à la page 103.

Connexion à AppScan SourcePourquoi et quand exécuter cette tâche

Pour obtenir une description des zones obligatoires lors de la connexion, consultezla section ci-après. Pour plus d'informations, voir Chapitre 12, «Connexion àAppScan Enterprise Server à partir des produits AppScan Source», à la page 119du manuel IBM Security AppScan Source - Guide d'installation et d'administration.

Procédurev ID utilisateur : indiquez votre ID utilisateur.v Mot de passe : indiquez le mot de passe associé à votre ID utilisateur.v AppScan Enterprise Server : indiquez l'adresse hostname de votre instance

AppScan Enterprise Server au format URL existant. Pour ce scénariod'installation, indiquez https://localhost:9443/ase/ ou localhost.

Installation des composants AppScan Source dans un environnementà plusieurs machines

Les composants AppScan Source peuvent être installés sur plusieurs machines.Dans ce scénario, les composants sont déployés dans un environnement à plusieursmachines. Rational License Server, AppScan Enterprise Server, les produits clientAppScan Source et la base de données AppScan Source sont installés surdifférentes machines.


Ce scénario est divisé en cinq sections :v «Installation d'IBM Rational License Server sur la Machine A», à la page 32v «Installation d'IBM Security AppScan Enterprise Server sur la Machine B», à la

page 33v «Installation des produits client AppScan Source sur la Machine C», à la page 34v «Installation de la base de données AppScan Source sur la Machine D», à la

page 36v «Connexion à AppScan Source», à la page 40

Important :




Installation d'IBM Rational License Server sur la Machine ALe serveur Rational License Server est utilisé pour héberger votre licence AppScanEnterprise Server. Il peut également être utilisé pour héberger les licences flottantesAppScan Source, mais les présentes instructions ne couvrent pas ce sujet.




AppScan Source ou à partir de l'image que vous avez téléchargée avecAppScan Source eAssembly sur IBM Passport Advantage).



4. Si IBM Installation Manager n'est pas encore installé sur votre système, il vase lancer en vue de son installation.a. Sur la première page de l'assistant d'installation des packages, vérifiez que

la case IBM Installation Manager et que toutes les cases situées endessous sont cochées. Cliquez sur Suivant.




















16. Dans le panneau d'importation d'un fichier de licence, cliquez sur Browse,puis accédez à votre fichier de licence AppScan Enterprise Server. Ouvrez lefichier à l'aide de la boîte de dialogue Parcourir et cliquez sur Import.


Installation d'IBM Security AppScan Enterprise Server sur laMachine B

Pour savoir comment installer Enterprise Server, voir AppScan Enterprise - Guidede planification et d'installation ou le guide d'installation interactif dans l'IBMKnowledge Center.


Le manuel AppScan Enterprise - Guide de planification et d'installation accompagne lesimages d'installation d'IBM Security AppScan Enterprise Server. Le guided'installation interactif se trouve sur le site http://www.ibm.com/support/knowledgecenter/SSW2NF/welcome (par exemple, le guide d'installation interactifde la version 9.0.2 est disponible à l'adresse http://www.ibm.com/support/





knowledgecenter/SSW2NF_9.0.2/com.ibm.ase.help.doc/topics/roadmap_ase_install.html).

Que faire ensuite



Installation des produits client AppScan Source sur laMachine C


Notez que l'ordre dans lequel vous installez les produits client AppScan Source etla base de données AppScan Source est sans importance. Les produits clientpeuvent être installés avant la base de données et vice versa.

Procédure1. Accédez au fichier zip du produit IBM Security AppScan Source (dans votre






5. Dans le panneau d'installation Sélection de composant, sélectionnez Sélectionde composant client, puis choisissez les composants à installer :v AppScan Source for Analysisv AppScan Source - Interface de ligne de commandev AppScan Source for Development pour Eclipse, RAD, MobileFirst (non

sélectionné par défaut)



v Windows seulement : AppScan Source for Development pour Visual Studio2013 (non sélectionné par défaut) (cette option n'est disponible que si leprogramme d'installation a détecté Microsoft Visual Studio 2013 sur votresystème)



Par défaut, lorsque Sélection de composant client est sélectionné, lescomposants du plug-in AppScan Source for Development sont désélectionnéset tous les autres composants sont sélectionnés.Après avoir sélectionné les composants à installer, cliquez sur Suivant pourpasser au panneau d'installation suivant.






Important :





linguistiques à installer. Lorsque vous installez un module linguistique,l'interface utilisateur d'AppScan Source s'affiche dans cette langue lorsqu'elles'exécute sur un système d'exploitation prenant en charge cet environnementlocal.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationaledifférente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il seratoutefois possible de la désélectionner).Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.





10. Dans le panneau Installation terminée, vous pouvez lancer l'activation duproduit immédiatement après la sortie de l'assistant d'installation ensélectionnant Lancer IBM Security AppScan Source License Manager.Cliquez sur Terminé pour terminer l'installation standard et quitter l'assistantd'installation.



de licence, puis sur Ajouter. Entrez les informations associées à la machinehôte contenant la licence flottante.


Installation de la base de données AppScan Source sur laMachine D


Notez que l'ordre dans lequel vous installez les produits client AppScan Source etla base de données AppScan Source est sans importance. Les produits clientpeuvent être installés avant la base de données et vice versa.

Procédure1. Accédez au fichier zip du produit IBM Security AppScan Source (dans votre







5. Dans le panneau d'installation Sélection de composant, sélectionnez Sélectionde composant serveur, puis vérifiez que la AppScan Source est sélectionné.Cliquez sur Suivant pour passer au panneau d'installation suivant.




v Je vais installer une instance locale d'AppScan Enterprise Servermaintenant : Cette option s'affiche si AppScan Enterprise Server n'a pas étédétecté sur cette machine. Si vous avez l'intention d'installer le serveurEnterprise Server sur cette machine, sélectionnez cette option et cliquez surSuivant. Le panneau d'installation suivant vous guide tout au long desoptions d'installation d'Enterprise Server.





Important : Si le serveur Enterprise Server auquel vous allez vous connecterest activé pour la conformité avec NIST 800-131a, vous ne pouvez pas testerde connexion au serveur. Dans ce cas, continuez sans indiquer de serveur. Unefois l'installation d'AppScan Source et d'Enterprise Server terminée, suivez les


instructions indiquées dans «Enregistrement de la base de données AppScanSource auprès du serveur AppScan Enterprise Server», à la page 75, envérifiant que l'option Force TLSv1.2 est appliquée.Cliquez sur Suivant pour passer au panneau d'installation suivant.







Important :





sélectionné pour installation dans la page Sélection de composant serveur, lepanneau de sélection de base de données s'affiche. Dans cette page,sélectionnez le bouton d'option Installer solidDB, puis cliquez sur Suivantpour passer au panneau d'installation suivant.



10. Le panneau Configurer l'utilisateur IBM solidDB AppScan Source vous permetde configurer le compte utilisateur de base de données solidDB AppScan


Source. Vous pouvez conserver le nom d'utilisateur par défaut, ounce, et lemot de passe par défaut, ounce. Tous les composants qui lisent ou quiécrivent dans la base de données AppScan Source utilisent ce compte.

Remarque :








14. Dans le panneau Configuration d'IBM Security AppScan Enterprise Server,spécifiez les paramètres qui permettront à la base de données de se connecterau serveur AppScan Enterprise Server. Cochez la case Configurer maintenantmanuellement AppScan Enterprise Server et renseignez les paramètressuivants :v AppScan Enterprise Server : indiquez l'adresse URL de votre instance

AppScan Enterprise Server (par exemple, https://MachineB.mydomain.com:9443/ase).


v ID utilisateur : indiquez votre ID utilisateur AppScan Enterprise Server. Pardéfaut, l'ID utilisateur est ADMIN, ce qui correspond à la valeur par défautsi le serveur est configuré pour l'authentification de Jazz Team Server(remplacez cette valeur si vous avez modifié l'ID utilisateur pendant ouaprès l'installation du serveur). Si le serveur est configuré pourl'authentification Windows, entrez l'ID utilisateur Windows qui a été utilisélorsque votre compte a été ajouté au serveur (l'ID utilisateur doit être auformat <nom d’hôte>\<ID utilisateur>).

v Mot de passe : indiquez le mot de passe associé à votre ID utilisateurAppScan Enterprise Server.

v Nom d'hôte de la base de données : indiquez le nom d'hôte qualifiécomplet de la machine sur laquelle est installée la base de données AppScanSource (par exemple, MachineD.mondomaine.com).

Remarque : La valeur de cette zone doit toujours être le nom d'hôte qualifiécomplet du poste sur lequel le programme d'installation est en coursd'exécution. Cette valeur doit être prédéfinie dans cette zone au moment del'installation et elle ne doit être modifiée que si elle est incorrecte.

Remarque : Le serveur peut également être configuré après l'installation àl'aide d'un utilitaire fourni avec AppScan Source. Vous trouverez desinformations à ce sujet dans la rubrique «Enregistrement de la base dedonnées AppScan Source auprès du serveur AppScan Enterprise Server», à lapage 75 du manuel IBM Security AppScan Source - Guide d'installation etd'administration.Cliquez sur Suivant pour passer au panneau d'installation suivant.








Procédurev ID utilisateur : indiquez votre ID utilisateur.v Mot de passe : indiquez le mot de passe associé à votre ID utilisateur.


v AppScan Enterprise Server : indiquez l'adresse hostname de votre instanceAppScan Enterprise Server au format URL existant. Pour ce scénariod'installation, indiquez le nom d'hôte qualifié complet de la machine sur laquellele serveur AppScan Enterprise Server est installé.

Conseil : Si le nom d'hôte qualifié complet ne fonctionne pas, essayez d'entrerl'adresse IP de la machine hôte.

Installation d'AppScan Source et intégration de ce dernier avec unserveur AppScan Enterprise Server existant

Dans ce scénario, les composants AppScan Source sont installés sur une seulemachine et sont configurés pour se connecter à un serveur AppScan EnterpriseServer existant.


Ce scénario est divisé en deux sections :v «Installation d'AppScan Source»v «Connexion à AppScan Source», à la page 46

Important :



Installation d'AppScan SourceProcédure1. Accédez au fichier zip du produit IBM Security AppScan Source (dans votre
































Important :




Cliquez sur Suivant pour passer au panneau d'installation suivant.


8. Si le composant base de données IBM Security AppScan Source a étésélectionné pour installation dans la page Sélection de composant serveur, lepanneau de sélection de base de données s'affiche. Dans cette page,choisissez :v Installer solidDB

v Installer la base de données sur le serveur Oracle 11g existant

Pour plus d'informations sur l'installation de solidDB ou sur une base dedonnées Oracle existante, voir la rubrique «Installation de la base de donnéeset configuration des connexions au serveur AppScan Enterprise Server», à lapage 63 du manuel IBM Security AppScan Source - Guide d'installation etd'administration.Cliquez sur Suivant pour passer au panneau d'installation suivant.




Remarque :









14. Dans le panneau Configuration d'IBM Security AppScan Enterprise Server,spécifiez les paramètres qui permettront à la base de données de se connecterau serveur AppScan Enterprise Server. Par défaut, ce panneau d'installationest pré-renseigné avec des valeurs qui supposent que la base de données et leserveur sont installés sur le même poste, avec les paramètres par défaut, etque le serveur a été configuré pour l'authentification de Jazz Team Server. Siles paramètres prédéfinis sont incorrects, cochez la case Configurer AppScanEnterprise Server maintenant et indiquez les paramètres suivants :v AppScan Enterprise Server : indiquez l'adresse URL de votre instance

AppScan Enterprise Server.v ID utilisateur : indiquez votre ID utilisateur AppScan Enterprise Server. Par

défaut, l'ID utilisateur est ADMIN, ce qui correspond à la valeur par défautsi le serveur est configuré pour l'authentification de Jazz Team Server(remplacez cette valeur si vous avez modifié l'ID utilisateur pendant ouaprès l'installation du serveur). Si le serveur est configuré pourl'authentification Windows, entrez l'ID utilisateur Windows qui a été utilisélorsque votre compte a été ajouté au serveur (l'ID utilisateur doit être auformat <nom d’hôte>\<ID utilisateur>).


v Nom d'hôte de la base de données : indiquez le nom d'hôte de la machinesur laquelle est installée la base de données AppScan Source.












AppScan Enterprise Server au format URL existant. Si le serveur AppScanEnterprise Server se situe sur la même machine, indiquez https://localhost:9443/ase/ or localhost. Si le serveur AppScan Enterprise Server estsitué sur une machine distante, indiquez le nom d'hôte qualifié complet de lamachine sur laquelle il est installé.

Conseil : Si le nom d'hôte qualifié complet ne fonctionne pas, essayez d'entrerl'adresse IP de la machine hôte.

Migration de Rational AppScan Source Edition version 8.0.x ouantérieure vers la version 8.6.x

Avant la version 8.5, Rational AppScan Source Edition (à présent appelé AppScanSource) incluait Rational AppScan Source Edition for Core. Ce produit de typeserveur fournissait le référentiel central pour les informations partagées. Dans laversion 8.5, Rational AppScan Source Edition for Core a été remplacé par RationalAppScan Enterprise Server (à présent appelé AppScan Enterprise Server). Cescénario décrit la mise à niveau de la version 8.0.x ou antérieure vers la version8.6.x.


Ce scénario est divisé en quatre sections :v «Installation d'IBM Rational License Server», à la page 47v «Installation de Rational AppScan Enterprise Server», à la page 48v «Mise à niveau de Rational AppScan Source Edition», à la page 49


v «Connexion à Rational AppScan Source Edition», à la page 51

Installation d'IBM Rational License ServerAvant la version 8.5, Rational License Server était uniquement nécessaire pourl'hébergement des licences flottantes Rational AppScan Source Edition. A compterde la version 8.5, Rational License Server est devenu nécessaire pour l'hébergementde votre licence Rational AppScan Enterprise Server.




Rational AppScan Source Edition ou à partir de l'image que vous aveztéléchargée avec Rational AppScan Source Edition eAssembly sur IBMPassport Advantage).



4. Si IBM Installation Manager n'est pas encore installé sur votre système, il vase lancer en vue de son installation.a. Sur la première page de l'assistant d'installation des packages, vérifiez que

la case IBM Installation Manager et que toutes les cases situées endessous sont cochées. Cliquez sur Suivant.




















16. Dans le panneau d'importation d'un fichier de licence, cliquez sur Browse,puis accédez à votre fichier de licence Rational AppScan Enterprise Server.Ouvrez le fichier à l'aide de la boîte de dialogue Parcourir et cliquez surImport.


Installation de Rational AppScan Enterprise ServerPour savoir comment installer Enterprise Server, voir AppScan Enterprise - Guidede planification et d'installation ou le guide d'installation interactif dans l'IBMKnowledge Center.


Le manuel AppScan Enterprise - Guide de planification et d'installation accompagne lesimages d'installation d'IBM Security AppScan Enterprise Server. Le guided'installation interactif se trouve sur le site http://www.ibm.com/support/knowledgecenter/SSW2NF/welcome (par exemple, le guide d'installation interactifde la version 9.0.2 est disponible à l'adresse http://www.ibm.com/support/knowledgecenter/SSW2NF_9.0.2/com.ibm.ase.help.doc/topics/roadmap_ase_install.html).







Que faire ensuite



Mise à niveau de Rational AppScan Source EditionProcédure1. Accédez au fichier zip du produit Rational AppScan Source Edition (dans

votre coffret de supports Rational AppScan Source Edition ou via l'imageélectronique que vous avez téléchargée dans Rational AppScan Source EditioneAssembly à l'adresse IBM Passport Advantage).

2. Décompressez l'image sur une unité locale et, dans le répertoire résultant,accédez à setup.exe et exécutez-le. Vous trouverez des informations détailléessur le lancement de l'assistant d'installation dans la rubrique «Démarrage del'assistant d'installation», à la page 58 du manuel IBM Rational AppScan SourceEdition Installation and Administration Guide.

Remarque : Il existe des images pour chaque produit de la famille RationalAppScan Source Edition. Le fichier setup.exe est situé dans le répertoireracine de ces images compressées.


4. Après le lancement de l'assistant d'installation, le panneau Bienvenue -Assistant de mise à niveau d'installation s'ouvre et vous recommande dequitter toutes les applications ouvertes. Cliquez sur Suivant pour continuer.

5. Les panneaux d'installation suivants vous informent que la base de donnéesva être mise à jour lors de l'installation et que cette mise à jour pourra durerjusqu'à 30 minutes. Vous ne devez pas annuler l'installation ou mettrel'ordinateur hors tension pendant la mise à niveau de la base de données.Cliquez sur Suivant.

6. Pour faciliter la maintenance de la base de données, entrez les informationsd'accréditation de votre compte utilisateur de base de données solidDBAppScan Source, puis cliquez sur Suivant lorsque vous êtes prêt à procéder àla mise à niveau de la base de données.

7. Dans le panneau de sélection du module linguistique, choisissez les moduleslinguistiques à installer. Lorsque vous installez un module linguistique,l'interface utilisateur de Rational AppScan Source Edition s'affiche dans cettelangue lorsqu'elle s'exécute sur un système d'exploitation prenant en chargecet environnement local.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationaledifférente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il seratoutefois possible de la désélectionner).


Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.




10. Dans le panneau Configuration de Rational AppScan Enterprise Server,spécifiez les paramètres qui permettront à la base de données de se connecterau serveur Rational AppScan Enterprise Server. Par défaut, ce panneaud'installation est pré-renseigné avec des valeurs qui supposent que la base dedonnées et le serveur sont installés sur le même poste, avec les paramètres pardéfaut. Si les paramètres prédéfinis sont incorrects, cochez la case ConfigurerAppScan Enterprise Server maintenant et indiquez les paramètres suivants :v AppScan Enterprise Server : indiquez l'adresse URL de votre instance

Rational AppScan Enterprise Server.v ID utilisateur : indiquez votre ID utilisateur Rational AppScan Enterprise

Server. Par défaut, il s'agit de ADMIN. Remplacez cette valeur si vous avezmodifié l'ID utilisateur pendant ou après l'installation du serveur.

v Mot de passe : indiquez le mot de passe associé à votre ID utilisateurRational AppScan Enterprise Server. Par défaut, il s'agit de ADMIN.Remplacez cette valeur si vous avez modifié le mot de passe pendant ouaprès l'installation du serveur.

v Nom d'hôte de la base de données : indiquez le nom d'hôte de la machinesur laquelle est installée la base de données Rational AppScan SourceEdition.


Remarque : Le serveur peut également être configuré après l'installation àl'aide d'un utilitaire fourni avec Rational AppScan Source Edition. Voustrouverez des informations à ce sujet dans la rubrique «Enregistrement de labase de données AppScan Source auprès du serveur AppScan EnterpriseServer», à la page 75 du manuel IBM Security AppScan Source - Guided'installation et d'administration.Cliquez sur Suivant pour passer au panneau d'installation suivant.


11. Dans le panneau Installation terminée, vous pouvez lancer l'activation duproduit immédiatement après la sortie de l'assistant d'installation ensélectionnant Lancer IBM Rational AppScan Source Edition LicenseManager. Cliquez sur Terminé pour terminer l'installation standard et quitterl'assistant d'installation.





Connexion à Rational AppScan Source EditionPourquoi et quand exécuter cette tâche



AppScan Enterprise Server au format URL existant. Pour ce scénariod'installation, indiquez https://localhost:9443/ase/ ou localhost.



Chapitre 4. Mise à niveau d'AppScan Source

Procédure1. Mettez à niveau AppScan Enterprise Server en suivant les instructions

d'installation fournies avec ce dernier. Pour en savoir plus sur le serveur,consultez la rubrique «Présentation d'AppScan Enterprise Server», à la page62.

2. Accédez au fichier zip du produit IBM Security AppScan Source (dans votrecoffret de supports AppScan Source ou via l'image électronique que vous aveztéléchargée dans AppScan Source eAssembly à l'adresse IBM PassportAdvantage).




5. Après le lancement de l'assistant d'installation, le panneau Bienvenue -Assistant de mise à niveau d'installation s'ouvre et vous recommande dequitter toutes les applications ouvertes. Cliquez sur Suivant pour continuer.

6. Si l'installation existante inclut la base de données AppScan Source, lepanneau Connexion au serveur s'ouvre, suivi des panneaux de mise à niveauet de maintenance de la base de données.












8. Les panneaux d'installation suivants vous informent que la base de donnéesva être mise à jour lors de l'installation et que cette mise à jour pourra durerjusqu'à 30 minutes. Vous ne devez pas annuler l'installation ou mettrel'ordinateur hors tension pendant la mise à niveau de la base de données.Cliquez sur Suivant.

9. Pour faciliter la maintenance de la base de données, entrez les informationsd'accréditation de votre compte utilisateur de base de données solidDBAppScan Source, puis cliquez sur Suivant lorsque vous êtes prêt à procéder àla mise à niveau de la base de données.

10. Dans le panneau de sélection du module linguistique, choisissez les moduleslinguistiques à installer. Lorsque vous installez un module linguistique,l'interface utilisateur d'AppScan Source s'affiche dans cette langue lorsqu'elles'exécute sur un système d'exploitation prenant en charge cet environnementlocal.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationaledifférente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il seratoutefois possible de la désélectionner).Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.












Chapitre 4. Mise à niveau d'AppScan Source 55






Résultats

A compter de la version 8.7 de AppScan Source, les données d'application sontstockées en dehors du répertoire d'installation. Si vous effectuez une mise à niveauà partir de AppScan Source version 8.6.x ou antérieure, vos données d'applicationexistantes sont déplacées vers le «Répertoire de données AppScan Source pardéfaut», à la page 60. De plus, une sauvegarde des données d'applicationexistantes (antérieures à la version 8.7) est stockée dans <rép_données>/upgrade_backup (où <rép_données> est l'emplacement de vos données deprogramme AppScan Source, comme décrit dans «Installation et emplacements desfichiers de données utilisateur», à la page 59).

Depuis AppScan Source version 9.0, le Plug-in Eclipse AppScan Source forDevelopment est pris en charge sous OS X. Si vous procédez à une mise à niveaudepuis AppScan Source version 8.8.x ou antérieure sous OS X, les fonctionsAppScan Source for Development pourront être installées dans les environnementsEclipse une fois la mise à niveau terminée (l'utilisation de ces fonctions requiert lalicence appropriée). Pour des informations sur l'installation d'AppScan Source forDevelopment dans des environnements Eclipse, voir «Application d'AppScanSource for Development (plug-in Eclipse) à Eclipse et des produits pris en chargereposant sur Eclipse», à la page 83.


Chapitre 5. Installation avancée et rubriques d'activation

Cette section décrit les options d'installation avancée et les procédures d'activation.

Vous pouvez télécharger le logiciel AppScan Source à partir de IBM PassportAdvantage ou l'acheter sous forme de coffret de supports. Vous vous procurez leslicences d'activation via IBM Rational License Key Center.

Des fichiers d'installation auto-extractibles sont disponibles pour Windows, Linuxet OS X. Ils génèrent les fichiers de configuration suivants :v Windows : setup.exev Linux : setup.bin.gzv OS X : setup.dmg

L'assistant d'installation vous guide tout au long de l'installation prête à l'emploide tous les composants AppScan Source qui sont pris en charge sur le systèmed'exploitation sur lequel vous procédez à l'installation.

Lorsque l'installation est terminée, vous pouvez choisir de lancer le gestionnaire delicence d'activation à partir du panneau d'installation final ou bien d'activer leproduit ultérieurement.

Important : Vous devez activer le logiciel pour pouvoir l'utiliser.

Vous devez connaître les configurations requises pour votre environnement et ledéploiement avant d'installer des composants AppScan Source (voir «Modèles dedéploiement d'AppScan Source», à la page 7 pour plus d'informations). Parexemple, pour exécuter AppScan Source for Analysis sur un ordinateur bloc-notesqui n'est pas connecté à un serveur AppScan Enterprise Server distant, vous devezinstaller AppScan Source for Analysis et AppScan Enterprise Server surl'ordinateur bloc-notes.

Ordinateur standard

Une installation pour ordinateur de bureau standard se composent des composantsclient et serveur nécessaires à l'exécution d'AppScan Source for Analysis sur unordinateur unique, même s'il est déconnecté du réseau (ce type d'installationrequiert également l'installation d'AppScan Enterprise Server sur l'ordinateur). Lesoptions des composants d'installation pour ordinateur standard sont les suivantes :v Composants serveur :

– AppScan Source– AppScan Source for Automation

v Composants client :– AppScan Source for Analysis– AppScan Source - Interface de ligne de commande– AppScan Source for Development pour Eclipse, RAD, MobileFirst (non

sélectionné par défaut)


– Windows seulement : AppScan Source for Development pour Visual Studio2013 (non sélectionné par défaut) (cette option n'est disponible que si leprogramme d'installation a détecté Microsoft Visual Studio 2013 sur votresystème)



Serveur

Les composants serveur que vous pouvez choisir d'installer sont les suivants :v AppScan Sourcev AppScan Source for Automation

Client

Les composants client que vous pouvez choisir d'installer sont les suivants :v AppScan Source for Analysisv AppScan Source - Interface de ligne de commandev AppScan Source for Development pour Eclipse, RAD, MobileFirst (non

sélectionné par défaut)v Windows seulement : AppScan Source for Development pour Visual Studio 2013

(non sélectionné par défaut) (cette option n'est disponible que si le programmed'installation a détecté Microsoft Visual Studio 2013 sur votre système)



Démarrage de l'assistant d'installationL'assistant d'installation de AppScan Source s'exécute sur les systèmesd'exploitation Microsoft Windows, Linux et OS X.

Pour lancer l'installation, procédez comme suit :v Microsoft Windows : exécutez setup.exe

v Linux : exécutez setup.bin

v OS X : Ouvrez setup.dmg et exécutez l'application setup

Important : Sous Windows 8, le programme d'installation doit s'exécuter en modede compatibilité Windows 7. Pour activer ce mode, cliquez avec le bouton droit dela souris sur setup.exe et sélectionnez Propriétés. Dans la fenêtre Propriétés,sélectionnez l'onglet Compatibilité, puis sélectionnez la case Exécuter ceprogramme en mode de compatibilité pour et définissez le menu sur Windows 7.Cliquez sur OK pour effectuer la modification, puis exécutez setup.exe pourcommencer l’installation d'AppScan Source.


L'assistant vérifie la disponibilité du port réseau. S'il trouve des conflits, vousdevez quitter l'installation. Pour plus de détails sur les ports requis, voirChapitre 16, «Configuration des ports», à la page 131.

Lorsque vous lancez l'assistant d'installation pour la première fois, l'écran quis'affiche vous permet de sélectionner la langue nationale qui sera affichée dans lespanneaux d'installation. Sélectionnez la langue et cliquez sur OK pour continuer.

Après le lancement de l'assistant d'installation, le panneau de bienvenue del'assistant d'installation s'ouvre et vous recommande de quitter toutes lesapplications ouvertes. Cliquez sur Suivant pour lancer la procédure d'installation(pour toute information sur les emplacements des fichiers d'installation, voir«Installation et emplacements des fichiers de données utilisateur»).

Remarque : Si Rational AppScan Source Edition for Portfolio Manager version 7.0est installé et que vous utilisez l'assistant d'installation pour mettre à niveauRational AppScan Source Edition version 7.0 vers une version ultérieure, leprocessus d'installation provoque la suppression de Rational AppScan SourceEdition for Portfolio Manager version 7.0 de votre ordinateur. Nous vousrecommandons de sauvegarder votre base de données Rational AppScan SourceEdition avant de supprimer ce produit (dans l'éventualité d'une réinstallationultérieure de Rational AppScan Source Edition for Portfolio Manager version 7.0,vous pourrez utiliser cette sauvegarde pour rétablir Rational AppScan SourceEdition version 7.0).

L'installation de AppScan Source version 8.x vous avertit avant de supprimerRational AppScan Source Edition for Portfolio Manager version 7.0 de votreordinateur. A ce stade, vous pourrez créer automatiquement une copie desauvegarde de la base de données IBM solidDB qui a été installée avec RationalAppScan Source Edition. Si vous choisissez cette option, la copie de sauvegarde estenregistrée dans <rép_install>\solidDB\com.ouncelabs.db.<timestamp> (où<rép_install> représente l'emplacement de votre installation AppScan Source). Parexemple, sous Windows (32 bits), la copie de sauvegarde est enregistrée par défautdans C:\Program Files\IBM\AppScan Source\solidDB\com.ouncelabs.db.<timestamp>.

Si vous utilisez une base de données Oracle pour vos données, vous devrezsauvegarder manuellement la base de données avant de tenter d'effectuer une miseà niveau vers AppScan Source version 8.x. Les instructions à suivre poursauvegarder manuellement une base de données sont fournies dans la rubrique«Sauvegarde de la base de données AppScan Source», à la page 76.

Pour restaurer une base de données solidDB, suivez les instructions dans«Restauration de la base de données AppScan Source IBM solidDB», à la page 77.

Installation et emplacements des fichiers de données utilisateurLorsque vous installez AppScan Source, les fichiers de données utilisateur et deconfiguration sont stockés hors du répertoire d'installation.v «Répertoire d'installation par défaut», à la page 60v «Répertoire de données AppScan Source par défaut», à la page 60v «Emplacement des fichiers temporaires AppScan Source», à la page 60

Chapitre 5. Installation avancée et rubriques d'activation 59

Répertoire d'installation par défaut

Lorsque AppScan Source est installé, le logiciel est placé dans l'un desemplacements par défaut suivants :v Versions 32 bits de Microsoft Windows :



v Linux : si vous êtes l'utilisateur root, l'assistant d'installation installe votrelogiciel dans /opt/ibm/appscansource. Si vous n'êtes pas l'utilisateur root, vouspouvez installer le plug-in Eclipse AppScan Source for Development quis'installe par défaut dans <rép_base>/AppScan_Source.


Important :

v Le nom du répertoire d'installation peut uniquement contenir des caractèresanglais. Les noms de dossiers contenant des caractères autres qu'anglais ne sontpas autorisés.


v Si vous effectuez une installation sur Linux, vous devez disposer des privilègesroot pour installer les composants serveur de AppScan Source.

Répertoire de données AppScan Source par défaut

Les données AppScan Source sont des fichiers de configuration, exemples etjournaux. Lorsque AppScan Source est installé, les fichiers de données sont placésdans ces emplacements par défaut :v Microsoft Windows : <UNITESYSTEME>:\ProgramData\IBM\AppScanSource

Remarque : ProgramData\ est un dossier masqué et, pour l'afficher, vous devezmodifier les préférences d'affichage dans l'explorateur afin d'afficher les fichierset les dossiers masqués.

v Linux : /var/opt/ibm/appscansourcev OS X : /Users/Shared/AppScanSource

Pour savoir comment modifier l'emplacement du répertoire de données AppScanSource, voir «Modification du répertoire de données AppScan Source», à la page61.

Emplacement des fichiers temporaires AppScan Source

Certaines opérations AppScan Source génèrent la création de fichiers temporairesqui sont stockés dans les emplacements suivants par défaut :v Microsoft Windows : <UNITESYSTEME>:\ProgramData\IBM\AppScanSource\temp

Remarque : ProgramData\ est un dossier masqué et, pour l'afficher, vous devezmodifier les préférences d'affichage dans l'explorateur afin d'afficher les fichierset les dossiers masqués.

v Linux : /var/opt/ibm/appscansource/tempv OS X : /Users/Shared/AppScanSource/temp


L'emplacement des fichiers temporaires est toujours dans un répertoire temp, dansle répertoire de données AppScan Source. Vous pouvez changer l'emplacement desfichiers temporaires en modifiant le répertoire de données, comme décrit dans«Modification du répertoire de données AppScan Source». Le répertoire temp estalors situé dans le répertoire de données que vous avez sélectionné.

Modification du répertoire de données AppScan SourceVous pouvez modifier l'emplacement du répertoire de données AppScan Source àdes fins de gestion de l'espace du disque dur. Vous pouvez modifier l'emplacementaprès l'installation de AppScan Source en appliquant les étapes de cette rubrique.

Avant de commencer

Avant d'effectuer cette tâche, vérifiez que toutes les applications client AppScanSource ont été fermées ou arrêtées. Les applications client AppScan Source sont lessuivantes :v AppScan Source for Analysisv AppScan Source for Development (plug-in Eclipse ou Visual Studio) (pris en

charge uniquement sous Windows et Linux)v interface de ligne de commande AppScan Sourcev AppScan Source for Automation

En outre, si vous avez installé AppScan Source for Automation, vérifiez quel'Automation Server a été arrêté :v Sous Windows, arrêtez le service IBM Security AppScan Source Automation.v Sous Linux, lancez la commande suivante : /etc/init.d/ounceautod stop

v Sous OS X, lancez la commande suivante : launchctl stopcom.ibm.appscan.autod

Procédure1. Définissez une variable d'environnement

APPSCAN_SOURCE_SHARED_DATA=<rép_données>, où <rép_données> estl'emplacement dans lequel vous souhaitez stocker les données AppScan Source.

Remarque :

v L'emplacement <rép_données> doit être un chemin d'accès absolu et completqui existe sur la même machine que votre installation AppScan Source.

v Le nom du répertoire <rép_données> peut uniquement contenir des caractèresanglais. Les dossiers portant des noms contenant des caractères non anglaisne sont pas autorisés.

2. Localisez le répertoire de données par défaut ayant été créé lorsque AppScanSource a été installé (voir «Répertoire de données AppScan Source par défaut»,à la page 60 pour plus de détails sur les emplacements de répertoire dedonnées par défaut).

3. Copiez ou déplacez le contenu du répertoire de données par défaut versl'emplacement <rép_données> spécifié dans la variable d'environnement.

4. Applicable uniquement à AppScan Source for Automation installé sousLinux :a. Editez le fichier /etc/init.d/ounceautod.b. Localisez la ligne suivante


su - ounce -c’export LD_LIBRARY_PATH="/opt/IBM/AppScan_Source/bin":$LD_LIBRARY_PATH &&cd "/opt/IBM/AppScan_Source/bin" &&"/opt/IBM/AppScan_Source/bin/ounceautod" -s’ >>"/var/opt/ibm/appscansource/logs/ounceautod_output.log"2>&1 &

et remplacez-la par :su - ounce -c’export APPSCAN_SOURCE_SHARED_DATA=<nouveau chemin du répertoire dedonnées ici> &&export LD_LIBRARY_PATH="/opt/IBM/AppScan_Source/bin":$LD_LIBRARY_PATH &&cd "/opt/IBM/AppScan_Source/bin" &&"/opt/IBM/AppScan_Source/bin/ounceautod" -s’ >>"<nouveau chemin du répertoire de données ici>/logs/ounceautod_output.log"2>&1 &

Remarque : La commande ci-dessus est sur une ligne.c. Sauvegardez le fichier /etc/init.d/ounceautod.

Que faire ensuite

Si vous avez installé AppScan Source for Automation, démarrez AutomationServer :v Sous Windows, démarrez le service IBM Security AppScan Source Automation.v Sous Linux, lancez la commande suivante : /etc/init.d/ounceautod start

v Sous OS X, lancez la commande suivante : launchctl startcom.ibm.appscan.autod

Présentation d'AppScan Enterprise ServerAppScan Enterprise Server est un composant installable séparément qui estnécessaire pour l'utilisation de AppScan Source. Chaque produit et composant deAppScan Source doit pouvoir communiquer avec un serveur AppScan EnterpriseServer. Ce serveur fournit des fonctionnalités de gestion centralisée des utilisateurset un mécanisme de partage d'évaluations via la base de données AppScan Source.En outre, si votre administrateur a installé le composant Enterprise Console deAppScan Enterprise Server, vous pouvez publier des évaluations sur ce composant.Le composant Enterprise Console offre divers outils de gestion des évaluations, telsque des fonctions de génération de rapports, de gestion de problème et d'analysede tendance, ainsi que des tableaux de bord.

Pour en savoir plus sur le matériel et les logiciels requis pour exécuter AppScanEnterprise Server, voir http://www.ibm.com/support/docview.wss?uid=swg27027541.

Pour savoir comment installer AppScan Enterprise Server, consultez le manuelAppScan Enterprise - Guide de planification et d'installation ou l'aide auxutilisateurs d'AppScan Enterprise Server accessible via l'IBM Knowledge Center(http://www.ibm.com/support/knowledgecenter/SSW2NF/welcome).

Lorsqu'il est utilisé avec AppScan Source, le serveur AppScan Enterprise Serverrequiert un serveur de base de données IBM solidDB installé à l'aide de l'assistantd'installation de AppScan Source ou un serveur de base de données Oracle existantauquel les données et le schéma AppScan Source ont été appliqués par l'assistantd'installation de AppScan Source.





Important : Si le serveur AppScan Enterprise Server auquel vous allez vousconnecter est activé pour la conformité avec NIST 800-131a, vous devez définirAppScan Source pour qu'il force Transport Layer Security V1.2. Si la fonctionTransport Layer Security V1.2 n'est pas forcée, les connexions au serveuréchoueront.v Si vous n'installez pas base de données AppScan Source (par exemple, vous

installez uniquement les composants client), vous pouvez forcer Transport LayerSecurity V1.2 en modifiant <rép_données>\config\ounce.ozsettings (où<rép_données> est l'emplacement de vos données de programme AppScanSource, comme décrit dans «Installation et emplacements des fichiers de donnéesutilisateur», à la page 59)). Dans ce fichier, repérez le paramètre suivant :<Setting

name="tls_protocol_version"read_only="false"default_value="0"value="0"description="Minor Version of the TLS Connection Protocol"type="text"display_name="TLS Protocol Version"display_name_id=""available_values="0:1:2"hidden="false"force_upgrade="false"

/>

Dans ce paramètre, modifiez value="0" en value="2", puis enregistrez le fichier.v Si vous installez la base de données AppScan Source, vous pouvez forcer

Transport Layer Security V1.2 dans l'outil de configuration d'IBM SecurityAppScan Enterprise Server après avoir installé AppScan Source et EnterpriseServer.

Pour plus d'informations sur l'outil de configuration de base de données d'IBMSecurity AppScan Enterprise Server, voir «Enregistrement de la base de donnéesAppScan Source auprès du serveur AppScan Enterprise Server», à la page 75.

Installation de la base de données et configuration des connexions auserveur AppScan Enterprise Server

AppScan Source requiert un serveur de base de données IBM solidDB installé àl'aide de l'assistant d'installation AppScan Source ou un serveur de base dedonnées Oracle existant auquel les données et le schéma AppScan Source ont étéappliqués par l'assistant d'installation AppScan Source. La base de donnéesconserve les données de Base de connaissances de sécurité AppScan SourceSecurity, les données d'évaluation et l'inventaire des applications et des projets.Cette rubrique présente les diverses options d'installation et de configuration d'unserveur de base de données.

Important : Au cours de l'examen, le client AppScan Enterprise Server et le clientAppScan Source (sauf AppScan Source for Development) requièrent une connexiondirecte à la base de données AppScan Source (solidDB ou Oracle).

Remarque : Les composants serveur AppScan Source, tels que la base de donnéesAppScan Source, ne sont pas pris en charge sous OS X.

Installation et configuration de solidDB

Pendant le processus d'installation, vous installez la base de données et vousspécifiez les paramètres de connexion de solidDB de sorte que AppScan Enterprise


Server puisse se connecter à la base de données. Pour savoir comment effectuerl'installation pour ce scénario, voir «Installation et configuration de IBM solidDB».

Effectuer l'installation sur une base de données Oracle existante

Appliquez les données et le schéma de la base de données AppScan Source à unebase de données Oracle existante. Pendant le processus d'installation, vousindiquez les paramètres de connexion de la base de données Oracle afin queAppScan Enterprise Server puisse se connecter à la base de données. Pour savoircomment effectuer l'installation pour ce scénario, voir «Effectuer l'installation surune base de données Oracle existante», à la page 68.

Installation et configuration de IBM solidDB


Cette rubrique de tâche décrit la procédure d'installation et de configuration desolidDB et de AppScan Enterprise Server.

Procédure1. Installez AppScan Enterprise Server en suivant les instructions d'installation

fournies avec ce dernier. Pour en savoir plus sur le serveur, consultez larubrique «Présentation d'AppScan Enterprise Server», à la page 62.





















Important :






sélectionné pour installation dans la page Sélection de composant serveur, lepanneau de sélection de base de données s'affiche. Dans cette page,sélectionnez le bouton d'option Installer solidDB, puis cliquez sur Suivantpour passer au panneau d'installation suivant.




Remarque :




linguistiques à installer. Lorsque vous installez un module linguistique,l'interface utilisateur d'AppScan Source s'affiche dans cette langue lorsqu'elles'exécute sur un système d'exploitation prenant en charge cet environnementlocal.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationaledifférente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il seratoutefois possible de la désélectionner).


Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.










Remarque : Le serveur peut également être configuré après l'installation àl'aide d'un utilitaire fourni avec AppScan Source. Vous trouverez desinformations à ce sujet dans la rubrique «Enregistrement de la base dedonnées AppScan Source auprès du serveur AppScan Enterprise Server», à lapage 75 du manuel IBM Security AppScan Source - Guide d'installation etd'administration.


Cliquez sur Suivant pour passer au panneau d'installation suivant.14. Dans le panneau Installation terminée, vous pouvez lancer l'activation du

produit immédiatement après la sortie de l'assistant d'installation ensélectionnant Lancer IBM Security AppScan Source License Manager.Cliquez sur Terminé pour terminer l'installation standard et quitter l'assistantd'installation.





Effectuer l'installation sur une base de données Oracleexistante

Cette rubrique de tâche décrit la procédure d'installation du schéma et des donnéesde la base de données AppScan Source dans une base de données Oracle existante.Afin de créer le schéma Oracle, vous devez exécuter le programme d'installationde AppScan Source sur la même machine que celle où est installée la base dedonnées Oracle ou sur une machine sur laquelle le client Oracle complet estinstallé (le programme d'installation doit pouvoir accéder aux utilitaires Oraclesqlplus et sqlldr).

Procédure1. Installez AppScan Enterprise Server en suivant les instructions d'installation

fournies avec ce dernier. Pour en savoir plus sur le serveur, consultez larubrique «Présentation d'AppScan Enterprise Server», à la page 62.



















v Linux : si vous êtes l'utilisateur root, l'assistant d'installation installe votrelogiciel dans /opt/ibm/appscansource. Si vous n'êtes pas l'utilisateur root,


vous pouvez installer le plug-in Eclipse AppScan Source for Developmentqui s'installe par défaut dans <rép_base>/AppScan_Source.


Important :





sélectionné pour installation dans la page Sélection de composant serveur, lepanneau de sélection de base de données s'affiche. Dans cette page,sélectionnez le bouton d'option Installer la base de données sur le serveurOracle 11g existant, puis cliquez sur Suivant pour passer au panneaud'installation suivant.

8. Si le composant base de données IBM Security AppScan Source a étésélectionné pour installation dans la page Sélection de composant serveur, - etsi l'option Installer la base de données sur le serveur Oracle 11g existant aété sélectionnée dans la page Sélection de la base de données - le panneauServeur de base de données Oracle s'affiche. Spécifiez dans cette page :v Répertoire principal d'Oracle : Indiquez l'emplacement de l'installation

Oracle.v Emplacement d'Oracle TNS : Emplacement du fichier tnsnames.ora. Par

défaut, il s'agit de <rép_principal_oracle>\network\admin (où<rép_principal_oracle> est l'emplacement de l'installation Oracle.

v SID/Nom du service Oracle : Indiquez la chaîne de connexion ou l'aliasTNS, par exemple //<nom_hôte>:<port>/<NomServiceOracle>. Laspécification d'un alias TNS requiert la configuration d'AppScan EnterpriseServer. Pour plus de détails, voir «Configuration de l'alias TNS Oracle», à lapage 74.

v Nom d'utilisateur système : spécifiez l'utilisateur Oracle qui sera utilisépour effectuer l'installation. Ce nom d'utilisateur doit avoir les droitsnécessaires pour créer d'autres utilisateurs. La valeur par défaut est system

v Mot de passe système : spécifiez le mot de passe de l'utilisateur indiquédans la zone Nom d'utilisateur système.

v Tester la connexion : Cliquez sur ce bouton pour vérifier que lesparamètres de base de données et les données d'identification fournis sontcorrects.

v Nom d'utilisateur AppScan : indiquez l'utilisateur de la base de donnéesAppScan Source à créer. La valeur par défaut est ounce.

v Mot de passe AppScan : spécifiez le mot de passe de l'utilisateur indiquédans la zone Nom d'utilisateur AppScan. La valeur par défaut est ounce.

v Chargement direct des données : si cette case est cochée, les donnéesinitiales de AppScan Source seront chargées via Oracle Direct Load. Cettecase est cochée par défaut.

v Utilisateur Sysdba : si la case Chargement direct des données est cochée,spécifiez un utilisateur avec des privilèges sysdba. La valeur par défaut estsysdba.


v Mot de passe Sysdba : spécifiez le mot de passe de l'utilisateur indiquédans la zone Utilisateur Sysdba.

v Chemin d'accès à SqlPlus : spécifiez le chemin d'accès de l'exécutablesqlplus sur le disque. Celui-ci sera utilisé pour exécuter des scripts sql lorsde l'installation. La valeur par défaut est sqlplus. Un chemin d'accès absolun'est pas nécessaire si l'exécutable sqlplus se trouve sur le chemin d'accèssystème.

v Chemin d'accès à Sqlldr : spécifiez le chemin d'accès de l'exécutable sqlldrsur le disque. Celui-ci sera utilisé pour charger des données lors del'installation. La valeur par défaut est sqlldr. Un chemin d'accès absolun'est pas nécessaire si l'exécutable sqlldr se trouve sur le chemin d'accèssystème.

Important : Une fois que l'installation de ces paramètres est terminée, unnouveau schéma et l'utilisateur de la base de données AppScan Source sontautomatiquement installés sur votre base de données Oracle. L'utilisateur de labase de données AppScan Source n'a pas besoin d'être créé manuellement.

Remarque :

v Lorsque l'installation qui comprend l'installation du schéma et des donnéesde base de données AppScan Source dans une base de données Oracleexistante est terminée, consultez <data_dir>\logs\core_exceptions.log (où<rép_données> est l'emplacement de vos données de programme AppScanSource, comme décrit dans «Installation et emplacements des fichiers dedonnées utilisateur», à la page 59) pour vérifier qu'aucune erreurd'installation ne s'est produite.

v Si vous connectez AppScan Enterprise Server à une base de données Oracle,vous devez spécifier UTF-8 comme jeu de caractères lors de la création dela base de données (en général, il ne s'agit pas du jeu de caractères pardéfaut).

v L'installation de AppScan Source requiert les bibliothèques Oracle InstantClient (OCI) mais ne les installe pas. Pour plus d'informations, voir«Installation des bibliothèques Oracle Client (OCI)», à la page 73.

v Si vous spécifiez un alias TNS pour Chaîne de connexion Oracle, cetteerreur peut apparaître dans le fichier core_exceptions.log : Unable toprocess the database transaction. Error: ORA-12154 (le message peutêtre accompagné d'un texte d'erreur provenant de la base de donnéesOracle). Pour résoudre ce problème, effectuez l'une des tâches suivantes :– Copiez le fichier Oracle tnsnames.ora dans <rép_install>\bin (où

<rép_install> représente l'emplacement de votre installation AppScanSource).

– ouvrez<rép_données>\config\ounce.ozsettings (où <rép_données> estl'emplacement de vos données de programme AppScan Source, commedécrit dans «Installation et emplacements des fichiers de donnéesutilisateur», à la page 59). Dans le fichier, recherchez le paramètretns_admin et changez sa valeur de façon à le faire pointer vers lerépertoire contenant le fichier tnsnames.ora d'Oracle. Enregistrez lesmodifications apportées au fichier.


linguistiques à installer. Lorsque vous installez un module linguistique,


l'interface utilisateur d'AppScan Source s'affiche dans cette langue lorsqu'elles'exécute sur un système d'exploitation prenant en charge cet environnementlocal.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationaledifférente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il seratoutefois possible de la désélectionner).Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.



11. Examinez le récapitulatif des options d'installation avant de continuer. Pourmodifier vos sélections, cliquez sur Précédent pour revenir aux pagesprécédentes. Une fois que vous êtes satisfait de vos choix d'installation, cliquezsur Installer. Le programme d'installation copie les fichiers sur l'unité dedisque dur.Pour les installations de serveur Linux uniquement : Après avoir copié lesfichiers, vous devez identifier l'utilisateur du démon. Sélectionnez Créerutilisateur 'ounce' ou Exécuter avec l'utilisateur existant, respectivement pourcréer l'utilisateur par défaut ounce ou pour exécuter avec un utilisateurexistant. (L'installation vérifie que l'utilisateur existe. Notez que l'utilisateursélectionné doit avoir un interpréteur de commandes valide.)Pendant l'installation, le fait de cliquer sur Annuler à n'importe quel momentprovoque la désinstallation de tous les composants.














Installation des bibliothèques Oracle Client (OCI)L'installation de AppScan Source n'installe pas les bibliothèques Oracle Client(OCI). Si vous déployez AppScan Source à l'aide d'une base de données Oracle, unclient Oracle doit être installé sur chaque machine client exécutant des produitsAppScan Source afin de communiquer avec la base de données. Pour utiliser unclient Oracle que vous avez déjà installé, vous devez vous assurer que lesbibliothèques client peuvent être trouvées par AppScan Source, selon lesinstructions de cette rubrique. Lorsque l'installation est terminée, si une erreur deconnexion est consignée dans le fichier <rép_données>\logs\scanner_exceptions.log (sous Windows) ou <rép_données>/logs/scanner_exceptions.log (sous Linux) (où <rép_données> est l'emplacement de vosdonnées de programme AppScan Source, comme décrit dans «Installation etemplacements des fichiers de données utilisateur», à la page 59), cela peut être dûau fait que les bibliothèques client Oracle sont introuvables. Sous Linux, cetteerreur indique que libclntsh.so est introuvable. Sous Windows, elle indique queociw32.dll est introuvable.

Si vous ne disposez pas d'une installation de client Oracle existante, le clientOracle Client peut être téléchargé depuis http://www.oracle.com/.

Afin de créer le schéma Oracle, le programme d'installation de AppScan Sourcedoit s'exécuter sur la même machine que celle où est installée la base de donnéesOracle ou sur une machine sur laquelle le client Oracle complet est installé. Ceciest requis afin que le programme d'installation puisse accéder aux utilitaires Oraclesqlplus et sqlldr.


http://www.oracle.com/

Sous Linux

S'il n'existe pas déjà sur votre système, vous devez créer un lien symbolique dansle répertoire $Oracle_Home\lib. Ce lien devra être nommé libclntsh.so, et devrapointer vers une version spécifique de ce fichier. Par exemple :v Client Oracle version 11 : lrwxrwxrwx 1 oracle oracle 63 Oct 2 14:16

libclntsh.so -> /u01/app/oracle/home/lib/libclntsh.so.11.1

v Client Oracle version 10 : lrwxrwxrwx 1 oracle oracle 63 Oct 2 14:16libclntsh.so -> /u01/app/oracle/home/lib/libclntsh.so.10.1

De plus, le répertoire contenant libclntsh.so doit être inclus dans votre$LD_LIBRARY_PATH avant l'exécution du programme d'installation.

Vous pouvez également avoir besoin de définir des valeurs pour les variablesd'environnement NLS_LANG etORA_NLS10 (ou ORA_NLS11). Par exemple :export NLS_LANG=AMERICAN_AMERICA.AL32UTF8export ORA_NLS10=$ORACLE_HOME/nls/data

Consultez votre documentation Oracle pour plus d'information à propos de cesvariables.

Automation Server : Si vous utilisez le serveur AppScan Source for Automation,vous pouvez avoir à éditer le script de démarrage /etc/init.d/ounceautod afin devous assurer que les bibliothèques client Oracle sont incluses dans le chemin$LD_LIBRARY_PATH pour le compte utilisateur du démon ounceautod.

Sous Windows

Le répertoire %ORACLE_HOME%/bin doit être inclus dans votre variabled'environnement PATH.

Oracle Instant Client

Le client Oracle Instant Client est seulement pris en charge lorsque vous êtesconnecté à une base de données Oracle existante qui a appliqué le schémaAppScan Source.v Sous Linux : le lien symbolique libclntsh.so doit être créé dans le même

répertoire que vos bibliothèques Oracle Instant Client et ce répertoire doit êtreinclus dans $LD_LIBRARY_PATH.

Remarque : Lorsque vous utilisez la version Basic Lite de Oracle Instant Client,vous ne devez pas définir les variables ORA_NLS10 (or ORA_NLS11).

v Sous Windows : Assurez-vous que les fichiers .dll de Oracle Instant Clientpeuvent être trouvés dans votre PATH.

Configuration de l'alias TNS OracleLors de la configuration de la connexion à une base de données Oracle pendantl'installation de AppScan Source, vous pouvez utiliser un alias TNS au lieu d'unechaîne de connexion Oracle. Cela requiert une certaine configuration du serveurAppScan Enterprise Server, qui est présentée dans cette rubrique.


Pour des informations, voir la rubrique relative à la configuration d'une base dedonnées AppScan Source Oracle avec AppScan Enterprise Server à l'adresse


http://www.ibm.com/support/knowledgecenter/SSW2NF/welcome.

Enregistrement de la base de données AppScan Sourceauprès du serveur AppScan Enterprise Server

Pendant l'installation de AppScan Source, si des paramètres valides ont été entrés,la base de données AppScan Source doit automatiquement être enregistrée auprèsdu serveur. Toutefois, en cas d'échec de l'enregistrement automatique de la base dedonnées, suivez les instructions de cette rubrique pour effectuer l'enregistrement.

AppScan Source inclut un utilitaire qui vous permet d'enregistrer la base dedonnées auprès du serveur. Cet outil se trouve dans <rép_install>\bin\appscanserverdbmgr.bat (où <rép_install> représente l'emplacement de votreinstallation AppScan Source) ou <rép_install>/bin/appscanserverdbmgr.sh sousLinux. Si vous rencontrez des problèmes de connexion à la base de données ou auserveur, vous pouvez exécuter cet outil à l'invite de commande (après l'installationdes composants clients et serveurs) avec les paramètres suivants :

Tableau 2. Paramètres de l'outil appscanserverdbmgr.bat

Paramètre Description

Equivalent de l'interfacegraphique d'IBM SecurityAppScan Enterprise ServerDatabase Configuration.

None Lance une interfacegraphique utilisateur quivous permet d'entrer et devalider vos informations deconfiguration pour AppScanEnterprise Server et pour labase de données AppScanSource, comme indiquéci-après.

-s Adresse URL pour votreinstance AppScan EnterpriseServer. Par exemple,https://localhost:9443/ase/.

URL du serveur

-u ID utilisateur AppScanEnterprise Server et de basede données AppScan Source.

ID utilisateur

-p Mot de passe associé à l'IDutilisateur de AppScanEnterprise Server et de basede données AppScan Source.

Mot de passe

-forceTLSv12 Indiquez true avec ceparamètre uniquement sivotre serveur AppScanEnterprise Server est activépour la conformité NIST800-131a (dans le cascontraire, les connexions auserveur échouent). Si leserveur AppScan EnterpriseServer n'est pas activé pourla conformité NIST 800-131a,indiquez false pour ceparamètre.

Force TLSv1.2



Tableau 2. Paramètres de l'outil appscanserverdbmgr.bat (suite)

Paramètre Description

Equivalent de l'interfacegraphique d'IBM SecurityAppScan Enterprise ServerDatabase Configuration.

-dbClient Indiquez 1 si votre base dedonnées AppScan Source estIBM solidDB. Indiquez 2 s'ils'agit d'une base de donnéesOracle.

IBM SolidDB ou Oracle

-dbConnString Chaîne de connexion à labase de données (parexemple, "Driver={IBMsolidDB 7.0 32-bit -(ANSI)}").

Si vous exécutez une base dedonnées Oracle, vous pouvezspécifier un alias TNS sivous avez configuré leserveur conformément auxinstructions de la rubrique«Configuration de l'alias TNSOracle», à la page 74.

Chaîne de connexion

-dbConnInfo Informations de connexion àla base de données (parexemple, "tcpmonnomhôte.mondomaine.com2315").Remarque : Si c'estlocalhost qui est spécifié etnon un nom d'hôte qualifiécomplet, seul l'utilisateur dela machine locale pourra seconnecter à la base dedonnées.

Informations de connexion

-dbUserid ID utilisateur de votrecompte utilisateur de base dedonnées.

ID utilisateur de la base dedonnées

-dbPassword Mot de passe associé à l'IDutilisateur de votre compteutilisateur de base dedonnées.

Mot de passe

Si vous utilisez l'interface graphique, cliquez sur Valider la connexion après avoirrenseigné toutes les zones de la section AppScan Enterprise Server. Une fois lesentrées validées, renseignez les zones de la sections de la base de donnéesAppScan Source et cliquez sur Valider la connexion. Une fois les entrées de labase de données validées, cliquez sur Appliquer les modifications pourenregistrer la base de données auprès du serveur.

Sauvegarde de la base de données AppScan SourceIl est recommandé de se protéger contre la perte de données de la base de donnéesAppScan Source en suivant les procédures de sauvegarde de routine suivantes.


Vous devez sauvegarder la base de données AppScan Source avant d'effectuer unemise à niveau vers une nouvelle version ou de supprimer une version antérieurede AppScan Source.

Pour sauvegarder une base de données Oracle, contactez l'administrateur de labase de données Oracle.

Pour savoir comment sauvegarder et restaurer manuellement la base de donnéesIBM solidDB, voir http://www.ibm.com/support/docview.wss?rs=3457&uid=swg21590980.

Remarque : Si vous mettez à niveau la version 7.0 de AppScan Source vers laversion 8.5, vous avez la possibilité de créer automatiquement une copie desauvegarde de solidDB qui a été installée avec AppScan Source avant de retirer laversion 7.0 de Rational AppScan Source Edition for Portfolio Manager de votreordinateur. Si vous choisissez cette option, la copie de sauvegarde est enregistréedans <rép_install>\solidDB\com.ouncelabs.db.<timestamp> (sous Windows) ou<rép_install>/solidDB/com.ouncelabs.db.<timestamp> (sous Linux) (où<rép_install> représente l'emplacement de votre installation AppScan Source). Parexemple, sous Windows (32 bits), la copie de sauvegarde est enregistrée par défautdans C:\Program Files\IBM\AppScan Source\solidDB\com.ouncelabs.db.<timestamp>.

Restauration de la base de données AppScan Source IBMsolidDB

Pour restaurer une base de données solidDB que vous avez sauvegardée, suivez lesinstructions de cette rubrique de tâche.

Procédure1. Arrêtez le service IBM Security AppScan Source DB.2. Localisez <rép_install>\soliddb\logs (sous Windows) ou

<rép_install>/soliddb/logs (sous Linux) (où <rép_install> représentel'emplacement de votre installation AppScan Source). Supprimez tous lesfichiers de ce répertoire.

3. Copiez la copie de sauvegarde de la base de données dans<rép_install>\solidDB\appscansrc (sousWindows) ou <rép_install>/solidDB/appscansrc (sous Linux).

4. Démarrez le service IBM Security AppScan Source DB.

Installation d'AppScan Source sous OS XCette rubrique explique comment installer l'application setup sous OS X.

Procédure1. Démarrez l'assistant d'installation2. L'installation sous OS X requiert un mot de passe administrateur. Pour saisir

le mot de passe administrateur, cliquez sur l'icône de verrouillage dans lepanneau d'authentification.



http://www.ibm.com/support/docview.wss?rs=3457&uid=swg21590980

http://www.ibm.com/support/docview.wss?rs=3457&uid=swg21590980











6. Dans la page Spécification de la cible d'installation, spécifiez le répertoired'installation. Le répertoire par défaut est /Applications/AppScanSource.appsous OS X.

Important :


Cliquez sur Suivant pour passer au panneau d'installation suivant.7. Si le composant AppScan Source for Automation a été sélectionné pour

installation, le panneau de configuration de IBM Security AppScan Source forAutomation s'affiche. Spécifiez dans cette page :v Nom d'hôte : nom d'hôte ou adresse IP du serveur AppScan Enterprise

Server auquel Automation Server va se connecter.v Nom d'utilisateur : Nom d'utilisateur AppScan Source utilisé par

Automation Server pour traiter les requêtes.


v Mot de passe : mot de passe de l'utilisateur AppScan Source.v Confirmation du mot de passe : confirmez le mode de passe.Cliquez sur Suivant pour passer au panneau d'installation suivant.

Remarque : Si vous ne spécifiez pas de nom d'utilisateur et de mot de passelors de l'installation, vous devez configurer AppScan Source for Automationaprès l'installation pour qu'il s'exécute en tant qu'utilisateur AppScan Sourceen spécifiant des données d'identification de connexion à partir de la ligne decommande. Pour plus d'informations, voir le document Utilitaires IBM SecurityAppScan Source - Guide d'utilisation.

8. Dans le panneau de sélection du module linguistique, choisissez les moduleslinguistiques à installer. Lorsque vous installez un module linguistique,l'interface utilisateur d'AppScan Source s'affiche dans cette langue lorsqu'elles'exécute sur un système d'exploitation prenant en charge cet environnementlocal.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationaledifférente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il seratoutefois possible de la désélectionner).Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.










Résultats

Si vous avez installé AppScan Source for Automation et que le compte utilisateurque vous avez indiqué pour ce dernier dans le panneau d'installationConfiguration n'existe pas encore, vous devrez le créer manuellement(post-installation) avec AppScan Enterprise Server, AppScan Source for Analysis oul'interface de ligne de commande AppScan Source. Pour avoir un accès complet àtoutes les fonctionnalités de AppScan Source for Automation, ce compte utilisateurrequiert les autorisations suivantes :v Gestion d'applications et de projets

– Enregistrement– Examen

v Gestion des évaluations– Enregistrement des évaluations– Publication des évaluations

Important : Une fois installé sous OS X, il se peut qu'AppScan Source ne puissepas démarrer si le nom d'hôte du système n'est pas résolu. Un message contenantcet avertissement peut alors s'afficher :WARNING: "IOP00710208: (INTERNAL) Unable to determine local

hostname from InetAddress.getLocalHost().getHostName()"

Cela est dû au fait qu'AppScan Source se base sur la communication interprocessusqui exige que localhost et le nom d'hôte de votre système soient résolus en uneadresse IP.

Pour corriger cette erreur, vérifiez que localhost et le nom d'hôte de votre systèmepeuvent être résolus par le biais de la commande Terminal nslookup. Dans lanégative, modifiez le fichier /etc/hosts afin que ces noms y figurent pour pouvoirêtre résolus. Dans le fichier /etc/hosts,v insérez un mappage de votre nom d'hôte à 127.0.0.1v insérez un mappage de localhost à 127.0.0.1

Installation d'AppScan Source for DevelopmentLes plug-in AppScan Source for Development sont installés sur votre ordinateurvia l'assistant d'installation AppScan Source standard.

Si vous mettez à niveau le produit AppScan Source vers une nouvelle version etque vous voulez appliquer la mise à niveau aux plug-in Eclipse AppScan Sourcefor Development, vous devez d'abord désinstaller les plug-in de votre produitEclipse ou du produit à technologie Eclipse. Une fois la mise à niveau appliquée àAppScan Source, vous pouvez réinstaller les plug-in mis à jour dans votre plan detravail Eclipse ou dans votre produit à technologie Eclipse. Cette procédure estdécrite dans «Mise à niveau des versions du Plug-in Eclipse AppScan Source forDevelopment installées précédemment vers une nouvelle version de produit», à lapage 85.

Si vous mettez à niveau le produit AppScan Source dans le cadre d'une mise àniveau avec des groupes de correctifs, il n'est pas nécessaire de désinstaller lesplug-in avant de procéder à la mise à niveau. Vous trouverez des instructions


relatives à l'installation des groupes de correctifs (et à l'application des plug-inAppScan Source for Development mis à niveau) dans «Installation de groupe decorrectifs», à la page 89.

AppScan Source for Development (plug-in pour Eclipse, IBMMobileFirst Platform et Rational Application Developer forWebSphere Software (RAD)

Si vous installez le plug-in AppScan Source for Development pour Eclipse,Rational Application Developer for WebSphere Software (RAD) ou IBM MobileFirstPlatform, vous devrez appliquer les plug-in à votre plan de travail après les avoirinstallés sur votre ordinateur.

L'application du Plug-in Eclipse AppScan Source for Development dépend del'application de certains outils Eclipse (Graphical Editing Framework (GEF) etDraw2d). La plupart des versions d'Eclipse qui sont prises en charge par AppScanSource for Development incluent ces fonctions. Si la vôtre ne les inclut pas,installez ces composants dans votre environnement Eclipse à l'aide du site de miseà jour eclipse.org approprié avant d'installer AppScan Source for Development. Sivous n'effectuez pas cette opération, des erreurs peuvent survenir lors del'application du plug-in AppScan Source for Development à Eclipse.

Si vous mettez à niveau le produit AppScan Source vers une nouvelle version etque vous voulez appliquer la mise à niveau aux plug-in Eclipse AppScan Sourcefor Development, vous devez d'abord désinstaller les plug-in de votre produitEclipse ou du produit à technologie Eclipse. Une fois la mise à niveau appliquée àAppScan Source, vous pouvez réinstaller les plug-in mis à jour dans votre plan detravail Eclipse ou dans votre produit à technologie Eclipse. Cette procédure estdécrite dans «Mise à niveau des versions du Plug-in Eclipse AppScan Source forDevelopment installées précédemment vers une nouvelle version de produit», à lapage 85.

Si vous mettez à niveau le produit AppScan Source dans le cadre d'une mise àniveau avec des groupes de correctifs, il n'est pas nécessaire de désinstaller lesplug-in avant de procéder à la mise à niveau. Vous trouverez des instructionsrelatives à l'installation des groupes de correctifs (et à l'application des plug-inAppScan Source for Development mis à niveau) dans «Installation de groupe decorrectifs», à la page 89.

Remarque :

L'exécution de certaines actions dans AppScan Source for Development (plug-inEclipse) (comme par exemple, le lancement d'un examen ou le démarrage d'actionsqui nécessitent une connexion) peut générer ce message d'erreur (ou un messagesimilaire à celui-ci) :Impossible de lier la bibliothèque native shared-win32-x64.dll.Il se peut que vous deviez installer un module redistribuableMicrosoft Visual C++ 2010 approprié à votre système.

Dans un environnement d'exécution Java Runtime Environment 64 bits, celaindique généralement que la bibliothèque d'exécution Microsoft Visual C++ 64 bitsn'est pas disponible. Pour résoudre ce problème, installez le module redistribuableMicrosoft Visual C++ 2010, disponible à l'adresse http://www.microsoft.com/en-ca/download/details.aspx?id=14632.


http://www.microsoft.com/en-ca/download/details.aspx?id=14632

http://www.microsoft.com/en-ca/download/details.aspx?id=14632

Installation du plug-in pour Eclipse et Rational ApplicationDeveloper for WebSphere Software (RAD)


L'installation Client de AppScan Source inclut le plug-in AppScan Source forDevelopment pour Eclipse et les composants Rational Application Developer forWebSphere Software (RAD). L'installation requiert aussi les mises à jour d'Eclipseet l'ajout du plug-in à votre environnement de développement.

Procédure1. Démarrez l'assistant d'installation2. L'écran qui s'affiche vous permet de sélectionner la langue nationale qui sera

utilisée dans les panneaux d'installation. Sélectionnez la langue et cliquez surOK pour continuer.


4. Sélectionnez AppScan Source for Development pour Eclipse, RAD,MobileFirst dans la liste des composants client.Cliquez sur Suivant pour passer au panneau d'installation suivant.

Important : Après l'installation du plug-in AppScan Source for Development,vous devez mettre à jour les fonctions depuis l'environnement dedéveloppement intégré Eclipse ou Application Developer.






Important :





linguistiques à installer. Lorsque vous installez un module linguistique,


l'interface utilisateur d'AppScan Source s'affiche dans cette langue lorsqu'elles'exécute sur un système d'exploitation prenant en charge cet environnementlocal.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationaledifférente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il sera toutefoispossible de la désélectionner).Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.


7. Lisez et acceptez les dispositions du contrat de licence puis cliquez sur Suivantpour continuer.

8. Examinez le récapitulatif des options d'installation avant de copier les fichiers.Cliquez sur Installer. Le programme d'installation copie les fichiers sur l'unitéde disque dur.

Application d'AppScan Source for Development (plug-in Eclipse)à Eclipse et des produits pris en charge reposant sur EclipseEclipse et les produits reposant sur Eclipse incluent une fonction qui permetd'installer de nouveaux logiciels. Vous pouvez utiliser cette fonction pour mettre àjour votre installation ou pour accéder aux plug-in que vous voulez ajouter à votreinstallation. Les instructions de cette rubrique vous guident tout au long del'application du Plug-in AppScan Source for Development dans Eclipse versions3.6, 3.7, 3.8, 4.2, 4.2.x, 4.3, 4.3.1, 4.3.2 et 4.4 et RAD Versions 8.0.x, 8.5, 8.5.1, 9.0,9.0.1 et 9.1 sous Windows et Linux ou RAD Versions 9.0, 9.0.1 et 9.1 sous OS X.

Procédure1. Sélectionnez Aide > Installer des nouveaux logiciels dans la barre de menus

du plan de travail principal.2. Dans la page Logiciels disponibles de la boîte de dialogue Installer, cliquez sur

Ajouter.3. Dans la boîte de dialogue Ajouter un site (dans certaines versions d'Eclipse, il

s'agit de la boîte de dialogue Ajouter un référentiel), spécifiez un nom pour lesite de mise à jour dans la zone Nom.

4. Suivez ces instructions pour ajouter un site, selon votre système d'exploitation :a. Windows et Linux : cliquez sur Local. Dans la boîte de dialogue Recherche

de dossier, accédez au répertoire d'installation de AppScan Source (voir«Répertoire d'installation par défaut», à la page 60). Cliquez sur OK pourrevenir à la boîte de dialogue Ajouter un site puis cliquez sur OK pourajouter le site de mise à jour.

b. OS X : dans la zone Emplacement, entrez file:/Applications/AppScanSource.app/, puis cliquez sur OK pour ajouter le site de mise à jour.

5. Le nouveau site apparaît dans la liste. Renseignez cette page selon votrescénario d'installation :v Application des plug-in après une installation de produit complète :

sélectionnez la case à cocher située à côté du site local IBM SecurityAppScan Source Security Analysis Feature.L'application du Plug-in Eclipse AppScan Source for Development dépend del'application de certains outils Eclipse (Graphical Editing Framework (GEF) et


Draw2d). La plupart des versions d'Eclipse qui sont prises en charge parAppScan Source for Development incluent ces fonctions. Si la vôtre ne lesinclut pas, installez ces composants dans votre environnement Eclipse à l'aidedu site de mise à jour eclipse.org approprié avant d'installer AppScanSource for Development. Si vous n'effectuez pas cette opération, des erreurspeuvent survenir lors de l'application du plug-in AppScan Source forDevelopment à Eclipse.

v Application des plug-in après une installation de groupe de correctifs :

– Si vous appliquez les plug-in à un environnement de développement danslequel vous avez déjà appliqué des versions précédentes des plug-in,sélectionnez la case à cocher située à côté du site local IBM SecurityAppScan Source Security Analysis Feature.

– Si vous appliquez les plug-in à un environnement de développement quin'inclut pas encore les plug-in, suivez les instructions ci-dessus relatives àl'application des plug-in après une installation de produit complète.

Remarque : Le site local IBM Security AppScan Source Security AnalysisFeature doit inclure une fonction client pour la version de groupe decorrectifs que vous appliquez. Si cette fonction n'est pas présente, il peut êtrenécessaire d'actualiser ou de recréer le site local.

Cliquez sur Suivant pour passer au panneau d'installation suivant.6. Dans la page des détails d'installation, examinez les éléments à installer puis

cliquez sur Suivant.7. Dans la page d'examen des licences, acceptez le contrat de licence puis cliquez

sur Terminer.8. Lorsque vous y êtes invité, redémarrez Eclipse. Le menu Analyse de sécurité

apparaît une fois l'installation terminée. Lorsque vous tentez d'utiliser uneaction AppScan Source pour la première fois, un message vous demande sivous voulez utiliser un serveur AppScan Enterprise Server. Si vous n'utilisezpas de serveur, vous ne pouvez pas accéder aux éléments partagés tels que lesfiltres, les configurations d'examen et les règles personnalisées. Vous pouvezchanger ce paramètre ultérieurement dans les préférences générales.

Conditions supplémentaires requises pour l'installationd'AppScan Source for DevelopmentLe plug-in AppScan Source for Development Eclipse requiert une configurationsupplémentaire.1. Le plug-in AppScan Source for Development pour Eclipse requiert un

environnement JRE (Java Runtime Environment) de version 1.5 ou ultérieure. Sivotre environnement pointe vers un environnement JRE qui ne remplit pascette condition requise, modifiez le fichier eclipse.ini du répertoired'installation d'Eclipse de façon à le faire pointer vers un environnement JREqui remplit cette condition requise. Pour des informations sur cettemodification à apporter au fichier eclipse.ini, voir la section Spécification de lamachine virtuelle Java de http://wiki.eclipse.org/Eclipse.ini.

2. Le plug-in AppScan Source for Development pour Eclipse sous Linux (Eclipseou RAD) requiert l'ajout du répertoire d'installation de AppScan Source àLD_LIBRARY_PATH. Par exemple, si vous utilisez l'interpréteur de commandesbash, ajoutez la ligne suivante à l'initialisation de ~/.bashrc :export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/ibm/appscansource


http://wiki.eclipse.org/Eclipse.ini

Mise à niveau des versions du Plug-in Eclipse AppScan Sourcefor Development installées précédemment vers une nouvelleversion de produitPour mettre à niveau le Plug-in Eclipse AppScan Source for Development vers unenouvelle version de produit, vous devez retirer ou désactiver les plug-in courantssur l'ordinateur, puis installer la version plus récente.


Cette tâche décrit le processus de mise à niveau de divers niveaux d'Eclipse etRational Application Developer for WebSphere Software (RAD) afin d'appliquer lePlug-in Eclipse AppScan Source for Development (installation de produitcomplète).

Important : Cette rubrique ne concerne pas les mises à niveau avec des groupes decorrectifs. Si vous mettez à niveau le produit AppScan Source dans le cadre d'unemise à niveau avec des groupes de correctifs, il n'est pas nécessaire de désinstallerles plug-in avant de procéder à la mise à niveau. Vous trouverez des instructionsrelatives à l'installation des groupes de correctifs (et à l'application des plug-inAppScan Source for Development mis à niveau) dans «Installation de groupe decorrectifs», à la page 89.

Mise à niveau d'Eclipse et Rational Application Developer for WebSphereSoftware (RAD) :Procédure

1. Selon le plan de travail que vous exécutez, sélectionnez Aide > A propos de<nom du produit> dans la barre de menus de plan de travail principale (où<nom du produit> est le nom du produit reposant sur Eclipse que vous mettezà niveau).

2. Dans la boîte de dialogue A propos de, cliquez sur l'option permettantd'afficher les détails de l'installation.

3. Dans la boîte de dialogue Détails, sélectionnez les composants qui ont étéajoutés pour la version précédemment installée de AppScan Source.

4. Cliquez sur Désinstaller.5. Lorsque la procédure de désinstallation est terminée, redémarrez le plan de

travail si vous y êtes invité.6. Suivez les étapes indiquées dans «Application d'AppScan Source for

Development (plug-in Eclipse) à Eclipse et des produits pris en charge reposantsur Eclipse», à la page 83 pour appliquer les nouveaux plug-in Developer.

Installation du plug-in AppScan Source for Development pourVisual Studio


Important : Visual Studio 2010, Visual Studio 2012 ou Visual Studio 2013 doit êtreinstallé sur votre ordinateur avant que vous ne procédiez à l'installation du plug-inAppScan Source for Development pour Visual Studio. Le plug-in AppScan Sourcefor Development pour Visual Studio est pris en charge uniquement sur Windows.

Si l'assistant de configuration éAppScan Source trouve une version installée de l'unde ces versions de Visual Studio, le plug-in AppScan Source for Development pourcette version de Visual Studio apparaît comme une installation en option.


Procédure1. Vérifiez que Visual Studio est fermé. Si Visual Studio s'exécute lors de

l'installation d'AppScan Source for Development, vous devrez le redémarrerune fois l'installation terminée.

2. Démarrez l'assistant d'installation3. Sélectionnez la version appropriée du plug-in dans la liste des composants

client :v AppScan Source for Development pour Visual Studio 2013

v AppScan Source for Development pour Visual Studio 2012

v AppScan Source for Development pour Visual Studio 2010

Remarque :

v Ces options sont disponibles seulement pour la version de Visual Studio quia été installée sur l'ordinateur exécutant l'assistant d'installation. Par exemple,si Visual Studio 2012 et Visual Studio 2013 se trouvent sur la machine clientalors que Visual Studio 2010 ne s'y trouve pas, des options pour l'installationdu AppScan Source for Development pour Visual Studio 2012 etduAppScan Source for Development pour Visual Studio 2013 seulementsont disponibles dans l'assistant d'installation.

v Vous pouvez choisir d'installer le plug-in pour plusieurs versions de VisualStudio, si elles ont été détectées par l'assistant d'installation.


linguistiques à installer. Lorsque vous installez un module linguistique,l'interface utilisateur d'AppScan Source s'affiche dans cette langue lorsqu'elles'exécute sur un système d'exploitation prenant en charge cet environnementlocal.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationaledifférente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il sera toutefoispossible de la désélectionner).Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.



6. Examinez le récapitulatif des options d'installation avant de copier les fichiers.Cliquez sur Installer. Le programme d'installation copie les fichiers sur l'unitéde disque dur.

Installation d'AppScan Source for Automation


AppScan Source for Automation est un composant facultatif dans les packagesd'installation.


Important : Pour installer AppScan Source for Automation, vous devez disposerdes privilèges d'utilisateur root/administrateur.

Procédure1. Démarrez l'assistant d'installation2. Sélectionnez Sélection de composant serveur, puis sélectionnez AppScan

Source for Automation comme composant à installer.Cliquez sur Suivant pour passer au panneau d'installation suivant.

3. Spécifiez le répertoire d'installation.v Versions 32 bits de Microsoft Windows :




v OS X : /Applications/AppScanSource.appCliquez sur Suivant pour passer au panneau d'installation suivant.

4. Sur le panneau IBM Security AppScan Source for Automation - Configuration,spécifiez :v Nom d'hôte : nom d'hôte ou adresse IP du serveur AppScan Enterprise

Server auquel Automation Server va se connecter.v Nom d'utilisateur : Nom d'utilisateur AppScan Source utilisé par

Automation Server pour traiter les requêtes.v Mot de passe : mot de passe de l'utilisateur AppScan Source.v Confirmation du mot de passe : confirmez le mode de passe.Cliquez sur Suivant pour passer au panneau d'installation suivant.

Remarque : Si vous ne spécifiez pas de nom d'utilisateur et de mot de passelors de l'installation, vous devez configurer AppScan Source for Automationaprès l'installation pour qu'il s'exécute en tant qu'utilisateur AppScan Source enspécifiant des données d'identification de connexion à partir de la ligne decommande. Pour plus d'informations, voir le document Utilitaires IBM SecurityAppScan Source - Guide d'utilisation.

5. Dans le panneau de sélection du module linguistique, choisissez les moduleslinguistiques à installer. Lorsque vous installez un module linguistique,l'interface utilisateur d'AppScan Source s'affiche dans cette langue lorsqu'elles'exécute sur un système d'exploitation prenant en charge cet environnementlocal.Par défaut, l'option English (anglais) est sélectionnée (et ne peut pas êtredésélectionnée). Si l'assistant d'installation affiche une langue nationaledifférente de l'anglais (en d'autres termes, si une autre langue que l'anglais aété sélectionnée dans le panneau de bienvenue de l'assistant d'installation),cette langue sera également sélectionnée dans ce panneau (mais il sera toutefoispossible de la désélectionner).Après avoir sélectionné les modules linguistiques que vous voulez installer,cliquez sur Suivant pour passer au panneau d'installation suivant.




7. Examinez le récapitulatif des options d'installation avant de copier les fichiers.8. L'installation demande :

v AppScan Enterprise Server : nom d'hôte ou adresse IP du serveur AppScanEnterprise Server auquel AppScan Source for Automation va se connecter.

v Nom d'utilisateur : nom de l'utilisateur AppScan Source qui sera utilisé parAppScan Source for Automation pour traiter les requêtes.

v Mot de passe : mot de passe de l'utilisateur indiqué dans la zone Nomd'utilisateur.

v Confirmation du mot de passe : confirmez le mode de passe.9. Cliquez sur Suivant pour installer les fichiers, puis sur Terminé pour terminer

l'installation.

Résultats

Si le compte utilisateur AppScan Source n'existe pas, vous devrez le spécifier dansle panneau d'installation Configuration d'AppScan Source for Automation, puis lecréer manuellement (phase de post-installation) à l'aide du serveur AppScanEnterprise Server, de AppScan Source for Analysis ou de l'interface de ligne decommande AppScan Source. Pour avoir un accès complet à toutes lesfonctionnalités de AppScan Source for Automation, ce compte utilisateur requiertles autorisations suivantes :v Gestion d'applications et de projets

– Enregistrer– Analyser

v Gestion des évaluations– Enregistrer les évaluations– Publier les évaluations

Syntaxe

Sous Windows : <rép_install>\bin\ounceautod.exe -u <nom d’utilisateur> -p<mot de passe> --persist

Sous Linux et OS X : <rép_install>/bin/ounceautod -u <nom d’utilisateur> -p<mot de passe> --persist

Où :v <rép_install> représente l'emplacement de votre installation AppScan Source.v -u <nom d’utilisateur> représente l'utilisateur AppScan Source avec lequel

Automation Server s'authentifie lors du traitement d'une demande. L'utilisateurdoit être créé avec les autorisations requises.

v -p <mot de passe> est le mot de passe de l'utilisateur. Si vous spécifiez un nomd'utilisateur, vous devez spécifier le mot de passe.

v --persist conserve les données d'identification de connexion sur le disque. Ilcrée un fichier de clés chiffré avec le nom d'utilisateur et le mot de passespécifiés.

Une fois que vous avez spécifié le nom d'utilisateur et le mot de passe, vouspouvez démarrer Automation Server :


v Sous Windows, démarrez le service IBM Security AppScan Source forAutomation.

v Sous Linux, démarrez le démon à l'aide de la commande suivante :/etc/init.d/ounceautod start

v Sous OS X, exécutez la commande suivante : launchctl startcom.ibm.appscan.autod

Installation de groupe de correctifsLes groupes de correctifs d'AppScan Source sont fournis par un programmed'installation delta. Pour appliquer un groupe de correctifs AppScan Source, suivezles instructions de cette rubrique d'aide.


Important : Vous ne pouvez pas créer d'installation personnalisée avec leprogramme d'installation de groupes de correctifs.

Procédure1. Téléchargez et lancez le fichier exécutable d'installation de groupe de

correctifs :v Microsoft Windows :

– Exécutez setup.exe pour ouvrir l'assistant d'installation.– Pour exécuter l'installation en mode silencieux, émettez la commande

setup.exe -i silent -D$LICENSE_ACCEPTED$="true" dans une invite decommande, où :- le paramètre -i silent indique que l'installation va être exécutée en

mode silencieux,- le paramètre -D$LICENSE_ACCEPTED$="true" indique que vous acceptez

les dispositions de la licence du produit.v Linux : à partir d'une invite de commande,

– Emettez la commande setup.bin pour ouvrir l'assistant d'installation.– Pour exécuter l'installation en mode silencieux, émettez la commande

setup.bin -i silent -D$LICENSE_ACCEPTED$="true", où :- le paramètre -i silent indique que l'installation va être exécutée en

mode silencieux,- le paramètre -D$LICENSE_ACCEPTED$="true" indique que vous acceptez

les dispositions de la licence du produit. Selon l'interpréteur decommandes utilisé pour exécuter l'installation, il peut s'avérer nécessairede placer ce paramètre entre des caractères d'échappement, en émettant-D\$LICENSE_ACCEPTED\$="true".

v OS X : Ouvrez setup.dmg et exécutez l'application setup.

Remarque : L'installation en mode silencieux de groupe de correctifs n'estpas prise en charge sous OS X.

Si vous procédez à l'installation avec l'assistant d'installation, effectuez lesopérations restantes.

2. Lorsque vous lancez l'assistant d'installation pour la première fois, l'écran quis'affiche vous permet de sélectionner la langue nationale qui sera utilisée dansles panneaux d'installation. Sélectionnez la langue et cliquez sur OK pourcontinuer.


3. Lisez le contenu du panneau Bienvenue - Assistant de mise à niveaud'installation, et tenez compte des recommandations mentionnées. Cliquez surSuivant pour continuer.

4. Dans le panneau Confirmation de la configuration, lisez le récapitulatif desinformations d'installation avant de continuer, puis cliquez sur Installer pourappliquer le groupe de correctifs.

5. Si vous mettez à niveau une installation qui comprenait la base de donnéesAppScan Source, un panneau d'installation de mise à jour de base de donnéess'affiche (si le groupe de correctifs inclut une mise à niveau de base dedonnées). Dans ce panneau, entrez les données d'identification du compteutilisateur de base de données, puis cliquez sur Démarrer. A l'issue de la miseà niveau de base de données, cliquez sur Suivant.

Remarque :

v Mise à niveau de solidDB : Lors de la mise à niveau de la base de données,une copie de sauvegarde de la base de données existante est créée. Si la miseà niveau de la base de données échoue, le programme d'installation rétablitla sauvegarde et vous permet de redémarrer cette mise à niveau. (Si desproblèmes liés à la base de données existante empêchent la mise à niveau,vous pouvez redémarrer la mise à niveau de base de données après avoirrésolu les problèmes.)

v Mise à niveau d'Oracle : Si la mise à niveau de la base de données échoue, leprogramme d'installation vous permet de redémarrer cette mise à niveau. (Sides problèmes liés à la base de données existante empêchent la mise àniveau, vous pouvez redémarrer la mise à niveau de base de données aprèsavoir résolu les problèmes.)

6. Consultez les messages figurant dans le panneau Installation terminée puiscliquez sur Terminé. Nous vous recommandons de redémarrer le système unefois l'installation terminée.

Que faire ensuite

Sous Windows ou Linux, si votre environnement de développement inclut lesplug-in AppScan Source for Development Eclipse, vous devrez les appliquer àvotre plan de travail après l'installation du groupe de correctifs. La procédure àsuivre est indiquée dans la rubrique suivante :v «Application d'AppScan Source for Development (plug-in Eclipse) à Eclipse et

des produits pris en charge reposant sur Eclipse», à la page 83


Chapitre 6. Personnalisation de l'installation AppScan Source

Vous pouvez personnaliser l'installation dans le but de créer un assistantd'installation personnalisée ou créer un programme d'installation personnalisée quiinstalle le produit en mode silencieux.

Remarque : Lorsque vous appliquez des groupes de correctifs, vous ne pouvez pascréer d'installations personnalisées. Cette section ne concerne pas les installationsde groupes de correctifs. Pour savoir comment exécuter des installations degroupes de correctifs en mode silencieux, voir «Installation de groupe decorrectifs», à la page 89.

Dans un déploiement d'entreprise, l'administrateur de AppScan Source peutpersonnaliser l'installation pour des classes spécifiques d'utilisateurs. La créationd'une installation personnalisée inclut la limitation de la disponibilité ou de lasélection (ou les deux) des composants, ainsi que la définition de valeurs pardéfaut pour les attributs de l'installation.

Avec l'assistant d'installation personnalisée, vous pouvez créer autantd'installations personnalisées que nécessaire, y compris des installations en modesilencieux. Vous pouvez gérer et standardiser la manière dont tous les utilisateursde votre organisation installent les produits AppScan Source.

Si vous déployez AppScan Source dans une organisation de grande taille, il estplus efficace d'effectuer d'abord une installation sur un serveur réseau, puis que lesutilisateurs lancent l'installation à partir de ce point de contrôle central.

Création d'une installation personnalisée ou silencieuseAppScan Source inclut un assistant de configuration d'installation graphique qu'unadministrateur peut utiliser pour créer une installation en mode silencieux (noninteractive) ou une installation graphique personnalisée.

Lorsque l'administrateur exécute le programme d'installation pour créer uneinstallation personnalisée, un nouveau fichier de propriétés de configuration estgénéré. Ce fichier de propriétés est ensuite disponible pour être utilisé par leprogramme d'installation de AppScan Source.

L'assistant de configuration d'installation peut modifier un fichier de configurationexistant ou créer un nouveau fichier de configuration. L'assistant donne ensuite lapossibilité de personnaliser l'installation en définissant :v Si l'installation est interactive ou en mode silencieux.v Les composants disponibles pour l'installation (disponible uniquement pour les

installations interactives)v La sélection de composants par défaut (disponible uniquement pour les

installations interactives).v Les composants qui sont obligatoires ou installés automatiquement.v Le dossier d'installation par défaut.v Les modules linguistiques par défaut à installer.v Le fichier ou le serveur de licence à utiliser.


v Le compte utilisateur devant être utilisé par AppScan Source for Automation (s'ilest sélectionné en tant que composant ou composant disponible pourl'installation).

Remarque : Si vous créez une installation personnalisée en mode silencieux, ellen'aboutira pas si vous l'exécutez dans un environnement local de langue turque(par exemple, tr et tr_TR).

Lancement de l'assistant de configuration d'installationCette rubrique explique comment lancer l'assistant de configuration d'installation(assistant utilisé pour créer un fichier d'installation personnalisée ou silencieuse).


Un administrateur lance l'outil de configuration en définissant la variabled'environnement OUNCE_CONFIG_FILE, puis en la faisant pointer vers un fichier depropriétés qui contiendra les paramètres de configuration d'installation. Ce fichierest ensuite utilisé pur exécuter les installations silencieuses ou personnalisées.

Remarque : Lors de la définition de OUNCE_CONFIG_FILE, ne placez pas deguillemets autour de la valeur, même si cette valeur contient des espaces.

Procédurev Sur les systèmes Windows, lancez les commandes suivantes :

set OUNCE_CONFIG_FILE=<chemin>setup.exe

Où <chemin> représente le chemin qualifié complet et le nom du fichier depropriétés qui contiendra les paramètres d'installation. Par exemple, lancez lacommande set OUNCE_CONFIG_FILE=C:\install.properties pour enregistrer lesparamètres d'installation dans ce fichier.

v Sur les systèmes Linux :export OUNCE_CONFIG_FILE=<chemin>./setup.bin

Où <chemin> représente le chemin qualifié complet et le nom du fichier depropriétés qui contiendra les paramètres d'installation.

v Sur les systèmes OS X :1. Lancez cette commande sur le fichier AppScan Source setup.dmg :

hdiutil attach setup.dmg -shadow

Cette commande permet d'extraire le répertoire setup.app dans le répertoire/Volumes/AppScanSource. Elle crée aussi un fichier setup.dmg.shadow quevous devez supprimer une fois l'installation terminée.

2. Lancez la création du fichier de propriétés en émettant les commandessuivantes :export OUNCE_CONFIG_FILE=<chemin>./setup.app

Où <chemin> représente le chemin qualifié complet et le nom du fichier depropriétés qui contiendra les paramètres d'installation. Notez que le nom defichier doit être install.properties sous OS X.

3. Copiez le fichier installer.properties dans le répertoire/Volumes/AppScanSource/setup.app/Contents/Resources.


Résultats

Si le nom de fichier existe déjà et qu'il est valide, l'assistant personnalisé utilise lespropriétés du fichier comme propriétés par défaut. Vous pouvez enregistrer laconfiguration avec le nom de fichier existant ou avec un nouveau nom de fichier.Si le nom de fichier n'existe pas, l'assistant utilise les propriétés par défaut deAppScan Source et le nom de fichier spécifié apparaît comme nom par défautlorsque vous enregistrez la configuration.

Utilisation de l'assistant de configuration d'installationpersonnalisée

L'assistant d'installation personnalisée apparaît et détermine que vous êtes sur lepoint de créer un fichier de configuration à utiliser pour une installation deAppScan Source.


Si vous exécutez l'assistant d'installation personnalisée sur un système Windows,l'étape relative au démon Linux apparaît. Si une installation Windows utilise lefichier de configuration final, cette valeur est ignorée.

Procédure1. Dans le panneau Option d'installation en mode silencieux, configurez le type

d'installation en précisant si l'installation doit se dérouler en mode silencieuxou non. Sélectionnez Non si vous souhaitez créer une installation personnaliséeinteractive.

Remarque : Si vous créez une installation personnalisée en mode silencieux,elle n'aboutira pas si vous l'exécutez dans un environnement local de langueturc (par exemple, tr et tr_TR).Cliquez sur Suivant pour passer au panneau d'installation suivant.

2. Installations personnalisées interactives uniquement : Si vous créez unprogramme d'installation personnalisée interactive (Non a été sélectionnée dansle panneau Option d'installation en mode silencieux), vous devrez compléteztrois panneaux de sélection de composant :a. Dans le premier panneau, sélectionnez les composants AppScan Source qui

seront disponibles (ou s'afficheront) dans l'installation personnaliséeinteractive :v AppScan Source for Automationv AppScan Source for Analysisv AppScan Source - Interface de ligne de commandev AppScan Source for Development pour Visual Studio 2013v AppScan Source for Development pour Visual Studio 2012v AppScan Source for Development pour Visual Studio 2010v AppScan Source for Development pour Eclipse, RAD, MobileFirst

Remarque : Si le système d'exploitation cible ne prend pas en charge uncomposant sélectionné ou si un composant sélectionné est basé sur unlogiciel qui n'existe pas sur le système, l'installation l'ignore, même s'il estsélectionné. Par exemple, si le programme d'installation personnalisé estutilisé pour l'installation sur un système sur lequel aucune version prise encharge de Microsoft Visual Studio n'est installée, la sélection de AppScan

Chapitre 6. Personnalisation de l'installation AppScan Source 93

Source for Development pour Visual Studio 2012 pour l'installation estignorée lorsque le programme d'installation personnalisé est déployé.Les panneaux Sélection de composant restants vous permettent d'indiquer siles composants affichés sont sélectionnés par défaut ou activés dans lepanneau d'installation (les composants qui ne sont pas activés sont griséslorsque le programme d'installation est déployé ; ils ne peuvent pas êtresélectionnés). Par exemple, vous pouvez souhaiter que le programmed'installation personnalisée force l'installation d'un composant. Vous pouvezparvenir à cela en sélectionnant le composant par défaut, mais sans l'activer.Si un composant est défini comme étant disponible, mais n'est passélectionné par défaut ou activé, il ne sera pas installé (il sera grisé et nesera pas sélectionné pour l'installation).Cliquez sur Suivant pour passer au panneau d'installation suivant.

b. Le panneau Sélection de composant suivant affiche uniquement lescomposants qui ont été sélectionnés comme devant être disponibles dansl'installation personnalisée interactive. Dans ce panneau, identifiez lescomposants disponibles à sélectionner par défaut. Cliquez sur Suivant pourpasser au panneau d'installation suivant.

c. Identifiez les composants à activer pour la sélection/annulation de sélectionpar l'utilisateur dans l'installation personnalisée. La désactivation d'uncomposant rend l'installation de ce dernier obligatoire (à condition qu'il aitété défini comme étant sélectionné par défaut). Cliquez sur Suivant pourpasser au panneau d'installation suivant.

3. Installations personnalisées silencieuses uniquement : Si vous créez unprogramme d'installation personnalisée silencieuse (Oui a été sélectionné dansle panneau Option d'installation en mode silencieux), sélectionnez lescomposants AppScan Source que ce programme d'installation devra installer :v AppScan Source for Automationv AppScan Source for Analysisv AppScan Source - Interface de ligne de commandev AppScan Source for Development pour Visual Studio 2013v AppScan Source for Development pour Visual Studio 2012v AppScan Source for Development pour Visual Studio 2010v AppScan Source for Development pour Eclipse, RAD, MobileFirst

Remarque : Si le système d'exploitation cible ne prend pas en charge uncomposant sélectionné ou si un composant sélectionné est basé sur un logicielqui n'existe pas sur le système, l'installation l'ignore, même s'il est sélectionné.Par exemple, si le programme d'installation personnalisé est utilisé pourl'installation sur un système sur lequel aucune version prise en charge deMicrosoft Visual Studio n'est installée, la sélection de AppScan Source forDevelopment pour Visual Studio 2012 pour l'installation est ignorée lorsque leprogramme d'installation personnalisé est déployé.

4. Sélectionnez le répertoire d'installation cible. Pour une installation en modesilencieux, il s'agit du répertoire d'installation. Pour une installation interactive,il s'agit de la valeur par défaut.

Conseil : Si vous exécutez l'assistant avec un fichier de configuration existant,il lit les valeurs du fichier et les utilise comme valeurs par défaut.Cliquez sur Suivant pour passer au panneau d'installation suivant.


5. Dans le panneau Spécification de fichier de licence, indiquez l'emplacement devotre fichier de licence ou précisez le nom d'hôte et le port de votre serveur delicence. Cliquez sur Suivant pour passer au panneau d'installation suivant.

6. Dans le panneau Spécifiez le fichier de propriétés, spécifiez le nom etl'emplacement du fichier de propriétés cible. Si l'assistant utilise un fichier deconfiguration existant, le nom du chemin d'accès par défaut apparaît. Vouspouvez changer le nom du fichier pour créer un nouveau fichier deconfiguration.Pour les installations serveur Linux uniquement : Déterminez quel utilisateurLinux exécutera les démons AppScan Source. Après avoir copié les fichiers,vous devez identifier l'utilisateur du service. Sélectionnez Créer utilisateur'ounce' ou Exécuter avec l'utilisateur existant, respectivement pour créerl'utilisateur par défaut ounce ou pour exécuter avec l'utilisateur existant.(L'installation valide cet utilisateur. Notez que l'utilisateur sélectionné doit avoirun interpréteur de commandes valide.)Cliquez sur Suivant pour enregistrer le fichier de propriétés.

Exécution d'une installation personnalisée ou silencieuseCette rubrique explique, en fonction de chaque plateforme, comment exécuter uneinstallation personnalisée ou silencieuse à partir de la ligne de commande.

Avant de commencer

Lorsque vous lancez l'assistant vous permettant de créer une installationpersonnalisée (voir «Lancement de l'assistant de configuration d'installation», à lapage 92), vous créez une variable d'environnement OUNCE_CONFIG_FILE. Avantd'exécuter l'installation personnalisée, veillez à supprimer cette variabled'environnement.

Procédurev Sur les systèmes Windows, lancez la commande suivante :

setup.exe -f c:\install.properties

v Sur les systèmes Linux :setup.bin -f /usr/local/share/my_configs/custom_install.properties

v Sur les systèmes OS X :1. Lancez la commande suivante :

sudo open /Volumes/AppScanSource/setup.app/Contents/MacOS/setup.app

2. Lorsque vous créez le fichier de propriétés comme expliqué dans «Lancementde l'assistant de configuration d'installation», à la page 92, un volume estcréé pour le fichier AppScan Source setup.dmg. Une fois l'installationterminée, lancez la commande suivante pour détacher ce volume :hdiutil detach /Volumes/AppScanSource

Remarque : Durant l'installation, l'icône d'installation apparaît dans lastation d'accueil. L'installation est terminée lorsque cette icône disparaît.

3. Lorsque vous créez le fichier de propriétés comme expliqué dans «Lancementde l'assistant de configuration d'installation», à la page 92, un fichiersetup.dmg.shadow est créé. Pour supprimer ce fichier, lancez la commandesuivante :rm -f setup.dmg.shadow

Chapitre 6. Personnalisation de l'installation AppScan Source 95

Exemple : Installer AppScan Source via une installation personnaliséeCet exemple montre comment vous pouvez déployer un assistant d'installationpersonnalisée.


Un département informatique veut limiter ou contrôler les options d'installationpour les utilisateurs concernés.

Avant de créer l'installation personnalisée, l'administrateur déploie les fichiersd'installation de AppScan Source sur un serveur de fichiers auquel l'utilisateur aaccès. Le département informatique identifie également les différentesconfigurations d'installation sur la base des différents produits AppScan Sourcerequis par chaque type d'utilisateur.

Pour installer AppScan Source avec une installation personnalisée :

Procédure1. Le département informatique copie le contenu approprié depuis le CD

d'installation de AppScan Source ou depuis un téléchargement FTP sur leserveur de fichiers.

2. Le département informatique utilise l'assistant d'installation personnalisée pourcréer les fichiers de configuration d'installation requis pour chaque typed'installation requis, tels que AppScan Source for Development et AppScanSource for Analysis.

3. Le département informatique place les fichiers de configuration dans un dossierpublic partagé.

4. Il envoie un courrier électronique aux utilisateurs appropriés. Ce messagecontient le lien hypertexte qui, quand un utilisateur clique dessus, permet delancer l'installation de AppScan Source appropriée pour cet utilisateur.

5. L'utilisateur reçoit le message et voit un lien vers l'emplacement d'installationdes produits AppScan Source applicables.

6. L'utilisateur lance l'installation à partir du lien hypertexte du message. Parexemple, le lien hypertexte accède à un fichier .bat ou à un script fourni par ledépartement informatique, qui effectue l'appel approprié à setup -finstall.properties.

7. L'installation de AppScan Source démarre et affiche les options par défaut(mais modifiables) telles qu'elles ont été définies dans la configurationd'installation personnalisée par le département informatique. (Cela inclutla page de sélection des composants de l'assistant.)

Résultats

Après cette installation :v Les produits AppScan Source appropriés se trouvent sur l'ordinateur.v Le serveur hôte par défaut est identifié.v Le fichier de licence est copié sur l'ordinateur cible (facultatif).


Chapitre 7. Programme d'installation silencieuse d'AppScanSource

L'assistant d'installation silencieuse d'AppScan Source permet de créer desprogrammes d'installation silencieuse.

Pour plus d'informations sur la personnalisation des installations AppScan Source,voir Chapitre 6, «Personnalisation de l'installation AppScan Source», à la page 91.

Remarque : Lorsque vous appliquez des groupes de correctifs, vous ne pouvez pascréer d'installations personnalisées. Cette section ne concerne pas les installationsde groupes de correctifs. Pour savoir comment exécuter des installations degroupes de correctifs en mode silencieux, voir «Installation de groupe decorrectifs», à la page 89.

Création d'une installation personnalisée ou silencieuseAppScan Source inclut un assistant de configuration d'installation graphique qu'unadministrateur peut utiliser pour créer une installation en mode silencieux (noninteractive) ou une installation graphique personnalisée.

Lorsque l'administrateur exécute le programme d'installation pour créer uneinstallation personnalisée, un nouveau fichier de propriétés de configuration estgénéré. Ce fichier de propriétés est ensuite disponible pour être utilisé par leprogramme d'installation de AppScan Source.

L'assistant de configuration d'installation peut modifier un fichier de configurationexistant ou créer un nouveau fichier de configuration. L'assistant donne ensuite lapossibilité de personnaliser l'installation en définissant :v Si l'installation est interactive ou en mode silencieux.v Les composants disponibles pour l'installation (disponible uniquement pour les

installations interactives)v La sélection de composants par défaut (disponible uniquement pour les

installations interactives).v Les composants qui sont obligatoires ou installés automatiquement.v Le dossier d'installation par défaut.v Les modules linguistiques par défaut à installer.v Le fichier ou le serveur de licence à utiliser.v Le compte utilisateur devant être utilisé par AppScan Source for Automation (s'il

est sélectionné en tant que composant ou composant disponible pourl'installation).

Remarque : Si vous créez une installation personnalisée en mode silencieux, ellen'aboutira pas si vous l'exécutez dans un environnement local de langue turque(par exemple, tr et tr_TR).

Lancement de l'assistant de configuration d'installationCette rubrique explique comment lancer l'assistant de configuration d'installation(assistant utilisé pour créer un fichier d'installation personnalisée ou silencieuse).



Un administrateur lance l'outil de configuration en définissant la variabled'environnement OUNCE_CONFIG_FILE, puis en la faisant pointer vers un fichier depropriétés qui contiendra les paramètres de configuration d'installation. Ce fichierest ensuite utilisé pur exécuter les installations silencieuses ou personnalisées.

Remarque : Lors de la définition de OUNCE_CONFIG_FILE, ne placez pas deguillemets autour de la valeur, même si cette valeur contient des espaces.

Procédurev Sur les systèmes Windows, lancez les commandes suivantes :

set OUNCE_CONFIG_FILE=<chemin>setup.exe

Où <chemin> représente le chemin qualifié complet et le nom du fichier depropriétés qui contiendra les paramètres d'installation. Par exemple, lancez lacommande set OUNCE_CONFIG_FILE=C:\install.properties pour enregistrer lesparamètres d'installation dans ce fichier.

v Sur les systèmes Linux :export OUNCE_CONFIG_FILE=<chemin>./setup.bin

Où <chemin> représente le chemin qualifié complet et le nom du fichier depropriétés qui contiendra les paramètres d'installation.

v Sur les systèmes OS X :1. Lancez cette commande sur le fichier AppScan Source setup.dmg :

hdiutil attach setup.dmg -shadow

Cette commande permet d'extraire le répertoire setup.app dans le répertoire/Volumes/AppScanSource. Elle crée aussi un fichier setup.dmg.shadow quevous devez supprimer une fois l'installation terminée.

2. Lancez la création du fichier de propriétés en émettant les commandessuivantes :export OUNCE_CONFIG_FILE=<chemin>./setup.app

Où <chemin> représente le chemin qualifié complet et le nom du fichier depropriétés qui contiendra les paramètres d'installation. Notez que le nom defichier doit être install.properties sous OS X.

3. Copiez le fichier installer.properties dans le répertoire/Volumes/AppScanSource/setup.app/Contents/Resources.

Résultats

Si le nom de fichier existe déjà et qu'il est valide, l'assistant personnalisé utilise lespropriétés du fichier comme propriétés par défaut. Vous pouvez enregistrer laconfiguration avec le nom de fichier existant ou avec un nouveau nom de fichier.Si le nom de fichier n'existe pas, l'assistant utilise les propriétés par défaut deAppScan Source et le nom de fichier spécifié apparaît comme nom par défautlorsque vous enregistrez la configuration.


Utilisation de l'assistant de configuration d'installationpersonnalisée

L'assistant d'installation personnalisée apparaît et détermine que vous êtes sur lepoint de créer un fichier de configuration à utiliser pour une installation deAppScan Source.


Si vous exécutez l'assistant d'installation personnalisée sur un système Windows,l'étape relative au démon Linux apparaît. Si une installation Windows utilise lefichier de configuration final, cette valeur est ignorée.

Procédure1. Dans le panneau Option d'installation en mode silencieux, configurez le type

d'installation en précisant si l'installation doit se dérouler en mode silencieuxou non. Sélectionnez Non si vous souhaitez créer une installation personnaliséeinteractive.

Remarque : Si vous créez une installation personnalisée en mode silencieux,elle n'aboutira pas si vous l'exécutez dans un environnement local de langueturc (par exemple, tr et tr_TR).Cliquez sur Suivant pour passer au panneau d'installation suivant.

2. Installations personnalisées interactives uniquement : Si vous créez unprogramme d'installation personnalisée interactive (Non a été sélectionnée dansle panneau Option d'installation en mode silencieux), vous devrez compléteztrois panneaux de sélection de composant :a. Dans le premier panneau, sélectionnez les composants AppScan Source qui

seront disponibles (ou s'afficheront) dans l'installation personnaliséeinteractive :v AppScan Source for Automationv AppScan Source for Analysisv AppScan Source - Interface de ligne de commandev AppScan Source for Development pour Visual Studio 2013v AppScan Source for Development pour Visual Studio 2012v AppScan Source for Development pour Visual Studio 2010v AppScan Source for Development pour Eclipse, RAD, MobileFirst

Remarque : Si le système d'exploitation cible ne prend pas en charge uncomposant sélectionné ou si un composant sélectionné est basé sur unlogiciel qui n'existe pas sur le système, l'installation l'ignore, même s'il estsélectionné. Par exemple, si le programme d'installation personnalisé estutilisé pour l'installation sur un système sur lequel aucune version prise encharge de Microsoft Visual Studio n'est installée, la sélection de AppScanSource for Development pour Visual Studio 2012 pour l'installation estignorée lorsque le programme d'installation personnalisé est déployé.Les panneaux Sélection de composant restants vous permettent d'indiquer siles composants affichés sont sélectionnés par défaut ou activés dans lepanneau d'installation (les composants qui ne sont pas activés sont griséslorsque le programme d'installation est déployé ; ils ne peuvent pas êtresélectionnés). Par exemple, vous pouvez souhaiter que le programmed'installation personnalisée force l'installation d'un composant. Vous pouvezparvenir à cela en sélectionnant le composant par défaut, mais sans l'activer.

Chapitre 7. Programme d'installation silencieuse d'AppScan Source 99

Si un composant est défini comme étant disponible, mais n'est passélectionné par défaut ou activé, il ne sera pas installé (il sera grisé et nesera pas sélectionné pour l'installation).Cliquez sur Suivant pour passer au panneau d'installation suivant.

b. Le panneau Sélection de composant suivant affiche uniquement lescomposants qui ont été sélectionnés comme devant être disponibles dansl'installation personnalisée interactive. Dans ce panneau, identifiez lescomposants disponibles à sélectionner par défaut. Cliquez sur Suivant pourpasser au panneau d'installation suivant.

c. Identifiez les composants à activer pour la sélection/annulation de sélectionpar l'utilisateur dans l'installation personnalisée. La désactivation d'uncomposant rend l'installation de ce dernier obligatoire (à condition qu'il aitété défini comme étant sélectionné par défaut). Cliquez sur Suivant pourpasser au panneau d'installation suivant.

3. Installations personnalisées silencieuses uniquement : Si vous créez unprogramme d'installation personnalisée silencieuse (Oui a été sélectionné dansle panneau Option d'installation en mode silencieux), sélectionnez lescomposants AppScan Source que ce programme d'installation devra installer :v AppScan Source for Automationv AppScan Source for Analysisv AppScan Source - Interface de ligne de commandev AppScan Source for Development pour Visual Studio 2013v AppScan Source for Development pour Visual Studio 2012v AppScan Source for Development pour Visual Studio 2010v AppScan Source for Development pour Eclipse, RAD, MobileFirst

Remarque : Si le système d'exploitation cible ne prend pas en charge uncomposant sélectionné ou si un composant sélectionné est basé sur un logicielqui n'existe pas sur le système, l'installation l'ignore, même s'il est sélectionné.Par exemple, si le programme d'installation personnalisé est utilisé pourl'installation sur un système sur lequel aucune version prise en charge deMicrosoft Visual Studio n'est installée, la sélection de AppScan Source forDevelopment pour Visual Studio 2012 pour l'installation est ignorée lorsque leprogramme d'installation personnalisé est déployé.

4. Sélectionnez le répertoire d'installation cible. Pour une installation en modesilencieux, il s'agit du répertoire d'installation. Pour une installation interactive,il s'agit de la valeur par défaut.

Conseil : Si vous exécutez l'assistant avec un fichier de configuration existant,il lit les valeurs du fichier et les utilise comme valeurs par défaut.Cliquez sur Suivant pour passer au panneau d'installation suivant.

5. Dans le panneau Spécification de fichier de licence, indiquez l'emplacement devotre fichier de licence ou précisez le nom d'hôte et le port de votre serveur delicence. Cliquez sur Suivant pour passer au panneau d'installation suivant.

6. Dans le panneau Spécifiez le fichier de propriétés, spécifiez le nom etl'emplacement du fichier de propriétés cible. Si l'assistant utilise un fichier deconfiguration existant, le nom du chemin d'accès par défaut apparaît. Vouspouvez changer le nom du fichier pour créer un nouveau fichier deconfiguration.Pour les installations serveur Linux uniquement : Déterminez quel utilisateurLinux exécutera les démons AppScan Source. Après avoir copié les fichiers,vous devez identifier l'utilisateur du service. Sélectionnez Créer utilisateur


'ounce' ou Exécuter avec l'utilisateur existant, respectivement pour créerl'utilisateur par défaut ounce ou pour exécuter avec l'utilisateur existant.(L'installation valide cet utilisateur. Notez que l'utilisateur sélectionné doit avoirun interpréteur de commandes valide.)Cliquez sur Suivant pour enregistrer le fichier de propriétés.

Exécution d'une installation personnalisée ou silencieuseCette rubrique explique, en fonction de chaque plateforme, comment exécuter uneinstallation personnalisée ou silencieuse à partir de la ligne de commande.

Avant de commencer

Lorsque vous lancez l'assistant vous permettant de créer une installationpersonnalisée (voir «Lancement de l'assistant de configuration d'installation», à lapage 92), vous créez une variable d'environnement OUNCE_CONFIG_FILE. Avantd'exécuter l'installation personnalisée, veillez à supprimer cette variabled'environnement.

Procédurev Sur les systèmes Windows, lancez la commande suivante :

setup.exe -f c:\install.properties

v Sur les systèmes Linux :setup.bin -f /usr/local/share/my_configs/custom_install.properties

v Sur les systèmes OS X :1. Lancez la commande suivante :

sudo open /Volumes/AppScanSource/setup.app/Contents/MacOS/setup.app

2. Lorsque vous créez le fichier de propriétés comme expliqué dans «Lancementde l'assistant de configuration d'installation», à la page 92, un volume estcréé pour le fichier AppScan Source setup.dmg. Une fois l'installationterminée, lancez la commande suivante pour détacher ce volume :hdiutil detach /Volumes/AppScanSource

Remarque : Durant l'installation, l'icône d'installation apparaît dans lastation d'accueil. L'installation est terminée lorsque cette icône disparaît.

3. Lorsque vous créez le fichier de propriétés comme expliqué dans «Lancementde l'assistant de configuration d'installation», à la page 92, un fichiersetup.dmg.shadow est créé. Pour supprimer ce fichier, lancez la commandesuivante :rm -f setup.dmg.shadow

Exemple : Installer AppScan Source en mode silencieux via uneinfrastructure d'installation

Cet exemple montre comment vous pouvez déployer une installation silencieuse.


Un département informatique veut installer les composants client de AppScanSource en mode silencieux via son infrastructure d'installation.

Avant de créer l'installation client personnalisée, l'administrateur AppScan Sourcedéploie les fichiers d'installation sur un serveur de fichiers auquel l'infrastructure

Chapitre 7. Programme d'installation silencieuse d'AppScan Source 101

d'installation a accès. Le département informatique identifie également lesdifférentes configurations d'installation sur la base des différents composantsAppScan Source requis par chaque type d'utilisateur.

Pour installer AppScan Source avec une installation personnalisée en modesilencieux :

Procédure1. Le département informatique copie le contenu approprié depuis le CD

d'installation de AppScan Source ou depuis un téléchargement FTP sur leserveur de fichiers.

2. Le département informatique utilise l'assistant d'installation personnalisée pourcréer les fichiers de configuration d'installation requis pour chaque typed'installation requis, tels que AppScan Source for Development et AppScanSource for Analysis.

3. Le département informatique place les fichiers de configuration dans un dossierpublic partagé.

4. Le département informatique configure l'infrastructure d'installation de façon àce qu'elle reconnaisse l'installation AppScan Source et associe les appels deligne de commande et les configurations d'installation appropriés dansl'infrastructure d'installation.

5. L'utilisateur recherche les mises à jour via le client de l'infrastructured'installation (sur l'ordinateur) et le produit AppScan Source approprié(spécifique à l'utilisateur) s'affiche dans la liste pour l'installation.

6. L'utilisateur lance l'installation via le client de l'infrastructure d'installation.7. AppScan Source s'installe en mode silencieux sur l'ordinateur de l'utilisateur.

Résultats

Après cette installation :v Les produits AppScan Source appropriés sont installés sur l'ordinateur et

configurés pour se connecter au serveur AppScan Enterprise Server.v Le fichier de licence est copié sur l'ordinateur cible.


Chapitre 8. Activation du logiciel

Vous devez activer le logiciel avant de pouvoir utiliser un produit AppScan Source.AppScan Source fournit un gestionnaire de licence (License Manager) pourchargement et mise à jour des informations de licence sur votre machine client. Cetutilitaire permet d'afficher l'état courant de votre licence ou d'activer le produit enimportant un fichier de licence ou en utilisant une licence flottante sur un serveurde licence. Lorsque vous lancez le gestionnaire de licence (License Manager), ilrecherche toutes les licences qui ont été précédemment chargées.

Après avoir installé votre produit AppScan Source, vous disposez de trois optionspour l'activation :v Vous pouvez lancer le gestionnaire de licence à partir de l'assistant d'installation

du produit (quand l'installation est terminée).v Vous pouvez lancer l'utilitaire License Manager après avoir installé le produit :

– Sous Windows, lancez l'utilitaire à partir du menu Démarrer (dans le menuDémarrer, lancez IBM Security AppScan Source > AppScan Source LicenseManager).

– Sous Linux, localisez le répertoire <rép_install>/bin (où <rép_install>représente l'emplacement de votre installation AppScan Source) et exécutezlicensemgr.sh à l'aide de la commande ./licensemgr.sh.

– Sous OSX, localisez le répertoire /Applications/AppScanSource.app/bin etexécutez licensemgr.sh en exécutant la commande ./licensemgr.sh.

v Vous pouvez lancer le produit. Si une licence n'a pas déjà été appliquée pourl'utilisation du produit, vous recevrez un message indiquant qu'une licence doitêtre appliquée avant de pouvoir utiliser le produit. Si vous cliquez sur OK dansce message, le gestionnaire de licence s'ouvre.

Pour en savoir plus sur l'obtention et l'application de licences pour les produitsAppScan Source, voir http://www.ibm.com/support/docview.wss?uid=swg21405482.

Remarque :

v L'utilitaire License Manager doit être lancé depuis l'assistant d'installation oudepuis le menu Démarrer de Windows si vous activez un produit avecl'interface utilisateur de ligne de commande. Si vous tentez d'utiliser un produitavec une interface de ligne de commande avant d'activer le logiciel, vousrecevrez un message d'erreur vous invitant à activer le logiciel via legestionnaire de licence.

v Si vous exécutez le serveur AppScan Enterprise Server sans appliquerpréalablement une licence, vous recevez un message d'erreur lorsque vousessayez de vous connecter au serveur.

v Pour pouvoir utiliser intégralement les fonctionnalités d'AppScan Source forDevelopment, vous devez appliquer sa licence avec la licence pour AppScanSource for Remediation.

Importation d'un fichier de licenceCette rubrique de tâche décrit la procédure d'importation des fichiers de licenceAppScan Source.




Procédure1. Les fichiers de licence AppScan Source ont l'extension de fichier .upd ou .txt.

Assurez-vous que la licence est disponible sur votre système de fichiers localou sur un lecteur mappé.

2. Cliquez sur Importer une licence.3. Utilisez la boîte de dialogue Importer une licence file pour accéder au fichier de

licence. Sélectionnez le fichier de licence puis cliquez sur OK.

Remarque : Lorsque vous recherchez un fichier de licence sous OS X, il arriveque le contenu de la boîte de dialogue d'importation du fichier de licence cessede s'afficher (un dossier s'affiche mais son contenu ne s'affiche pas). Pourcontourner ce problème, sélectionnez un autre dossier, puis sélectionnez ànouveau le dossier dont vous souhaitez afficher le contenu.

4. Lorsque le message L'importation du fichier de licence a abouti, cliquez surOK pour terminer l'activation.

5. Fermez le gestionnaire de licence License Manager pour commencer à utiliser lalicence lorsque vous lancez le ou les produits installés.

Utilisation d'une licence flottanteCette rubrique de tâches décrit la procédure de configuration d'un ou plusieursserveurs de licence pour l'activation d'une licence flottante.

Procédure1. Cliquez sur Configurer les serveurs de licences pour ouvrir la boîte de

dialogue de configuration des serveurs de licences.2. Cliquez sur Ajouter.3. Entrez le nom d'hôte et le port d'un serveur de licences, puis cliquez sur

Sauvegarder les modifications. Répétez cette étape pour ajouter plusieursserveurs de licences.

Remarque : Le port par défaut pour le serveur de licences est 27000. Modifiezcette valeur seulement si vous avez défini le serveur de licences pour qu'ils'exécute sur un autre port.

4. Si vous ajoutez un serveur de licences et que vous devez modifier son nomd'hôte ou son port, sélectionnez le serveur dans la liste. Ceci remplira les zonesNom d'hôte et Port. Vous pouvez modifier ces paramètres puis cliquer surSauvegarder les modifications pour enregistrer les modifications apportées àces paramètres du serveur de licences.

5. Si vous ajoutez plusieurs serveurs de licences, ils seront analysés dans l'ordreoù ils apparaissent dans la liste de cette boîte de dialogue. Si une licenceflottante pour une fonction AppScan Source est trouvée, la recherche deslicences flottantes s'arrête. Pour changer l'ordre dans lequel les serveurs sontanalysés, sélectionnez le serveur que vous voulez déplacer dans la liste, puiscliquez sur Haut ou Bas.

6. Cliquez sur OK lorsque vous avez configuré tous les serveurs de licences.

Résultats

Après la fermeture de la boîte de dialogue, les licences flottantes pour la fonctionAppScan Source sont recherchées sur les serveurs de licence configurés.Lorsqu'elles sont trouvées, elles apparaissent dans la liste de licences dugestionnaire de licence.


Si vous modifiez le serveur de licences, cliquez sur Actualiser pour garantir que legestionnaire de licence a accès aux informations actuelles des serveurs de licences.

Lorsque vous avez terminé la configuration des serveurs de licences flottantes,fermez le gestionnaire de licence pour commencer à utiliser la ou les licenceslorsque vous lancez le ou les produits installés.

Remarque : Les licences flottantes AppScan Source doivent être hébergées sur unserveur Rational License Server version 8 ou ultérieure. Si elles sont hébergées surune version antérieure de Rational License Server, elles seront visibles dans LicenseManager, mais AppScan Source ne pourra pas les utiliser.

Pour les équipes qui utilisent AppScan Source for Development, les licencesd'examen flottantes peuvent être libérées directement depuis l'interface utilisateur,ce qui permet aux autres membres de l'équipe d'acquérir des licences lorsqu'ils enont besoin. En mode local, il existe une action Libérer la licence d'examen alorsqu'en mode serveur, la licence est libérée dans le cadre de l'action Déconnexion duserveur. Lorsqu'une licence est libérée, elle est acquise à nouveau automatiquementlorsqu'un examen est initié (si disponible).

Affichage des licences

La liste des licences du gestionnaire de licence indique :v Les produits et fonctions AppScan Source auxquels la ou les licences

s'appliquent (les licences pour d'autres produits IBM n'apparaissent pas dans cetutilitaire).

v Le type de licence : Les licences sont flottantes ou verrouillées (indiquant unfichier de licence importé).

v L'expiration de la licence : Le nombre de jours restants de la licence est affiché.Si le nombre de jours est supérieur à 365, l'expiration de la licence indiqueseulement "Valide".

v Le nombre total de licences disponibles sur tous les serveurs spécifiés.

Chapitre 8. Activation du logiciel 105


Chapitre 9. Suppression d'AppScan Source de votre système

Vous pouvez retirer AppScan Source du panneau de configuration Windows ou àl'aide d'un script de désinstallation Linux ou OS X. La désinstallation de AppScanSource ne supprime pas et ne sauvegarde pas une base de données Oracleinstallée. La suppression de l'utilisateur AppScan Source d'une instance Oracle estune tâche manuelle d'administration de base de données.

Pourquoi et quand exécuter cette tâchev «Suppression sur les plateformes Microsoft Windows»v «Suppression sur les plateformes Linux»v «Suppression sur les plateformes OS X»

Suppression sur les plateformes Microsoft Windows

Procédure1. Utilisez l'option Panneau de configuration pour supprimer des programmes.

Par exemple, sous Windows 7, sélectionnez l'option Programmes et fonctionsdans le Panneau de configuration.

2. Sélectionnez l'action appropriée pour supprimer IBM Security AppScan Sourcede la liste des programmes installés.

Suppression sur les plateformes LinuxLorsque vous effectuez l'installation sous Linux, un script est créé ; vous pouvezl'exécuter pour supprimer AppScan Source.


Si vous désinstallez, vous devez désinstaller avec le même compte d'utilisateur quepour l'installation. Si vous avez installé le logiciel en tant que root sous Linux,vous devez le désinstaller en tant que root.

Procédure1. Localisez le script, <rép_install>/Uninstall_AppScan/AppScan_Uninstaller (où

<rép_install> représente l'emplacement de votre installation AppScan Source).2. Exécutez ce script (à l'aide de sudo) pour afficher l'assistant utilisé pour la

suppression du produit.

Suppression sur les plateformes OS XLorsque vous effectuez l'installation sous OS X, un script est créé ; vous pouvezl'utiliser pour supprimer AppScan Source.


Si vous désinstallez, vous devez désinstaller avec le même compte d'utilisateur quepour l'installation.


Procédure1. Localisez le script, <rép_install>/Uninstall_AppScan/AppScan_Uninstaller.sh

(où <rép_install> représente l'emplacement de votre installation AppScanSource).

2. Exécutez ce script (à l'aide de sudo) pour afficher l'assistant utilisé pour lasuppression du produit.


Chapitre 10. Administration d'AppScan Source

Cette section décrit la gestion des utilisateurs, les autorisations, l'enregistrementdes applications et des projets ainsi que la configuration des ports.

Votre administrateur AppScan Source est responsable du déploiement et del'installation des produits AppScan Enterprise Server et AppScan Source et de lacréation des utilisateurs avec des privilèges et des droits appropriés (ou de laconfiguration de la connexion automatique pour les utilisateurs AppScanEnterprise Server). L'administrateur doit comprendre le rôle de chaque utilisateuret le modèle de déploiement requis pour effectuer ces tâches. Il est égalementnécessaire que l'administrateur sache si d'autres systèmes, tels qu'un système desuivi des incidents et un serveur d'annuaire, doivent être intégrés avec AppScanSource et AppScan Enterprise Server.

Il est également important de comprendre les configurations d'installationd'AppScan Source for Analysis et AppScan Enterprise Server, de comprendrecomment se connecter au serveur principal et de comprendre les fonctionnalitésdisponibles pour chaque utilisateur. Par exemple, l'administrateur doit savoircomment configurer des applications et des projets AppScan Source et comment lesenregistrer et les publier. Pour plus d'informations, voir IBM Security AppScanSource for Analysis - Guide d'utilisation.

En général, les administrateurs demandent aux utilisateurs de se connecter auxproduits AppScan Source avec leurs identifiants AppScan Enterprise Server.Toutefois, s'il y a une raison de disposer d’utilisateurs d'AppScan Source n'existantpas dans AppScan Enterprise Server, les administrateurs peuvent créer desutilisateurs AppScan Source locaux (voir «Création d'utilisateurs AppScan Source»,à la page 110).

Comptes utilisateur et autorisationsPour que les utilisateurs de AppScan Source puissent commencer à examiner outrier des résultats, un administrateur doit au préalable créer des comptes utilisateuret affecter des autorisations à ces comptes.

Les droits utilisateur AppScan Source sont stockés dans la base de donnéesAppScan Source et appliqués lorsqu'un utilisateur est connecté à AppScanEnterprise Server. Les utilisateurs qui exécutent AppScan Source for Developmenten mode local disposent des droits AppScan Source complets.

Lorsque vous créez un utilisateur, vous établissez un rôle pour cet utilisateur etvous identifiez les autorisations disponibles pour cet utilisateur. Les autorisationsidentifient les tâches AppScan Source qui sont autorisées pour cet utilisateur. Lestâches qui ne sont pas spécifiquement identifiées comme étant associées à uneautorisation sont disponibles pour tous les utilisateurs.

Remarque : Vous ne pouvez pas modifier un ID utilisateur. Vous devez supprimerle compte utilisateur et recréer l'utilisateur avec le nouvel ID utilisateur.


Groupe d'autorisations Autorisation

Gestion d'applications et de projets Enregistrer (Enregistrer et désenregistrer desapplications et des projets)

Examiner

Afficher les éléments enregistrés

Gérer des attributs

Appliquer des attributs

Gestion des évaluations Supprimer les évaluations publiées

Enregistrer les évaluations

Publier les évaluations

Afficher les évaluations publiées

Gestion de la Base de connaissances Gérer les règles partagées

Gérer les schémas

Administration Gérer les utilisateurs

Gérer les paramètres AppScan Enterprise

Gestion des filtres Gérer les filtres partagés

Configuration d'examen Gérer les configurations partagées (partagedes configurations d'examen etmodification/suppression des configurationsd'examen partagées)

Création d'utilisateurs AppScan SourceEn général, les administrateurs demandent aux utilisateurs de se connecter auxproduits AppScan Source avec leurs identifiants AppScan Enterprise Server.Toutefois, s'il y a une raison de disposer d’utilisateurs d'AppScan Source n'existantpas dans AppScan Enterprise Server, les administrateurs peuvent créer desutilisateurs AppScan Source locaux, en suivant les instructions de cette rubrique.


Les utilisateurs peuvent être créés dans l'interface utilisateur AppScan Source forAnalysis ou dans l'interface CLI (voir Utilitaires IBM Security AppScan Source -Guide d'utilisation pour en savoir plus sur la création d'utilisateurs dans l'interfaceCLI). Dans l'interface utilisateur AppScan Source for Analysis, vous pouvezégalement définir une connexion automatique pour des utilisateurs AppScanEnterprise Server (voir «Configuration de la connexion automatique desutilisateurs d'AppScan Enterprise Server», à la page 112).

Pour créer des utilisateurs dans l'interface utilisateur AppScan Source for Analysis,procédez comme suit :

Procédure1. Sélectionnez Admin > Gérer les utilisateurs dans le menu de plan de travail

principal.2. La boîte de dialogue Gérer les utilisateurs répertorie les utilisateurs existants de

AppScan Source. Ceux qui figurent dans le référentiel d'utilisateurs AppScanEnterprise Server existent localement dans base de données AppScan Source etsur le serveur AppScan Enterprise Server. Ceux qui figurent dans le référentielAppScan Source existent uniquement dans base de données AppScan Source.


Lorsque vous créez un nouvel utilisateur à partir de cette boîte de dialogue, ilest créé uniquement dans base de données AppScan Source.

3. Cliquez sur Ajouter un utilisateur pour ouvrir la boîte de dialogue Ajouter unutilisateur.

4. Tapez un ID utilisateur puis un mot de passe (de 6 à 16 caractères, et à deuxreprises pour le confirmer). Ce sont des zones obligatoires. (Facultatif) Vouspouvez aussi ajouter un Nom d'utilisateur (255 caractères maximum).

5. Développez l'arborescence et cochez les cases qui déterminent les autorisationsde l'utilisateur.

6. Cliquez sur OK pour créer l'utilisateur.

Résultats

A l'aide des paramètres décrits dans cette rubrique, vous pouvez égalementmodifier les utilisateurs en sélectionnant l'utilisateur voulu dans la boîte dedialogue Gérer les utilisateurs et en cliquant sur Editer l'utilisateur. De même,vous pouvez supprimer un utilisateur en le sélectionnant et en cliquant surSupprimer l'utilisateur.

Remarque : Lorsque vous modifiez les utilisateurs AppScan Enterprise Server dansAppScan Source for Analysis, vous pouvez uniquement modifier leurs droitsAppScan Source, à condition de disposer des droits Gérer les paramètres AppScanEnterprise).

Authentification AppScan Enterprise Server : Considérationssur la migration pour le remplacement du composantd'authentification des utilisateurs d'IBM Rational Jazz par IBMWebSphere Liberty

Cette rubrique décrit les considérations sur la migration relatives à la gestion desutilisateurs que vous devrez prendre en compte en cas de mise à niveau à partird'une version antérieure d'AppScan Enterprise Server.v Migration depuis un serveur Enterprise Server comportant uniquement des

utilisateurs Jazz locaux : Dans ce scénario de mise à niveau, les anciensutilisateurs Jazz apparaissent dans la base de données AppScan Source en tantqu'utilisateurs AppScan Enterprise Server. Toutefois, ils ne seront pas valides.Ces utilisateurs peuvent être supprimés de base de données ou être convertis enutilisateurs AppScan Source. Dans ce dernier cas, appliquez les instructions de larubrique http://www.ibm.com/support/docview.wss?uid=swg21686347 pourexécuter cette conversion.

v Migration depuis un serveur Enterprise Server configuré avec LDAP : Pendantla mise à niveau d'Enterprise Server, vous pouvez de nouveau configurerEnterprise Server avec LDAP. Dans ce cas, les utilisateurs existants restentvalides dans AppScan Source.

v Migration depuis un serveur Enterprise Server configuré avecl'authentification Windows : Si votre Enterprise Server a été configuré avecl'authentification Windows, les utilisateurs existants restent valides dansAppScan Source, à condition que le nouveau serveur Enterprise Server Libertysoit configuré pour utiliser l'authentification Windows.

Remarque : Lorsque vous migrez depuis Enterprise Server qui a été configuré avecl'authentification LDAP ou Windows, les utilisateurs existants sont réaffectés avecles droits par défaut attribués aux utilisateurs d'AppScan Enterprise Server. Ces

Chapitre 10. Administration d'AppScan Source 111


droits par défaut sont décrits dans «Configuration de la connexion automatiquedes utilisateurs d'AppScan Enterprise Server».

Configuration de la connexion automatique des utilisateursd'AppScan Enterprise Server

Par défaut, les utilisateurs d'AppScan Enterprise Server peuvent se connecter àAppScan Source et être automatiquement ajoutés à base de données AppScanSource. Ces utilisateurs sont listés comme utilisateurs d'AppScan Enterprise Server.Cette fonction peut être configurée dans l'interface utilisateur AppScan Source forAnalysis en suivant les instructions décrites dans cette rubrique.

Procédure1. Dans le menu AppScan Source for Analysis Admin, cliquez sur Gérer les

utilisateurs.2. Dans la boîte de dialogue Gérer les utilisateurs, cliquez sur le lien Configurer

la connexion pour les utilisateurs AppScan Enterprise Server.3. La boîte de dialogue Configure AppScan Enterprise Server User Login vous

permet d'activer cette fonction et de définir les droits initiaux pour lesutilisateurs AppScan Enterprise Server :v Par défaut, les utilisateurs d'AppScan Enterprise Server peuvent se connecter

à AppScan Source. Pour désactiver cette fonction, désélectionnez la caseAutoriser la connexion par les utilisateurs AppScan Enterprise Server.

v Par défaut, les utilisateurs d'AppScan Enterprise Server disposent desautorisations suivantes lorsqu'ils se connectent à AppScan Source :– Enregistrer

– Analyser

– Afficher les éléments enregistrés

– Gérer des attributs

– Appliquer des attributs

– Enregistrer les évaluations

Développez l'arborescence des autorisations et cochez les cases quidéterminent les paramètres initiaux appropriés des utilisateurs d'AppScanEnterprise Server. Pour obtenir une liste de toutes les autorisationsdisponibles, voir «Comptes utilisateur et autorisations», à la page 109.

4. Cliquez sur OK pour fermer la boîte de dialogue Configure AppScanEnterprise Server User Login, puis sur Fermer pour fermer la boîte de dialogueGérer les utilisateurs.

Résultats

Lors de la première connexion d'un utilisateur d'AppScan Enterprise Server àAppScan Source, un compte utilisateur AppScan Source est créé avec les mêmesdonnées d'identification d'authentification que celles utilisées pour la connexionàAppScan Enterprise Server. Une fois que ce compte est créé, vous pouvez lemodifier (par exemple, ses autorisations).

Si vous désactivez cette fonction, les utilisateurs d'AppScan Enterprise Serverdoivent être créés manuellement en suivant les instructions décrites dans «Créationd'utilisateurs AppScan Source», à la page 110.


Création d'administrateurs produit locaux dans AppScanEnterprise Server Liberty

A partir d'AppScan Enterprise Server Version 9.0.1, vous avez la possibilité decréer un administrateur produit local dans AppScan Enterprise Server Liberty. Ilest chargé d'administrer AppScan Source. Une fois cet administrateur créé, vousdevez enregistrer la base de données AppScan Source auprès d'AppScan EnterpriseServer en indiquant les identifiants de l'administrateur.

Pour savoir comment créer un administrateur produit local dans AppScanEnterprise Server Liberty, procédez comme indiqué dans la rubrique suivante :v «Création d'un administrateur produit local pour un AppScan Enterprise Server

configuré avec LDAP»v «Création d'un administrateur produit local pour un AppScan Enterprise Server

configuré avec l'authentification Windows», à la page 114

Création d'un administrateur produit local pour un AppScanEnterprise Server configuré avec LDAP

Procédure1. Recherchez le fichier server.xml. Sous Windows, ce fichier se trouve dans le

dossier Liberty\usr\servers\ase dans le répertoire d'installation d'AppScanEnterprise Server. Sous Linux, ce fichier se trouve dans le dossierLiberty/usr/servers/ase dans le répertoire d'installation d'AppScan EnterpriseServer.Editez ce fichier comme suit :a. Remplacez product.admins par le nom de l'administrateur, par exemple

ADMIN :<jndiEntry jndiName="product.admins" value="ADMIN"/>

b. Supprimez la section de balise LDAP existante et ajoutez une sectionbasicRegistry.Par exemple, supprimez cette section :<ldapRegistry baseDN="o=example.com" bindDN=""

bindPassword="" host="ldap.example.com"ldapType="IBM Tivoli Directory Server"port="389" sslEnabled="false"><idsFilters userFilter=

"(&(uid=%v)(objectclass=ePerson))"userIdMap="*:uid"/>

</ldapRegistry>

Puis ajoutez cette section (cet exemple utilise ADMIN comme mot de passe) :<basicRegistry id="basic" realm="customRealm">

<user name="ADMIN" password="ADMIN" /></basicRegistry>

Remarque : Pour chiffrer le mot de passe de l'administrateur, procédezcomme indiqué dans la rubrique «Chiffrement du mot de passeadministrateur», à la page 115. Dans ce cas, indiquez le mot de passe chiffrégénéré dans cette section.

2. Sauvegardez le fichier et redémarrez le service ase :v Sous Linux, lancez la commande /etc/init.d/ase_liberty restart.v Sous Windows, exécutez l'une de ces tâches :


– Choisissez Exécuter dans le menu Démarrer de Windows, puis tapezservices.msc. Lorsque la fenêtre Services s'ouvre, cliquez avec le boutondroit de la souris sur IBM Security AppScan Enterprise Server etchoisissez Redémarrer.

– Dans une invite de commande, accédez au répertoire du dossierLiberty\bin dans le répertoire d'installation d'AppScan Enterprise Server.Lancez la commande server stop ase suivie de la commande serverstart ase.

3. Enregistrez AppScan Source Database auprès d'AppScan Enterprise Server enindiquant les identifiants de l’utilisateur ADMIN que vous venez de créer.

Création d'un administrateur produit local pour un AppScanEnterprise Server configuré avec l'authentification Windows

Procédure1. Recherchez le fichier server.xml. Sous Windows, ce fichier se trouve dans le

dossier Liberty\usr\servers\ase dans le répertoire d'installation d'AppScanEnterprise Server. Sous Linux, ce fichier se trouve dans le dossierLiberty/usr/servers/ase dans le répertoire d'installation d'AppScan EnterpriseServer.Editez ce fichier comme suit :a. Supprimez cette ligne :

<feature>usr:WindowsRegistryFeature</feature>

b. Remplacez product.admins par le nom de l'administrateur, par exempleADMIN :<jndiEntry jndiName="product.admins" value="ADMIN"/>

c. Ajoutez ceci avant </server> à la fin du fichier (cet exemple utilise le motde passe ADMIN) :<basicRegistry id="basic" realm="customRealm">

<user name="ADMIN" password="ADMIN" /></basicRegistry>

Remarque : Pour chiffrer le mot de passe de l'administrateur, procédezcomme indiqué dans la rubrique «Chiffrement du mot de passeadministrateur», à la page 115. Dans ce cas, indiquez le mot de passe chiffrégénéré dans cette section.

2. Sauvegardez le fichier et redémarrez le service ase :v Sous Linux, lancez la commande /etc/init.d/ase_liberty restart.v Sous Windows, exécutez l'une de ces tâches :

– Choisissez Exécuter dans le menu Démarrer de Windows, puis tapezservices.msc. Lorsque la fenêtre Services s'ouvre, cliquez avec le boutondroit de la souris sur IBM Security AppScan Enterprise Server etchoisissez Redémarrer.

– Dans une invite de commande, accédez au répertoire du dossierLiberty\bin dans le répertoire d'installation d'AppScan Enterprise Server.Lancez la commande server stop ase suivie de la commande serverstart ase.

3. Enregistrez AppScan Source Database auprès d'AppScan Enterprise Server enindiquant les identifiants de l’utilisateur ADMIN que vous venez de créer.


Chiffrement du mot de passe administrateurLorsque vous créez un administrateur produit local pour AppScan EnterpriseServer, vous devez ajouter le nom d’utilisateur et le mot de passe de cetadministrateur au fichier server.xml. Pour chiffrer le mot de passe, suivez lesinstructions de cette rubrique.

Lorsque vous éditez le fichier server.xml (en procédant comme indiqué dans larubrique «Création d'un administrateur produit local pour un AppScan EnterpriseServer configuré avec LDAP», à la page 113 ou «Création d'un administrateurproduit local pour un AppScan Enterprise Server configuré avec l'authentificationWindows», à la page 114), utilisez l'outil securityUtility pour coder le mot depasse de l'administrateur.Sous Windows, cet outil se trouve dans Liberty\bin dansle répertoire d'installation d'AppScan Enterprise Server. Sous Linux, l'outil setrouve dans Liberty/bin. Lorsque vous exécutez la commande d'encodagesecurityUtility, vous fournissez le mot de passe à encoder sous forme d’entrée àpartir de la ligne de commande ou, si aucun argument n'est indiqué, l'outil vousinvite à indiquer le mot de passe. L'outil génère alors la valeur encodée. Parexemple, pour encoder le mot de passe ADMIN, lancez la commandesecurityUtility encode ADMIN. Elle doit générer une valeur de sortie de{xor}HhsSFhE=.

Copiez la valeur générée par l'outil, puis indiquez-la comme mot de passe lorsquevous ajoutez la section basicRegistry au fichier server.xml. Par exemple, ajoutezce qui suit au fichier :<basicRegistry id="basic" realm="customRealm">

<user name="ADMIN" password="{xor}HhsSFhE=" /></basicRegistry>

Création d'un compte utilisateur pour Automation ServerUn compte utilisateur est requis pour utiliser Automation Server. Ce compteutilisateur doit être enregistré auprès de Automation Server lors de l'installation ouvia une ligne de commande en phase de post-installation. Un compte utilisateurAppScan Source correspondant doit également être créé manuellement aprèsl'installation avec AppScan Source for Analysis ou avec l'interface de ligne decommande AppScan Source. Cette rubrique explique comment créer de compte àl'aide de AppScan Source for Analysis.

Procédure1. Suivez les instructions dans «Création d'utilisateurs AppScan Source», à la page

110 pour créer un nouvel utilisateur ou activez la création automatique desutilisateurs AppScan Enterprise Server (voir «Configuration de la connexionautomatique des utilisateurs d'AppScan Enterprise Server», à la page 112).

2. Assurez-vous que les utilisateurs qui utiliseront Automation Server disposentdu même nom et du même mot de passe que ceux qui ont été spécifiés pour laconnexion à Automation Server. Les autres paramètres, tels que les droits,peuvent être définis en fonction de vos besoins.



Chapitre 11. Contrôle de l'activité de l'utilisateur

AppScan Source offre un emplacement pratique pour contrôler l'activité del'utilisateur. La vue Audit consigne les événements tels que l'authentification sur leserveur AppScan Enterprise Server, la création d'utilisateurs et la création de règlesdans la base de données.

Pour ouvrir la vue Audit, sélectionnez Admin > Audit à partir du menu principal.

Remarque : Vous devez disposer du droit Gérer les utilisateurs pour pouvoirutiliser la vue Audit. Si vous tentez d'ouvrir la vue sans disposer de ce droit, il seproduit une erreur. Pour plus d'informations sur les droits AppScan Source, voir«Comptes utilisateur et autorisations», à la page 109.



Chapitre 12. Connexion à AppScan Enterprise Server à partirdes produits AppScan Source

La plupart des produits et des composants AppScan Source requièrent uneconnexion à un serveur AppScan Enterprise Server. Ce serveur fournit desfonctionnalités de gestion centralisée des utilisateurs et un mécanisme de partaged'évaluations via la base de données AppScan Source.

Lorsque vous lancez AppScan Source for Analysis, vous êtes invité à vousconnecter. Si vous exécutez AppScan Source for Development dans mode serveur,vous êtes invité à vous connecter lorsque vous lancez pour la première fois uneaction nécessitant l'accès au serveur, comme le lancement d'un examen oul'affichage des configurations d'examen.

Dans AppScan Source for Analysis, lorsque vous vous connectez, vous devezentrer les informations suivantes :v ID utilisateur : indiquez votre ID utilisateur (selon la configuration de votre

compte, il s'agit d'un ID utilisateur qui existe à la fois sur le serveur AppScanEnterprise Server et dans la base de données AppScan Source, ou d'un IDutilisateur existant uniquement dans la base de données AppScan Source). Sivotre AppScan Enterprise Server utilise l'authentification Windows, vous devezinclure le nom du domaine Windows, par exemple MyWindowsDomain\username.

v Mot de passe : indiquez le mot de passe associé à votre ID utilisateur.v AppScan Enterprise Server : Spécifiez l'adresse URL de votre instance AppScan

Enterprise Server.

Dans AppScan Source for Development, lorsque vous vous connectez, vous devezentrer les informations suivantes :v URL du serveur : spécifiez l'adresse URL de votre instance AppScan Enterprise

Server.v ID utilisateur : indiquez votre ID utilisateur (selon la configuration de votre

compte, il s'agit d'un ID utilisateur qui existe à la fois sur le serveur AppScanEnterprise Server et dans la base de données AppScan Source, ou d'un IDutilisateur existant uniquement dans la base de données AppScan Source). Sivotre AppScan Enterprise Server utilise l'authentification Windows, vous devezinclure le nom du domaine Windows, par exemple MyWindowsDomain\username.

v Mot de passe : spécifiez le mot de passe associé à votre ID utilisateur.

Des actions de connexion sont également requises lors de l'exécution de AppScanSource for Automation ou de l'interface de ligne de commande AppScan Source.Pour plus d'informations, voir le document Utilitaires IBM Security AppScan Source -Guide d'utilisation.

Pour plus d'informations sur les certificats SSL pour AppScan Enterprise Server,voir «Certificats SSL pour AppScan Enterprise Server», à la page 120.


Modification des mots de passe des utilisateurs d'AppScan SourcePour pouvoir modifier un mot de passe utilisateur d'AppScan Source, vous devezdisposer des droits Gérer les utilisateurs et la modification doit être effectuée dansAppScan Source for Analysis. Si vous ne disposez pas de ce droit, demandez àvotre administrateur de changer votre mot de passe à votre place, en suivant lesinstructions de cette rubrique. Si votre AppScan Enterprise Server est configurépour utiliser l'authentification LDAP ou Windows, cette rubrique ne vous concernepas.

Procédure1. Dans AppScan Source for Analysis, sélectionnez Admin > Gérer les utilisateurs

dans le menu du plan de travail principal.2. La boîte de dialogue Gérer les utilisateurs répertorie les utilisateurs existants de

AppScan Source. Pour modifier le mot de passe de l'un de ces utilisateurs,éditez les informations de l'utilisateur en exécutant l'une des tâches suivantes :v Cliquez deux fois sur l'utilisateur.v Cliquez avec le bouton droit de la souris sur l'utilisateur et choisissez Editer

l'utilisateur.v Sélectionnez l'utilisateur et cliquez sur le bouton Editer l'utilisateur.

Remarque : Vous ne pouvez pas modifier le mot de passe d'un utilisateurAppScan Enterprise Server à partir d'AppScan Source.

3. Dans la boîte de dialogue Editer l’utilisateur, entrez un nouveau mot de passepuis retapez le mot de passe dans la zone Confirmation du mot de passe.

4. Cliquez sur OK pour changer le mot de passe.

Certificats SSL pour AppScan Enterprise ServerUne fois le serveur AppScan Enterprise Server installé, vous devez le configurerafin qu'il utilise un certificat SSL valide. Si vous ne le faites pas, vous recevrez unmessage indiquant que la connexion est non sécurisée lors de la connexion auserveur à partir de AppScan Source for Analysis ou de interface de ligne decommande AppScan Source ou de AppScan Source for Development sousWindows et Linux.

Emplacement de stockage du certificat SSL

Les certificats qui ont été acceptés de façon définitive sont stockés dans<rép_données>\config\cacertspersonal et <rép_données>\config\cacertspersonal.pem (où <rép_données> est l'emplacement de vos données deprogramme AppScan Source, comme décrit dans «Installation et emplacements desfichiers de données utilisateur», à la page 59). Supprimez ces deux fichiers si vousne voulez plus que les certificats soient stockés de manière permanente.

AppScan Source for Automation et validation du certificat SSL

Par défaut, les certificats sont automatiquement acceptés lors de l'utilisation deAppScan Source for Automation. Ce comportement est déterminé par le paramètreounceautod_accept_ssl dans le fichier de configuration du Automation Server(<rép_données>\config\ounceautod.ozsettings (où <rép_données> estl'emplacement de vos données de programme AppScan Source, comme décrit dans«Installation et emplacements des fichiers de données utilisateur», à la page 59)). Sice paramètre est modifié en remplaçant value="true" par value="false", la


validation SSL sera tentée et la connexion à ou la publication sur AppScanEnterprise Console échouera avec un message d'erreur en cas de détection d'uncertificat non valide.

Interface de ligne de commande AppScan Source et validationdu certificat SSL

Par défaut, lors de l'utilisation de la commande CLI login, la validation SSL esttentée et la connexion à ou la publication sur AppScan Enterprise Console échoueavec un message d'erreur si un certificat non valide est détecté (si vous n'avez pasencore accepté de façon définitive le certificat pendant la connexion via un autreproduit client AppScan Source. Ce comportement peut être modifié à l'aide duparamètre -acceptssl en option lors de l'exécution de la commande login.Lorsque ce paramètre est utilisé, les certificats SSL sont automatiquement acceptés.

Chapitre 12. Connexion à AppScan Enterprise Server à partir des produits AppScan Source 121


Chapitre 13. Intégration LDAP

Pour ajouter un utilisateur AppScan Source qui sera authentifié via LDAP, vousdevez avoir configuré le référentiel d'utilisateurs AppScan Enterprise Server pourutiliser un référentiel d'utilisateurs LDAP.

Pour savoir comment configurer le référentiel d'utilisateurs d'AppScan EnterpriseServer afin qu'il utilise un référentiel LDAP, consultez le manuel AppScanEnterprise - Guide de planification et d'installation ou l'aide aux utilisateursd'AppScan Enterprise Server, accessible via l'IBM Knowledge Center(http://www.ibm.com/support/knowledgecenter/SSW2NF/welcome).

Si vous utilisez l'authentification LDAP et que vous souhaitez ajouter un utilisateurAppScan Source qui ne fait pas partie d'un groupe d'utilisateurs LDAP, créezl'utilisateur localement sur dans le référentiel d'utilisateurs AppScan Source encochant la case Stocker l'utilisateur dans le référentiel AppScan Source dans laboîte de dialogue Ajouter un utilisateur. Pour obtenir les instructions de créationd'utilisateur, voir «Création d'utilisateurs AppScan Source», à la page 110.




Chapitre 14. Enregistrement des applications et des projetspour la publication sur AppScan Source

L'enregistrement des applications/projets et la publication des résultats desévaluations permettent le partage des données de sécurité critiques au sein del'équipe (les évaluations sont publiées dans base de données AppScan Source). Lesutilisateurs ayant les privilèges et les autorisations appropriés peuvent accéder àces résultats des évaluations via AppScan Source for Analysis. Dans certainsdéploiements, l'enregistrement des applications et des projets ainsi que lapublication des résultats des évaluations sont des tâches d'administration. Dansd'autres déploiements, ce sont des tâches du chef de projet ou de l'analyste desécurité. Il est recommandé de limiter les autorisations aux seules personnes quidoivent effectuer ces tâches.



Chapitre 15. Fichiers d'application et de projet AppScanSource

Les applications et les projets AppScan Source ont des fichiers correspondants quicontiennent les informations de configuration requises pour l'examen et pour lapersonnalisation du triage. Il est recommandé de placer ces fichiers dans le mêmerépertoire que le code source car les informations de configuration (dépendances,options du compilateur, etc.) requises pour générer les projets sont très similaires àcelles requises pour que AppScan Source puisse les examiner avec succès. Lesmeilleures pratiques sont de gérer ces fichiers avec votre système de contrôle dessources.

Lorsque vous utilisez les outils d'intégration de génération (build) pris en charge(par exemple, Ounce/Ant ou Ounce/Maven) pour générer des fichiersd'application et de projet AppScan Source, il est recommandé de mettre à jour cesfichiers dans le contrôle des sources dans le cadre de l'automatisation de lagénération, afin de faciliter leur partage par l'équipe de développement. Lorsqu'undéveloppeur met à jour la vue locale des fichiers dans le contrôle des sources, lesfichiers d'application et de projet AppScan Source sont également mis à jour. Cecigarantit que toute l'équipe travaille avec un ensemble cohérent de fichiers.

Les applications et les projets créés dans AppScan Source for Analysis ontrespectivement une extension .paf et .ppf. Ces fichiers sont générés lorsque vouscréez et configurez manuellement une application ou un projet dans l'interfaceutilisateur AppScan Source for Analysis ou via les utilitaires AppScan Source prisen charge.

Sous Windows, lorsque vous importez des solutions et des projets Microsoft dansAppScan Source for Analysis, les fichiers ayant les extensions .sln.gaf et .sln.gpfsont créés pour ces solutions et projets.

Sous OS X, lorsque vous importez des répertoires et projets dans AppScan Sourcefor Analysis, des fichiers ayant les extensions .xcodeproj.gaf et .xcodeproj.gpfsont créés pour eux. De même, si vous importez un espace de travail Xcode, unfichier ayant l'extension .xcworkspace.gaf est créé.

Remarque : Lorsqu'un importateur Eclipse s'exécute sur un espace de travailEclipse ou Rational Application Developer for WebSphere Software (RAD),AppScan Source crée des fichiers intermédiaires avec des extensions .ewf et .epf.Ces fichiers sont requis pour l'importation initiale dans AppScan Source forAnalysis et pour les examens ultérieurs.

Important : Si vous travaillez avec un projet AppScan Source comportant desdépendances dans un environnement de développement (par exemple un projetIBM MobileFirst Platform), veillez à créer le projet dans l'environnement dedéveloppement avant de l'importer. Après avoir importé le projet, si vous modifiezdes fichiers qu'il contient, pensez à le régénérer dans l'environnement dedéveloppement avant l'analyse dans AppScan Source (si vous omettez cette étape,les modifications apportées aux fichiers ne seront pas prises en compte parAppScan Source).


Tableau 3. fichiersAppScan Source

Extension de fichier AppScan Source Description

ppf v Fichier de projet AppScan Source

v Généré lorsque vous créez un projet avecAppScan Source for Analysis ou lesutilitaires AppScan Source pris en charge

v Nommé par l'utilisateur

paf v Fichier d'application AppScan Source

v Généré lorsque vous créez une applicationavec AppScan Source for Analysis ou lesutilitaires AppScan Source pris en charge

v Nommé par l'utilisateur

sln.gaf v Fichier d'application AppScan Sourcegénéré lorsque vous importez dessolutions Microsoft

v Utilisé pour stocker des informationsd'application personnalisées telles que lesexclusions et les regroupement

v Adopte le nom de l'espace de travail oude la solution importé Par exemple :

d:\mes_appls\monappl.slnd:\mes_appls\monappl.sln.gaf

vcproj.gpf v Fichier de projet AppScan Source générélorsque vous importez des projetsMicrosoft

v Utilisé pour stocker des informations deprojet personnalisées telles que lesschémas et les exclusions

v Adopte le nom du projet importé, parexemple :

d:\mes_projets\monprojet.vcprojd:\mes_projets\monprojet.vcproj.gpf

.xcodeproj.gaf v Fichier d'application AppScan Sourcegénéré lors de l'importation de répertoiresXcode


v Adopte le nom de l'espace de travail oude la solution importé Par exemple :

/Users/myUser/myProject.xcodeproj/Users/myUser/myProject.xcodeproj.gaf


Tableau 3. fichiersAppScan Source (suite)

Extension de fichier AppScan Source Description

.xcodeproj.gpf v Fichier de projet AppScan Source générélors de l'importation de projets Xcode

v Utilisé pour stocker des informations deprojet personnalisées telles que lesschémas et les exclusions

v Adopte le nom du projet importé, parexemple :

/Users/myUser/myProject.xcodeproj/Users/myUser/myProject.xcodeproj.gpf

.xcworkspace.gaf v Fichier d'application AppScan Source quiest généré lorsque vous importez unespace de travail Xcode


v Adopte le nom de l'espace de travailimporté. Par exemple :

/Users/myUser/myProj.xcworkspace.gaf

ewf v Fichier d'espace de travail Eclipse

v Produit lorsque vous importez un espacede travail Eclipse dans AppScan Source

v L'exportateur Eclipse crée le fichier sur labase des informations de l'espace detravail Eclipse - AppScan Source, puisimporte le fichier

epf v Fichier de projet Eclipse

v Produit lorsqu'un projet Eclipse estimporté dans AppScan Source

v L'exportateur Eclipse crée le fichier sur labase des informations du projet Eclipse -AppScan Source, puis importe le fichier

Chapitre 15. Fichiers d'application et de projet AppScan Source 129


Chapitre 16. Configuration des ports

Le déploiement des produits AppScan Source requiert que certains ports soientouverts sur les ordinateurs où ces composants sont installés. Les tableaux qui setrouvent dans «Ports ouverts par défaut» contiennent des informations surl'utilisation des ports. Chaque port est configurable.

Ports ouverts par défaut

Ports ouverts par défaut pour la communication à distance

Port Composants Protocole

443 et 9443 AppScan Enterprise Server HTTPS

2315 IBM solidDB solidDB

Ports ouverts par défaut pour l'accès à l'hôte local

Port Composants Protocole

443 et 9443 AppScan Enterprise Server HTTPS

13194-13294

(utilise un seul port de cetteplage)

AppScan Source for Analysis IIOP

13205 AppScan Source forAutomation

IIOP

Ports du serveur de licences

Rational License Key Server est utilisé pour fournir des licences flottantes àAppScan Source. Pour utiliser les licences flottantes AppScan Source via unpare-feu ou depuis un autre réseau, une configuration manuelle est requise. Vousdevez configurer les ports de License Manager pour les démons de fournisseurlmgrd et ibmratl sur le serveur Rational License Key Server, puis ouvrir/transférerles deux ports en plus des ports AppScan Source. Pour plus d'informations, voir ladocumentation Rational License Key Server. Par défaut, le port lmgrd est le port27000 et le port du démon de fournisseur ibmratl est attribué dynamiquement.

Configuration du réacheminement de port

Pour travailler dans un environnement de réacheminement de port, vous devezeffectuer des modifications de configuration des propriétés système de AppScanSource. Pour des instructions détaillées sur la modification des paramètresappropriés, contactez votre responsable de l'assistance technique IBM.


Modification du port IBM solidDB


Pour changer le numéro de port de communication solidDB, accédez à la machinesur laquelle vous avez installé la base de données AppScan Source et exécutez lesétapes décrites dans cette rubrique.

Important : Si vous changez le port solidDB, vous devez exécuter l'outilappscanserverdbmgr pour enregistrer l'emplacement mis à jour de la base dedonnées sur le serveur. Pour plus d'informations sur cet outil, voir «Enregistrementde la base de données AppScan Source auprès du serveur AppScan EnterpriseServer», à la page 75.

Procédure1. Ouvrez <rép_install>\solidDB\appscansrc\solid.ini (sous Windows) ou

<rép_install>/soliddb/appscansrc/solid.ini (sous Linux) (où <rép_install>représente l'emplacement de votre installation AppScan Source). Dans le fichier,recherchez le paramètre NETWORK NAME et changez la valeur de son numéro deport. Par exemple, si vous avez installé la base de données sur Windows et quevous voulez changer son numéro de port en 12345, recherchez Listen=tcpip2315, nmpipe SOLID ; Windows (la valeur par défaut du paramètre surWindows) et changez-la en Listen=tcpip 12345, nmpipe SOLID ; Windows.Enregistrez les modifications apportées au fichier.

2. Ouvrez <rép_données>\config\database.ozsettings (sous Windows) ou<rép_données>/config/database.ozsettings (sous Linux) (où <rép_données> estl'emplacement de vos données de programme AppScan Source, comme décritdans «Installation et emplacements des fichiers de données utilisateur», à lapage 59). Dans le fichier, recherchez le paramètre db_connection_information etchangez la valeur de son numéro de port. Par exemple, si vous voulez changerle numéro de port en 12345, recherchez value="tcp localhost 2315" et changezsa valeur en value="tcp localhost 12345". Enregistrez les modificationsapportées au fichier.

3. Redémarrez le service IBM Security AppScan Source DB.


Chapitre 17. Modification des mots de passe utilisateur d'IBMsolidDB après l'installation

Si vous installez la base de données IBM solidDB pendant l'installation du produit,vous devez configurer l'utilisateur et les données d'identification administrativepour solidDB. Par défaut, les paramètres de l'utilisateur de solidDB sont le nomd'utilisateur ounce et le mot de passe ounce. Le nom d'utilisateur et le mot depasse de l'administrateur de base de données sont tous deux dba.


Pour modifier le mot de passe de ces deux comptes utilisateur, procédez commeindiqué dans cette rubrique.

Important : Si vous changez le port solidDB, vous devez exécuter l'outilappscanserverdbmgr pour enregistrer l'emplacement mis à jour de la base dedonnées sur le serveur. Pour plus d'informations sur cet outil, voir «Enregistrementde la base de données AppScan Source auprès du serveur AppScan EnterpriseServer», à la page 75.

Procédure1. A l'invite de commande, accédez au répertoire <rép_install>\solidDB\bin (où

<rép_install> représente l'emplacement de votre installation AppScan Source).2. Lancez la commande solsql.exe "tcp 2315" (sous Windows) ou solsql "tcp

2315" (sous Linux).3. Lorsque vous êtes invité à entrer votre Username, entrez le nom

d'administrateur solidDB actuellement configuré. Par défaut, il s'agit de dba.4. Lorsque vous êtes invité à entrer votre Password, entrez le mot de passe

administrateur solidDB actuellement configuré. Par défaut, il s'agit de dba.5. Lancez la commande alter user <nomutilisateur_bd> identified by

<nouveau_motdepasse>;. Dans cette commande :v <nomutlisateur_db> est l'utilisateur solidDB dont vous voulez modifier le

mot de passe. Vous pouvez modifier le mot de passe utilisateur solidDB oule mot de passe administrateur solidDB.

v <nouveau_motdepasse> est le nouveau mot de passe que vous voulez définirpour <nomutilisateur_bd>.

Par exemple, pour modifier le mot de passe par défaut de l'administrateur et leremplacer par nouveaumotdepasse123, lancez la commande alter user dbaidentified by nouveaumotdepasse123;.

6. Pour finaliser la modification du mot de passe de l'utilisateur solidDB, lancez lacommande commit work; puis la commande exit;.

7. Facultatif : Cette étape n'est obligatoire que si vous avez modifié le mot depasse utilisateur solidDB. N'effectuez pas cette étape pour une modification dumot de passe de l'administrateur solidDB. Après avoir modifié le mot de passede l'utilisateur solidDB, vous devrez modifier le mot de passe enregistré dansbase de données AppScan Source :a. Ouvrez une invite de commande et accédez au répertoire

<rép_install>\bin (où <rép_install> représente l'emplacement de votreinstallation AppScan Source).


b. Sous Windows, lancez la commande OunceServer.exe -a<nouveau_motdepasse>. Sous Linux, lancez la commande ounceserverd -a<nouveau_motdepasse>. Dans les deux cas, <nouveau_motdepasse> est lenouveau mot de passe spécifié lors de la modification du mot de passe del'utilisateur solidDB lors des étapes précédentes.


Chapitre 18. Filtres prédéfinis AppScan Source (versions 8.7.xet antérieures)

Cette rubrique répertorie les filtres prédéfinis inclus dans AppScan Source versions8.7.x et antérieures.

Pour accéder à ces filtres, suivez les instructions contenues dans Chapitre 19,«Restauration des filtres prédéfinis archivés», à la page 137.

! Le minimum vital

Ce filtre correspond aux constatations entrant dans les catégories de vulnérabilitésles plus dangereuses. Seules sont incluses les constatations des menaces quiproviennent d'un réseau de communication externe. Ce filtre pointe du doigt lesconstatations à haut risque. Il inclut les catégories spécifiques suivantes :Vulnerability.BufferOverflowVulnerability.BufferOverflow.FormatStringVulnerability.PathTraversalVulnerability.CrossSiteScriptingVulnerability.CrossSiteScripting.ReflectedVulnerability.CrossSiteScripting.StoredVulnerability.InjectionVulnerability.Injection.LDAPVulnerability.Injection.SQLVulnerability.Injection.OSVulnerability.Injection.XMLVulnerability.Injection.XPath

Haute priorité - Communications externes

Ce filtre correspond aux constatations de menaces externes à l'application ettraversant le réseau. Il trouve tout ce qui provient d'une sourceTechnology.Communications.

Haute priorité - Types importants

Ce filtre correspond aux constatations entrant dans les catégories de vulnérabilitésles plus dangereuses, telles que CrossSiteScripting et Injection.SQL. Il inclut lescatégories spécifiques suivantes :Vulnerability.AppDOSVulnerability.Authentication.Credentials.UnprotectedVulnerability.Authentication.EntityVulnerability.BufferOverflowVulnerability.BufferOverflow.FormatStringVulnerability.CrossSiteScriptingVulnerability.CrossSiteScripting.ReflectedVulnerability.CrossSiteScripting.StoredVulnerability.InjectionVulnerability.Injection.LDAPVulnerability.Injection.OSVulnerability.Injection.SQLVulnerability.Injection.XMLVulnerability.Injection.XPathVulnerability.PathTraversal


Basse priorité - Code de test

Ce filtre contient les constatations issues d'un code de test. Il inclut les typesspécifiques suivants :Vulnerability.Quality.TestCode

Bruit - Opérations de copie conforme

Ce filtre contient les constatations relatives aux opérations de copie conforme. Uneopération de copie conforme se produit lorsque des données proviennent d'unesource sécurisée ou non, mais que les actions effectuées sur les données sontsécurisées.

Les schémas suivants sont recherchés :Technology.Database --> Vulnerability.Injection.SQLMechanism.SessionManagement --> Mechanism.SessionManagementTechnology.XML, Technology.XML.DOM, Technology.XML.Schema,Technology.XML.XPath --> Vulnerability.AppDOS.XML,Vulnerability.Injection.XML

Bruit - Problèmes de consignation

Ce filtre contient les constatations en rapport avec le traitement des erreurs. Cesconstatations émanent d'une routine de traitement d'erreurs et vont vers unmécanisme de consignation. Le schéma suivant est recherché :Mechanism.ErrorHandling -->Vulnerability.Logging, Vulnerability.Logging.Forge, Vulnerability.Logging.Required

Bruit - Faible gravité

Ce filtre contient les constatations dont la gravité est faible. Toutes lesclassifications sont incluses.

Bruit - Source fiable

Ce filtre contient les constatations issues d'une source de confiance. Seules lesconstatation dont la source est java.lang.System.getProperty.* sont incluses dansce filtre.


Chapitre 19. Restauration des filtres prédéfinis archivés

Il est possible de rajouter au produit des filtres prédéfinis fournis dans AppScanSource avant la version 8.8 en suivant la procédure de cette tâche. Une foisrestaurés sur une seule machine, ils peuvent être gérés de la même manière que lesfiltres que vous créez (par exemple, vous pouvez les partager entre plusieursclients).


Les filtres prédéfinis archivés se trouvent dans <rép_données>\archive\filters (où<rép_données> est l'emplacement de vos données de programme AppScan Source,comme décrit dans «Installation et emplacements des fichiers de donnéesutilisateur», à la page 59).

Procédure1. Dans <rép_données>\archive\filters, recherchez le ou les filtres que vous

souhaitez restaurer (les filtres AppScan Source portent l'extension de fichier.off).

2. Copiez le ou les filtres dans <rép_données>\scanner_filters.3. Redémarrez AppScan Source.

Que faire ensuite

Pour savoir comment gérer les filtres (notamment les filtres archivés que vous avezrestaurés), voir Chapitre 20, «Création et gestion de filtres depuis la vue Editeur defiltre», à la page 139.



Chapitre 20. Création et gestion de filtres depuis la vueEditeur de filtre

Dans cette vue, vous pouvez créer, éditer, sauvegarder, supprimer et gérer desfiltres. Si vous utilisez AppScan Source for Analysis, vous pouvez partager desfiltres et accéder à des filtres qui ont été partagés par d'autres. Dans AppScanSource for Development, vous pouvez accéder aux filtres partagés si vous utilisezle mode serveur et que vous êtes connecté à AppScan Enterprise Server.

Procédure1. Dans la barre d'outils (voir Chapitre 21, «Vue Editeur de filtre», à la page 141),

cliquez sur Nouveau. Le nouveau filtre porte le libellé Untitled<-nombre> (lepremier filtre sans nom est libellé Untitled, le suivant Untitled-1, etc.).

Remarque : Dans AppScan Source for Development (plug-in Visual Studio),cette vue fait partie de la fenêtre Edition de filtres.

2. Développez les catégories et sélectionnez les critères de votre choix pour lefiltre.

3. Cliquez sur Sauvegarder ou sur Sauvegarder sous.4. Attribuez un nom au filtre et cliquez sur OK. Le nouveau nom du filtre

remplace son libellé Untitled<-nombre> antérieur dans la liste des filtres.

Que faire ensuite

Pour appliquer le filtre, sélectionnez-le dans le menu déroulant de la vue Editeurde filtre.

Remarque : Les filtres qui sont appliqués hors de la vue Matrice de vulnérabilitéspeuvent ne pas affecter la vue Matrice de vulnérabilités. Le bouton de la barred'outils Afficher le nombre de constatations filtrées de la vue Matrice devulnérabilités doit être sélectionné pour que le filtre soit reflété dans la vue Matricede vulnérabilités.

Les filtres peuvent être gérés directement depuis la vue Editeur de filtre ensélectionnant le filtre dans la liste, puis en opérant sur celui-ci, ou en cliquant surGérer les filtres pour ouvrir la boîte de dialogue correspondante, laquelle affichela liste des filtres sauvegardés.v Modification de filtres : Sélectionnez le filtre depuis la vue Editeur de filtre ou

depuis la boîte de dialogue Gestion de filtres, puis modifiez les règles de filtrageet sauvegardez vos modifications.

Remarque : Les filtres intégrés ne peut être ni modifiés ni supprimés.v Suppression de filtres : Sélectionnez le filtre depuis la vue Editeur de filtre ou

depuis la boîte de dialogue Gestion de filtres, puis cliquez sur Supprimer.Depuis la boîte de dialogue Gestion de filtres, vous pouvez sélectionnerplusieurs filtres, puis cliquer sur Supprimer pour les supprimer en une seuleopération.

v Création d'un filtre à partir d'un autre : Vous pouvez modifier un filtre, puiscliquer sur Sauvegarder sous pour enregistrer le filtre modifié sous un autrenom. Ceci vous permet de créer un nouveau filtre en vous basant sur les


paramètres d'un filtre existant. Vous pouvez effectuer cette opération depuis lavue Editeur de filtre ou la boîte de dialogue Gestion de filtres.

Conseil : Il est également possible d'ouvrir un filtre et d'utiliser l'actionSauvegarder sous pour le sauvegarder sous un nouveau nom. Vous pouvezensuite ouvrir le nouveau filtre et le modifier. En choisissant cette méthode, vouspouvez créer un filtre à partir de l'un des filtres intégrés.

v Rétablissement des paramètres de filtrage : Si vous avez modifié les propriétésd'un filtre et désirez annuler ces modifications, cliquez sur Restaurer pourrétablir les paramètres tels que lors de leur dernier enregistrement. Vous pouvezeffectuer cette opération depuis la vue Editeur de filtre ou la boîte de dialogueGestion de filtres. Dans la boîte de dialogue, si les modifications de plusieursfiltres n'ont pas été sauvegardées, le fait de cliquer sur Restaurer rétablira lesparamètres enregistrés de tous les filtres sélectionnés dont les modificationsn'ont pas encore été sauvegardées.

v Partage de filtres (AppScan Source for Analysis seulement) : Pour créer un filtrepartagé, ouvrez un filtre dans l'éditeur de filtre et cliquez sur Partager le filtredans la barre d'outils de la vue Editeur de filtre.

Remarque : Pour modifier, supprimer ou créer des filtres partagés, vous devezdisposer de l'autorisation Gérer les filtres partagés. Pour plus d'informations surla définition des autorisations, voir le manuel IBM Security AppScan Source -Guide d'installation et d'administration.


Chapitre 21. Vue Editeur de filtre

La vue Editeur de filtre permet une manipulation plus granulaire du filtresélectionné que d'autres vues AppScan Source. Elle consiste de tous les élémentsd'après lesquels vous pouvez effectuer un filtrage.

Remarque : Dans AppScan Source for Development (plug-in Visual Studio), cettevue fait partie de la fenêtre Edition de filtres.

Conseil : Dans la section Trace de la vue Editeur de filtre, survolez une entrée detrace pour obtenir des informations sur cette entrée.



Remarques

Le présent document peut contenir des informations ou des références concernantcertains produits, logiciels ou services IBM non annoncés dans ce pays. Pour plusde détails, référez-vous aux documents d'annonce disponibles dans votre pays, ouadressez-vous à votre partenaire commercial IBM. Toute référence à un produit,logiciel ou service IBM n'implique pas que seul ce produit, logiciel ou servicepuisse être utilisé. Tout autre élément fonctionnellement équivalent peut êtreutilisé, s'il n'enfreint aucun droit d'IBM. Il est de la responsabilité de l'utilisateurd'évaluer et de vérifier lui-même les installations et applications réalisées avec desproduits, logiciels ou services non expressément référencés par IBM.

IBM peut détenir des brevets ou des demandes de brevet couvrant les produitsmentionnés dans le présent document. La remise de ce document ne vous donneaucun droit de licence sur ces brevets ou demandes de brevet. Si vous désirezrecevoir des informations concernant l'acquisition de licences, veuillez en faire lademande par écrit à l'adresse suivante :

IBM Director of LicensingIBM CorporationNorth Castle DriveArmonk, NY 10504-1785U.S.A.

Pour le Canada, veuillez adresser votre courrier à :

IBM Director of Commercial RelationsIBM Canada Ltd.3600 Steeles Avenue EastMarkham, OntarioL3R 9Z7Canada

Les informations sur les licences concernant les produits utilisant un jeu decaractères double octet peuvent être obtenues par écrit à l'adresse suivante :

Intellectual Property LicensingLegal and Intellectual Property LawIBM Japan, Ltd.19-21, Nihonbashi-Hakozakicho, Chuo-kuTokyo 103-8510, Japan

Le paragraphe suivant ne s'applique ni au Royaume-Uni, ni dans aucun paysdans lequel il serait contraire aux lois locales.

LE PRESENT DOCUMENT EST LIVRE EN L'ETAT SANS AUCUNE GARANTIEEXPLICITE OU IMPLICITE. IBM DECLINE NOTAMMENT TOUTERESPONSABILITE RELATIVE A CES INFORMATIONS EN CAS DECONTREFACON AINSI QU'EN CAS DE DEFAUT D'APTITUDE A L'EXECUTIOND'UN TRAVAIL DONNE.

Certaines juridictions n'autorisent pas l'exclusion des garanties implicites, auquelcas l'exclusion ci-dessus ne vous sera pas applicable.


Le présent document peut contenir des inexactitudes ou des coquilles. Cedocument est mis à jour périodiquement. Chaque nouvelle édition inclut les misesà jour. IBM peut également, à tout moment et sans préavis, apporter desaméliorations et/ou des modifications aux produits et/ou programmes décrits surle site.

Les références à des sites Web non IBM sont fournies à titre d'informationuniquement et n'impliquent en aucun cas une adhésion aux données qu'ilscontiennent. Les éléments figurant sur ces sites Web ne font pas partie deséléments du présent produit IBM et l'utilisation de ces sites relève de votre seuleresponsabilité.

IBM pourra utiliser ou diffuser, de toute manière qu'elle jugera appropriée et sansaucune obligation de sa part, tout ou partie des informations qui lui serontfournies.

Les licenciés souhaitant obtenir des informations permettant : (i) l'échange desdonnées entre des logiciels créés de façon indépendante et d'autres logiciels (dontcelui-ci), et (ii) l'utilisation mutuelle des données ainsi échangées, doivent adresserleur demande à :

IBM Corporation2Z4A/10111400 Burnet RoadAustin, TX 78758 U.S.A.

Ces informations peuvent être soumises à des conditions particulières, prévoyantnotamment le paiement d'une redevance.

Le logiciel sous licence décrit dans ce document et tous les éléments sous licencedisponibles s'y rapportant sont fournis par IBM conformément aux dispositions del'ICA, des Conditions internationales d'utilisation des logiciels IBM ou de toutautre accord équivalent.

Les données de performance indiquées dans ce document ont été déterminées dansun environnement contrôlé. Par conséquent, les résultats peuvent varier de manièresignificative selon l'environnement d'exploitation utilisé. Certaines mesuresévaluées sur des systèmes en cours de développement ne sont pas garanties surtous les systèmes disponibles. En outre, elles peuvent résulter d'extrapolations. Lesrésultats peuvent donc varier. Il incombe aux utilisateurs de ce document devérifier si ces données sont applicables à leur environnement d'exploitation.

Les informations concernant des produits non IBM ont été obtenues auprès desfournisseurs de ces produits, par l'intermédiaire d'annonces publiques ou viad'autres sources disponibles. IBM n'a pas testé ces produits et ne peut confirmerl'exactitude de leurs performances ni leur compatibilité. Elle ne peut recevoiraucune réclamation concernant des produits non IBM. Toute question concernantles performances de produits non IBM doit être adressée aux fournisseurs de cesproduits.

Toute instruction relative aux intentions d'IBM pour ses opérations à venir estsusceptible d'être modifiée ou annulée sans préavis, et doit être considéréeuniquement comme un objectif.


Tous les tarifs indiqués sont les prix de vente actuels suggérés par IBM et sontsusceptibles d'être modifiés sans préavis. Les tarifs appliqués peuvent varier selonles revendeurs.

Ces informations sont fournies uniquement à titre de planification. Elles sontsusceptibles d'être modifiées avant la mise à disposition des produits décrits.

Le présent document peut contenir des exemples de données et de rapports utiliséscouramment dans l'environnement professionnel. Ces exemples mentionnent desnoms fictifs de personnes, de sociétés, de marques ou de produits à des finsillustratives ou explicatives uniquement. Toute ressemblance avec des noms depersonnes, de sociétés ou des données réelles serait purement fortuite.

LICENCE DE COPYRIGHT :

Le présent logiciel contient des exemples de programmes d'application en langagesource destinés à illustrer les techniques de programmation sur différentesplateformes d'exploitation. Vous avez le droit de copier, de modifier et dedistribuer ces exemples de programmes sous quelque forme que ce soit et sanspaiement d'aucune redevance à IBM, à des fins de développement, d'utilisation, devente ou de distribution de programmes d'application conformes aux interfaces deprogrammation des plateformes pour lesquels ils ont été écrits ou aux interfaces deprogrammation IBM. Ces exemples de programmes n'ont pas été rigoureusementtestés dans toutes les conditions. Par conséquent, IBM ne peut garantirexpressément ou implicitement la fiabilité, la maintenabilité ou le fonctionnementde ces programmes. Vous avez le droit de copier, de modifier et de distribuer cesexemples de programmes sous quelque forme que ce soit et sans paiementd'aucune redevance à IBM, à des fins de développement, d'utilisation, de vente oude distribution de programmes d'application conformes aux interfaces deprogrammation IBM.

Toute copie totale ou partielle de ces programmes exemples et des oeuvres qui ensont dérivées doit comprendre une notice de copyright, libellée comme suit :

© (nom de votre société) (année). Des segments de code sont dérivés desProgrammes exemples d'IBM Corp. © Copyright IBM Corp. _indiquez l'année oules années_. All rights reserved.

Si vous visualisez ces informations en ligne, il se peut que les photographies etillustrations en couleur n'apparaissent pas à l'écran.

Marques

IBM, le logo IBM et ibm.com sont des marques d'International Business MachinesCorp. dans de nombreux pays. Les autres noms de produits et de services peuventêtre des marques d'IBM ou d'autres sociétés. La liste actualisée de toutes lesmarques d'IBM est disponible sur la page Web Copyright and trademarkinformation à l'adresse www.ibm.com/legal/copytrade.shtml.

Adobe, Acrobat, PostScript et toutes les marques incluant Adobe sont des marquesd'Adobe Systems Incorporated aux Etats-Unis et/ou dans certains autres pays.

IT Infrastructure Library est une marque de The Central Computer andTelecommunications Agency qui fait désormais partie de The Office of GovernmentCommerce.

Remarques 145

Intel, le logo Intel, Intel Inside, le logo Intel Inside, Intel Centrino, le logo IntelCentrino, Celeron, Intel Xeon, Intel SpeedStep, Itanium, et Pentium sont desmarques d'Intel Corporation ou de ses filiales aux Etats-Unis et dans certainsautres pays.

Linux est une marque de Linus Torvalds aux Etats-Unis et/ou dans certains autrespays.

Microsoft, Windows, Windows NT et le logo Windows sont des marques deMicrosoft Corporation aux Etats-Unis et/ou dans certains autres pays.

ITIL est une marque de The Office of Government Commerce et est enregistrée aubureau américain Patent and Trademark Office.

UNIX est une marque enregistrée de The Open Group aux Etats-Unis et/ou danscertains autres pays.

Java ainsi que tous les logos et toutes les marques incluant Java sont des marquesd'Oracle et/ou de ses filiales.

Cell Broadband Engine est une marque de Sony Computer Entertainment, Inc., auxEtats-Unis et/ou dans certains autres pays, et y est utilisé sous licence.

Linear Tape-Open, LTO, le logo LTO, Ultrium et le logo Ultrium sont des marquesde HP, IBM Corp. et Quantum aux Etats-Unis et/ou dans certains autres pays.


Index

Aactiver 103application

défini 5AppScan Enterprise Server

certificat SSL 120changer le mot de passe 120

AppScan Sourceconnexion AppScan Enterprise

Server 119certificat SSL 120modifier le mot de passe 120

famille de produits 1for Analysis 1

concepts 5for Automation 1for Development 1problèmes d'accessibilité 16

AppScan Source for Automation 86installation 86syntaxe 88

AppScan Source solidDB 77assistant d'installation de AppScan

Source 57assistant d'installation personnalisée 91,

93, 97, 99attributs

défini 5autorisations 109, 110

BBase de connaissances 1Base de connaissances de sécurité

AppScan Source Security 1bibliothèques OCI 73bibliothèques Oracle Client. 73

Cclassification

couverture d'examen 6définitive 6suspecte 6

compte utilisateur 109migration de Liberty 111

configuration requise 17configuration requise pour JRE version

1.5 81, 84constatations

classification 6création d'administrateurs produit locaux

dans AppScan Enterprise ServerLiberty 113

authentification Windows 114LDAP 113mot de passe chiffré 115

création de filtreéditeur de filtre 139

Ddéploiement 7, 96, 101

groupe de travail d'entreprise 12ordinateur standard 9petit groupe de travail 10

désinstallation 107

Eenregistrement des applications et des

projets 125évaluation 5

FFederal Information Processing

Standard 14fichiers AppScan Source

ewf 127fichiersAppScan Source

epf 127gaf 127gpf 127paf 127ppf 127

filtrearchive prédéfinie 135

accès 137créer

depuis la vue Editeur defiltre 139

partagé 139filtre partagé 139FIPS 14flux de travaux 6

Ggestion des utilisateurs 110

connexion automatique desutilisateurs d'AppScan EnterpriseServer 112

utilisateur de Automation Server 115gestionnaire de licence 103

licenceaffichage 105flottante 104importer 104

groupements 5

Iinstallation

AppScan Enterprise Server 62, 64AppScan Source

groupe de correctifs 89AppScan Source for Automation 86AppScan Source for Development 80base de données AppScan Source 63

installation (suite)enregistrement 75

configurations 109emplacement de fichier 20emplacement des données 20, 59

modification 61emplacement des fichiers 59en mode silencieux 91, 97Microsoft Windows 58modifier le mot de passe IBM

solidDB 133modifier le port IBM solidDB 132OS X 77personnaliser 91plug-in AppScan Source for

Development pour Eclipse 82plug-in AppScan Source for

Development pour VisualStudio 85

plug-in Developer 83, 85plug-in Eclipse 81, 84plug-in Visual Studio 85serveur Linux 93, 99setup.bin 57setup.bin.gz 57setup.exe 57sur une base de données Oracle

existante 68installation en mode silencieux 91, 97installation Linux

setup.bin.gz 57installation personnalisée 91Internet Protocol version 6 14IPv6 14

LLDAP 123ligne de commande

installation personnalisée 95, 101ounceautod 86

Linuxdésinstallation 107installation de plug-in Eclipse 81, 84setup.sh 58, 82

MMicrosoft Windows 17

désinstallation 107migration 3mot de passe 110

NNational Institute of Standards and

Technology 14NIST 14nom d'utilisateur 110nouveautés 2


OOracle 77OS X

désinstallation 107Ounce/Ant 127OUNCE_CONFIG_FILE 92, 95, 98, 101Ounce/Make 127Ounce/Plug-in Maven 127ounceautod 86

Pplug-in AppScan Source for

Development 82ports 131

par défaut 131réacheminement 131

produits 1produits AppScan Source 1projets

défini 5

Rrépertoire d'installation par défaut 20,

58, 59restauration de la base de données

AppScan Source 77

Ssauvegarde de la base de données

AppScan Source 77scénarios d'installation courants 23

installation de tous les composants surune seule machine 24

installation des composants AppScanSource dans un environnement àplusieurs machines 31

intégration avec le serveur AppScanEnterprise Server existant 41

migration de Rational AppScan SourceEdition versions 8.0.x ou antérieuresvers la version 8.6.x 46

setup.sh 58, 82systèmes pris en charge dans Visual

Studio 85

Uutilisateur

audit 117

VVisual Studio

systèmes pris en charge 85vue Editeur de filtre 141vues

Editeur de filtre 141vulnérabilité

définition 5


��

Documents

IBM SecurityAppScan Source Version 9.0 · version 8.0.x ou antérieure vers la version 8.6.x . . 46 ... OS/2 et Windows - Paramètres canadiens Au ... les configurations d'examen