Cover Image

HCL AppScan の一部となった自動問題相関性検出機能
2022/6/27 - 読み終える時間: 3 分

Automatic Issue Correlation Now Part of HCL AppScan の翻訳版です。

HCL AppScan の一部となった自動問題相関性検出機能

2022年6月24日

著者: Nabeel Jaitapker / Product Marketing Lead, HCL Software

アプリケーション・セキュリティの課題を解決する銀の弾丸は存在しません。コアテクノロジー(IAST、DAST、SAST)にはそれぞれ長所と短所があります。

Auto Issue Correlationは、各テクノロジーの長所を生かしながら、他のテクノロジーの長所を生かして短所を克服することを可能にします。さらに、Auto Issue Correlationは、ASTの能力を高め、優先順位付けプロセスを改善し、修復にかかる時間と労力を削減します。例を以下に示します。

  • DASTの問題をIAST/SASTの詳細で充実させます。
  • IAST/DASTの結果の正確性を利用して、SASTの発見に優先順位を付けます。
  • IAST/DAST 課題のステータス更新から SAST 修正を検証します。
  • 課題をグループ化することにより、脆弱性と修正タスクの数を削減します。

課題の自動相関を有効にすると、関連する IAST、DAST、または SAST 課題が見つかるたびに、相関が自動的に更新されます。既存のグループは、新しい問題で自動的に更新され、必要に応じて新しいグループが作成されます。ユーザーによる操作は必要ありません。


動作原理

HCL AppScanのAuto Issue Correlationは、当社のIASTソリューションに基づいています。

IASTは、ランタイムにアプリケーションにアクセスし(DASTのような)、ソースコードを見ることができます(SASTのような)。当社の自動相関アルゴリズムは、IASTの問題をDASTおよびSASTの問題と照合します。各問題からデータを抽出し、様々なヒューリスティックを用いて相関関係を特定します。これにより、改善プロセスの最適化が新たな次元で実現されます。つまり、IASTとAuto Issue Correlationを武器に加えることで、対処すべき課題/脆弱性の全体数を減らすことができるのです。


使用方法

IASTセッションをアクティブにし、Auto Issue Correlationを有効にする必要があります。AppScan on Cloud (ASoC)は相関グループを自動的に作成し、「すべての問題」の下の「相関グループ」タブにそれらを表示します。ASoCは、アプリケーションに新しいissueが追加されると、更新を続け、新しいグループを作成します。

以下はその例です。


ダッシュボード

相関が確認されると、アプリケーションのダッシュボードにある課題チャートに表示されます。

画像の説明


相関関係グループページ

Correlationリンクをクリックすると、アプリケーションのCorrelationページが表示され、含まれている相関グループが一覧表示されます。

画像の説明


グループ内の課題

グループをクリックすると、そのグループの課題が表示されます。

画像の説明


課題の詳細

課題ペインでは、その課題が相関グループや修正グループに属している場合、「関連」セクションに表示されます。

画像の説明

課題の自動相関を有効にすると、関連する IAST、DAST、SAST 課題が見つかるたびに、相関が自動的に更新されます。既存のグループは新しい問題で自動的に更新され、必要に応じて新しいグループが作成されます。ユーザーによる操作は必要ありません。

コードの再利用は、ソフトウェア開発におけるベストプラクティスであることは周知の事実です。しかし、これは、1つの弱いリンクが、アプリに複数のセキュリティ脆弱性を生み出す可能性があることも意味します。下の図は、弱いサニタイザーが複数のSQL Injection脆弱性を引き起こす可能性があることを表しています。REST API 1はRESP API 2と異なるルート/ソースを持つため、スキャン結果では両者の脆弱性は無関係に表示されます。

画像の説明

相関は、単一のタスクとして修復されるべき脆弱性を集約します。

以下の例では、相関グループには、異なるテクノロジー(IASTとDAST)、異なる問題タイプ、異なる深刻度によって検出された問題が含まれていることに注意してください。

Auto Issue Correlationのおかげで、他の方法では関連性が見えなかった多様な問題を、1つの修復作業で解決できます。

画像の説明

詳細およびデモのご予約は製品ページhttps://www.hcltechsw.com/appscan/demo をご覧ください。

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修