Considérations de sécurité pour Rational ClearQuest

Vous pouvez entreprendre des actions pour assurer que votre installation est sûre, pour personnaliser vos paramètres de sécurité et pour configurer des contrôles d'accès. Vous pouvez également vérifier que vous connaissez les limitations de sécurité que vous pouvez éventuellement rencontrer dans cette application.

Activation de la sécurité lors du processus d'installation

IBM® Rational ClearQuest dispose de plusieurs composants installables qui sont classifiés en tant que composants de bureau ou en tant que composants serveur. Pendant le processus d'installation, vous disposez de quelques options qui ont directement trait à la sécurité. Toutefois, vous pouvez effectuer ces étapes de configuration avant et après l'installation afin d'améliorer la sécurité des applications ClearQuest.
  • Les applications de bureau comprennent le client ClearQuest et le client ClearQuest for Windows. Afin que ces clients fonctionnent, vous devez créer des connexions à vos bases de données ClearQuest. Pour créer ces connexions dans un système Windows, vous pouvez utiliser l'outil de maintenance de ClearQuest. Pour créer ces connexions dans un système UNIX ou Linux, vous pouvez utiliser l'utilitaire de ligne de commande cqreg.
  • Un serveur Web ClearQuest s'exécute sur le serveur IBM WebSphere Application Server. Suivez les instructions générales pour améliorer la sécurité de votre déploiement WebSphere Application Server. Il est également possible de configurer les composants Web The ClearQuest afin d'améliorer la sécurité. Il est recommandé de toujours utiliser des connexions https en SSL pour vous connecter au serveur Web ClearQuest avec votre navigateur car les données d'identification de l'utilisateur sont transmises par cette connexion. Le protocole SSL chiffre toutes les données transmises par une connexion https.

Activation d'une communication sécurisée entre plusieurs applications

IBM Rational ClearQuest s'intègre à plusieurs types d'applications. Utilisez toujours des connexions https en SSL entre le serveur Web ClearQuest et une application Web.

Ports, protocoles et services

Configurez le serveur Web IBM Rational ClearQuest afin qu'il utilise le protocole SSL https.

Personnalisation de vos paramètres de sécurité

  • Il est important de configurer les paramètres du serveur WebSphere Application Server pour disposer de niveaux élevés de sécurité. Pour plus d'information, voir la Note technique 1628378.
  • Le niveau de fonctionnalité 7 utilise des algorithmes de chiffrement encore renforcés par rapport aux précédents niveaux de fonctionnalité. Pour plus d'informations, voir la section Fonctionnalités des niveaux de fonctionnalité.
  • ClearQuest prend en charge la configuration des normes de chiffrement FIPS 140-2. Il est recommandé de configurer ClearQuest pour cette norme. Pour plus d'informations, voir la section Configurer un chiffrement de données compatible avec FIPS 140-2.

Configuration des rôles et des accès utilisateur

  • ClearQuest gère les enregistrements de gestion des changements d'une organisation, d'un service ou d'un projet dans une base de données appelée base de données utilisateur. Pour plus d'informations, voir la section Bases de données utilisateur. Un déploiement peut impliquer une seule ou plusieurs bases de données utilisateur. Il est éventuellement possible de regrouper plusieurs bases de données dans un référentiel de schémas qui contient tous les flux de travaux de processus et qui s'appelle schémas. Pour plus d'informations, voir la section Schémas et référentiels de schémas.
    • Le meilleur isolement de données s'obtient en disposant de bases de données utilisateur distinctes par projet et par organisation. Il est possible de contrôler qui peut accéder aux données d'une base de données en accordant des accès utilisateur. Chaque base de données nécessite un nom de connexion distinct pour pouvoir accéder aux données qu'elle contient. Les références ClearQuest aux enregistrements de données ne traversent pas les bases de données utilisateur. Les enregistrements peuvent faire référence à des données dans d'autres bases de données utilisateur à l'aide des adresses URL REST dans les remarques ou à l'aide des liens Open Services for Lifecycle Collaboration (OSLC) si des configurations spéciales sont mises en oeuvre.
    • Il est souvent souhaitable que plusieurs projets ou organisations puissent accéder l'un l'autre à tout ou partie de leurs données. Dans ce genre de situation, il est commode de ne disposer que d'une seule base de données utilisateur. ClearQuest dispose d'une fonction appelée contexte de sécurité que vous pouvez utiliser pour masquer des enregistrements de données provenant d'utilisateurs qui ne sont pas membres d'un groupe de contrôle d'accès spécifique. Etant donné que toutes les données se trouvent dans un seul référentiel, il est possible d'utiliser les références ClearQuest aux enregistrements de données. Vous devez veiller à protéger et à masquer ces enregistrements à l'aide de la fonction de contexte de sécurité. Pour plus d'informations sur la fonction de contexte de sécurité et sur la création d'un modèle de sécurité, voir la section Création d'un modèle de sécurité.
    • ClearQuest utilise un modèle de contrôle d'accès basé sur les rôles (RBAC, role-based access control) pour appliquer une sécurité à un espace de travail. Les droits sur les dossiers d'espace de travail autorisent un niveau de contrôle élevé sur la visibilité et la modification des dossiers d'espace de travail en permettant aux utilisateurs disposant de privilèges Administrateur de sécurité et Administrateur de dossiers publics d'affecter des droits à des groupes d'utilisateurs sur des dossiers spécifiques. Pour plus d'informations, voir la section Introduction aux droits des dossiers d'espace de travail.
    • ClearQuest dispose d'un système à personnalisation poussée permettant de contrôler qui peut effectuer une action spécifique à l'aide de points d'ancrage. Les points d'ancrage sont des points d'entrée, similaires à des déclencheurs, pour les scripts qui s'exécutent à des moments spécifiques permettant de contrôler la façon dont les utilisateurs travaillent dans un environnement ClearQuest. Les points d'ancrage de contrôle d'accès par action peuvent contrôler qui dispose des droits de modification de la valeur des enregistrements. Les points d'ancrage de contrôle d'accès par zone appliquent des droits d'accès, ne permettant ainsi qu'aux groupes d'utilisateurs que vous indiquez de modifier les valeurs de zone. Pour plus d'informations, voir la section Points d'ancrage.
  • ClearQuest dispose d'un outil d'Administration des utilisateurs permettant d'ajouter des utilisateurs et des groupes d'utilisateurs, contrôlant ainsi les accès aux bases de données ClearQuest. Les utilisateurs et les groupes sont ajoutés au référentiel de schémas maître. Ils sont ensuite abonnés à des bases de données utilisateur spécifiques. Cet abonnement permet de contrôler quels utilisateurs peuvent accéder à une base de données. Pour plus d'informations, voir la section Gestion des comptes utilisateurs.
  • ClearQuest dispose de deux sortes d'authentification d'utilisateur : une dépendant de ClearQuest et une autre dépendant de LDAP.
    • L'authentification LDAP est préférée car la plupart des serveurs LDAP disposent d'une mise en application de règles sur les mots de passe, comme le niveau de sécurité minimal d'un mot de passe et le verrouillage après un nombre excessif de tentatives infructueuses. Pour plus d'informations, voir la section Utilisation de LDAP avec ClearQuest.

      Utilisez le protocole SSL pour transmettre tout en sécurité les données d'identification de l'utilisateur entre l'application ClearQuest et le serveur LDAP. Pour plus d'informations, voir la section Définition des informations d'une connexion LDAP ClearQuest pour l'utilisation du protocole SSL.

    • L'authentification ClearQuest dispose d'une mode simple d'authentification où le nom d'utilisateur et le mot de passe chiffré sont stockés dans la base de données ClearQuest. Il n'y a aucune application de règles sur les mots de passe.
  • Vous pouvez accorder à des utilisateurs les privilèges d'effectuer certaines opérations restreintes dans ClearQuest. Le privilège Superutilisateur accorde tous les droits. Le superutilisateur peut ensuite accorder des privilèges à d'autres utilisateurs. Pour plus d'informations, voir la section Droits utilisateur.
  • Lorsque ClearQuest crée une base de données utilisateur, il crée en même temps cinq comptes utilisateur afin de tester le déploiement test initial. Ces comptes sont admin, engineer, lead, QE et user. Il est recommandé de renommer le compte admin avec un autre nom difficile à deviner pour des agresseurs potentiels et de lui attribuer un mot de passe complexe. Il est également recommandé de modifier les autres comptes préchargés. Pour ce faire, vous pouvez modifier le nom de ces comptes afin de rendre service aux véritables utilisateurs. Autrement, vous pouvez marquer ces comptes utilisateurs comme inactifs, utiliser un ensemble complexe de caractères pour leur nom d'utilisateur et leur mot de passe ou supprimer tous leurs privilèges. Il est impossible de supprimer les comptes utilisateur de ClearQuest. Ils ne peuvent qu'être marqués comme inactifs.

Remarques sur les règles de confidentialité

Selon les configurations déployées, cette offre logicielle utilise des cookies qui peuvent éventuellement contenir des informations personnelles identifiables. Pour des informations sur l'utilisation des cookies faite par cette offre, voir la rubrique Mentions.

Rational ClearQuest stocke certains cookies persistants et des cookies de session sur le client Web. Il est possible de désactiver le stockage des cookies persistants. Pour des informations sur les cookies persistants et les cookies de session, voir la section Cookies persistants et cookies de session.

Limitations de sécurité

Rational ClearQuest n'a de cesse d'améliorer les aspects de sécurité ses composants et de remédier aux problèmes rencontrés. Envisagez de mettre ClearQuest à niveau vers ses dernières versions lorsqu'elles sont disponibles. En effet, ces versions peuvent éventuellement contenir des améliorations de la sécurité ou des corrections. Surveillez les bulletins flash de sécurité de ClearQuest et de WebSphere Application Server. Ils peuvent contenir des alertes de sécurité et des informations sur les actions à effectuer.


Commentaires