HCL AppScan と Auto Correlation による修正の優先順位付け

2022/9/26 - 読み終える時間: 2 分

Prioritizing the Fix with HCL AppScan and Auto Correlation の翻訳版です。

HCL AppScan と Auto Correlation による修正の優先順位付け

2022年9月26日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

Webアプリケーションは、日々増加するセキュリティの脅威に直面しています。幸い、HCL AppScanのようなアプリケーション・セキュリティ・テスト・プラットフォームは、新しい脆弱性を認識できるように常に進化しています。しかし、DevOpsチームがどんどん速いスピードでコードをリリースしていく中で、問題を修正するのにかかる時間は重要な痛手となり得ます。時には圧倒的なテスト結果に直面する中で、どの問題を修正すべきかの優先順位付けがますます重要になってきています。

HCL AppScanは、AppScan Enterprise と AppScan on Cloudの両方で利用できる IAST ソリューション（Interactive Application Security Testing）を活用した Auto Issue Correlation アルゴリズムにより、このプロセスをより簡単かつ効率的にしています。これらのセキュリティソリューションには、DAST（動的アプリケーションセキュリティテスト）、SAST（静的アプリケーションセキュリティテスト）ツールも含まれており、Auto Issue Correlation はこれらすべてをフルに活用しています。

各テストエンジンにはそれぞれ異なる長所と短所がありますが、Auto Issue Correlationはすべてのデータをまとめて表示することで、長所を引き出します。例えば、DASTは非常に正確な結果を出しますが、SASTやIASTのスキャンのようにコードを見たり、詳細な情報を提供したりすることはできません。しかし、相関関係があれば、SASTとIASTのスキャンを使用して、DASTの結果を確認し、より充実させることができます。

同様に、SAST は圧倒的な数の発見をもたらし、何を優先的に改善すべきかを判断するのが難しくなります。しかし、IAST と DAST のスキャンの精度を SAST の結果と重ね合わせると、明らかに重要な問題のサブセットが生成され、一度に修正することが容易になります。

さらに、SASTによる修正は、DASTやIASTとは異なり、開発者が「箱の中」にいてコードしか見ていないため、検証することができません。これらの追加エンジンからの相関関係によって問題が解決されたことをステータスアップデートの形で確認できれば、ユーザーはSASTに固有の完全なカバレッジと短いスキャン時間に加えて、修正の妥当性を確認することができるようになります。

Auto Issue Correlationは、各IAST、DAST、SASTの問題からデータを抽出し、さまざまなヒューリスティックを使用して相関関係を特定します。これにより、迅速かつ完全に対処できるように問題をグループ化することで、脆弱性と修正タスクの全体数を効果的に削減します。IAST、DAST、SASTの3つのテストエンジンすべてで関連する問題が見つかった場合、その問題は改善するためのリストの最上位に移動します。次に、IASTとDAST、またはIASTとSASTから相関のある問題が見つかります。その後、IASTまたはDASTによって発見された問題が優先されます。そして、これらの修正がすべて完了すると、開発者はSASTのみで見つかった残りの問題に移行することができます。

IAST と Auto Issue Correlation は、セキュリティ問題を修正するための効率的で組織的なアプローチを提供し、開発者とセキュリティチームの両方に、アップデートがどんなに速くても、出荷された製品に大きな信頼を与えることができるのです。

hcltechsw.com/AppScan で詳細をご覧になり、デモを予約してください。