Test de pénétration
Les tests de pénétration dans Réponse aux vulnérabilités des applications permettent aux propriétaires d’applications d’évaluer la posture de sécurité de leur application. Il s’agit du test manuel d’une application par l’équipe de piratage éthique.
Rôles requis
Le test de pénétration nécessite les rôles suivants :
Gestionnaire de sécurité des applications : contient les gestionnaires de sécurité et les propriétaires d’applications qui gèrent les demandes d’évaluation des tests de pénétration. Il contient les rôles granulaires suivants :
- sn_vul.app_manage_pen_test_request
- sn_vul.app_lecture_tout
- cmdb_read
Hacker éthique : contient les membres de l’équipe de piratage éthique qui effectuent des tests de pénétration des applications. Il comprend les rôles granulaires suivants :
- sn_vul.app_update_assignment_group
- sn_vul.app_update_assigned_to
- sn_vul.app_manage_manual_avits
- sn_vul.app_manage_pen_test_request_config
- itil
- sn_vul.app_lecture_tout
- sn_vul.app_manage_pen_test_request
- sn_vul.app_update_state
Pour en savoir plus sur ces rôles, reportez-vous à Réponse aux vulnérabilités des applications Groupes et rôles d’utilisateurs.
À partir de la version 19.0 de , si vous utilisez , Veracode Vulnerability Integrationles tests d’évaluation Réponse aux vulnérabilitésde pénétration dans le Veracode Vulnerability Integration sont des résultats manuels de Veracode. Elles ne sont pas liées aux demandes d’évaluation de test de pénétration que vous configurez dans Réponse aux vulnérabilités des applications. Pour plus d’informations sur les évaluations des tests d’intrusion de Veracode, reportez-vous à la Veracode Vulnerability Integrationsection .
Cycle de vie des tests d’intrusion
En tant que propriétaire de l’application, vous pouvez demander à l’équipe de piratage éthique d’évaluer votre application par un test d’intrusion. L’équipe de piratage éthique agit sur cette demande et crée des résultats de test d’intrusion. Ces résultats sont des éléments vulnérables de l’application (AVI) créés manuellement.
Le workflow du test d’intrusion couvre le cycle de vie du test d’intrusion, de l’émission de la demande de test à la résolution des conclusions de l’équipe de piratage éthique.
Demande d’évaluation de test de pénétration
À partir de la version 19.0, vous pouvez créer de nouvelles demandes ou copier des demandes existantes à l’adresse suivante : .
Avant la version 19.0, en tant que propriétaire de l’application, vous pouvez demander une évaluation de test de pénétration pour votre application à l’aide du catalogue de services ITSM.
Examen de la demande d’évaluation de test de pénétration
L’équipe de piratage éthique examine et évalue l’application et le périmètre de la demande d’évaluation du test d’intrusion, et l’ajoute au backlog existant.
Préparation d’un environnement
L’équipe de piratage éthique envoie ensuite une demande au propriétaire de l’application pour lui fournir un environnement pour commencer les tests. Une fois que l’environnement est prêt, le propriétaire de l’application informe l’équipe de piratage éthique.
Pour plus d’informations sur la configuration des demandes de test, reportez-vous à la section Configurer les tests de pénétration.
Test et communication des résultats du test de pénétration
L’équipe de piratage éthique peut créer une bibliothèque d’entrées de vulnérabilité d’application (AVE) et les réutiliser lors de la génération de rapports sur les AVI. Ils peuvent également suivre l’état des résultats du test d’intrusion.
Correction et validation des conclusions du test de pénétration
Une fois que les résultats des tests d’intrusion sont corrigés et résolus par l’équipe d’application, les correctifs sont validés manuellement et fermés par l’équipe de piratage éthique.
Rapports Gestion de la vulnérabilité des applications
Utilisez les rapports disponibles sur le Gestion de la vulnérabilité des applications tableau de bord PA pour suivre les résultats du test de pénétration.