Test de pénétration
Les tests de pénétration dans Réponse aux vulnérabilités des applications permettent aux propriétaires de l’application d’évaluer la posture de sécurité de leur application. Il s’agit du test manuel d’une application par l’équipe de piratage éthique.
Rôles requis
Les tests de pénétration nécessitent les rôles suivants :
Gestionnaire App-Sec : contient les gestionnaires de sécurité et les propriétaires d’applications qui gèrent les demandes d’évaluation des tests de pénétration. Il contient les rôles granulaires suivants :
- sn_vul.app_gérer_pen_test_request
- sn_vul.app_lire_tout
- cmdb_read
Hacker éthique : contient les membres de l’équipe de piratage éthique qui effectuent des tests de pénétration des applications. Il comprend les rôles granulaires suivants :
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_gérer_manuel_AVIT
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_lire_tout
- sn_vul.app_gérer_pen_test_request
- sn_vul.app_update_state
Pour en savoir plus sur ces rôles, reportez-vous à la section Réponse aux vulnérabilités des applications Groupes et rôles d’utilisateurs.
À partir de la version 19.0 de Réponse aux vulnérabilités, si vous utilisez le Veracode Vulnerability Integration, les tests d’évaluation de pénétration dans le Veracode Vulnerability Integration sont des résultats manuels de Veracode. Ils ne sont pas liés à des demandes d’évaluation de test de pénétration que vous configurez dans Réponse aux vulnérabilités des applications. Pour plus d’informations sur les évaluations des tests de pénétration de , reportez-vous à Veracode la Veracode Vulnerability Integration section .
Cycle de vie du test de pénétration
En tant que propriétaire d’application, vous pouvez demander à l’équipe de piratage éthique une évaluation par test de pénétration de votre application. L’équipe de piratage éthique donne suite à cette demande et crée les conclusions du test de pénétration. Ces résultats sont des éléments vulnérables d’application (AVI) créés manuellement.
Le workflow de test de pénétration couvre le cycle de vie du test de pénétration, depuis l’envoi de la demande de test jusqu’à la résolution des conclusions de l’équipe de piratage éthique.
Demander une évaluation de test de pénétration
À partir de la version 19.0, vous pouvez créer de nouvelles demandes ou copier des demandes existantes sur .
Avant la version 19.0, en tant que propriétaire de l’application, vous pouvez demander une évaluation de test de pénétration pour votre application à l’aide du catalogue de services ITSM.
Examen de la demande d’évaluation de test de pénétration
L’équipe de piratage éthique examine et évalue l’application ainsi que le périmètre de la demande d’évaluation de test de pénétration, et les ajoute au backlog existant.
Préparation d’un environnement
L’équipe de piratage éthique envoie ensuite une demande au propriétaire de l’application pour lui fournir un environnement pour commencer les tests. Une fois que l’environnement est prêt, le propriétaire de l’application en informe l’équipe de piratage éthique.
Pour plus d’informations sur la configuration des demandes de test, reportez-vous à la section Configurer le test de pénétration.
Test et génération de rapports sur les résultats du test de pénétration
L’équipe de piratage éthique peut créer une bibliothèque d’entrées de vulnérabilité d’application (AVE) et les réutiliser lors de la génération de rapports sur les AVI. Ils peuvent également suivre l’état des résultats du test de pénétration.
Corriger et valider les conclusions du test de pénétration
Une fois les résultats du test de pénétration corrigés et résolus par l’équipe d’application, les correctifs sont validés manuellement et fermés par l’équipe de piratage éthique.
Rapports Gestion de la vulnérabilité des applications
Utilisez les rapports disponibles sur le tableau de Gestion de la vulnérabilité des applications bord PA pour suivre les résultats des tests de pénétration.