テクてく Lotus 技術者夜会 (2020年5月22日) 開催のお知らせ

2020/5月/15 - 読み終える時間: ~1 分

昨今の状況もあり、ちょっと間が開いてしまいましたが、2020年5月22日 17時-19時、「テクてく Lotus 技術者夜会」を Web ミーティング 形式で開催します。

今回の夜会は 2020年4月にリリースされ HCL Domino Volt 特集です。内容は概要説明から技術解説まであり、Volt がはじめての方からある程度触っている方までご参加いただけるかと考えております。

参加資格はありません。どなたでもご参加できます。もちろん無料です。堅苦しくなく、ちょっとゆるい感じの集まりです。お気軽にご参加ください。

詳細および申し込み方法は以下のページをご参照ください。

テクてく Lotus 技術者夜会 (2020年5月22日) のご案内

サンプルアプリのお披露目セッションでは、HCL Master からのサンプルアプリの紹介もあります。サンプルアプリを作成された方で我こそは、という方はお申し込み時にご連絡ください。当日の飛び入りも歓迎です。


HCL Notes/Domino 11.0.1 障害修正リスト (Fix List) 日本語版

2020/5月/13 - 読み終える時間: ~1 分

HCL Notes/Domino 11.0.1 障害修正リスト (Fix List) 日本語版をだしました。

サポート技術情報: HCL Notes/Domino 11.0.1 障害修正リスト (Fix List)


HCL Notes 11.0.1 IF1 がリリースされました

2020/5月/13 - 読み終える時間: ~1 分

HCL Notes 11.0.1 で発生している問題を修正した HCL Notes 11.0.1 IF1 (Interim Fix 1) がリリースされました。詳細情報は以下のページに記載されています。IF 1 はクライアント用 (Windows 版の Standard 版と Basic 版、Mac 版) のみで、Domino 用はリリースされません。Windows 版は約 50MB、Mac 版は 20MB です。IF は言語非依存です。インストール画面が英語表記ですが問題ありません。

以下のクラッシュする問題が本修正プログラムで解消されています。

サポート技術情報: HCL Notes および Designer がプロパティ画面の操作中にクラッシュする

障害修正リストを含めたリリース情報は以下を参照してください。

サポート技術情報: Notes/Domino 11.0.1x の Interim Fix について

macOSでは以下の事象が発生します。ご注意ください。

サポート技術情報: Mac Catalina 10.15.x で Notes のインストーラー実行時にエラーが発生する


SAST 満足 (SAST-isfaction) を得られないとお考えですか

2020/5月/13 - 読み終える時間: 3 分

2020年4月14日、英語版ブログに "Think You Can’t Get No SAST -isfaction? Think Again" がポストされました。その翻訳版を掲載します。


SAST満足(SAST-isfaction) を得られないとお考えですか

Rob Cuddy

HCL

アプリケーションのセキュリティーに精通しているならば、静的分析セキュリティーテスト (SAST) という用語を聞いたことがあるでしょう。しかし、どれだけ役立っていますでしょうか。あなたやチームに付加価値を与えていますでしょうか。より高品質のソフトウェアをより素早く提供するのに役立っていますか。それとも、開発過程における必要悪だと見なされていますか。脆弱性の可視性は得られているでしょうか。実際の問題を見つけるのに、ノイズをふるいにかけるために多くの時間を費やしていませんか。HCL では、静的解析を最大限に活用し、探している SAST 応答を取得するときがきたと考えています。

SAST -isfactionを見つけるのが難しいのはなぜでしょうか

共有する情報がある限り、それを保護する必要がありました。歴史を通じて、メソッドを使用してデータを非表示または難読化する多くの例があります。たとえば、中世の時代には暗号文の記録があります。その前は、エジプト人には象形文字があり、楔形文字はすべてメソポタミア全体にありました。

第二次世界大戦前後から、情報はデジタル形式で共有され、情報セキュリティーが生まれました。今回の最も注目すべき例は、エニグマボンバのマシンです。それ以来、コンピュータはあらゆる業界に導入され、何十億行ものコードが書かれてきました。また、コードセキュリティーの必要性も高まっています。Lint 呼ばれる最初の実際の静的分析セキュリティーテスト (SAST) ツールは1978年に登場しました。これは、一般的なコードエラーとコード構成の問題を検出するために作成され、コンパイラによってこれらのフラグが立てられています。

今日のペースの速い開発の世界に早送りし、エラーや脆弱性を見つける必要性がかつてないほど広まっています。しかし、最新のセキュリティーチームは、スキャンを適切に構成することに関してプレッシャーを感じています。潜在的なソース、シンク、字句解析、汚染、呼び出し (または制御フロー) グラフのめまいがする配列を考えると、不思議ではありません。これらすべてのオプションは、対処する2つの大きなハードルを意味します。

ろくでもない偽陽性

Lintの背後にある基本的なアイデアは素晴らしかったが、フラグが立てられたすべてのものが実際のエラーとして簡単に検証できるわけではないため、誤検知の可能性が高かった。誤検知は、テストで脆弱性が宣言されたときに発生しますが、実際にはそうではありません。テスト診断は、ある種のルール違反が発生したと判断し、問題です。これはさまざまな理由で発生する可能性がありますが、一般的な理由は、使用されるツールがアプリケーションコードを通過するデータを完全に追跡できないことです。ほとんどの SAST ツールは、注意を怠ってエラーが発生し、不明確な場合はエラーとしてフラグを立てます。

誤検知の主な問題は、対処すべきノイズが多いことです。これは、チームが問題を調査し、何かが本当の問題であるかどうかを特定するためにより多くの時間を費やす必要があることを意味します。また、チェック対象の量が多いため、チームが実際の問題を見逃しやすくなります。

そして、偽陰性

そして、何かを逃すことは潜在的にはるかに大きな問題です。コードに簡単に公開される可能性のある実際の脆弱性があり、使用されたツールがそれらを評価しなかった、またはそれらを検出するための適切なルールがあった場合はどうなりますか?私たちのチームがシステムをテストするための最良の方法を見つけるために多くの時間を費やしている場合、これらの種類の問題は長期間検出されなくなります。

私たちが持っているようにすべてをテストしたかどうかわからない場合はどうなりますか?特にそれがAPPLに来るときの ICA ション・プログラミング・インターフェース (API)。たとえば、開発チームが最新バージョンのSpringの利用を開始することを決定したとします。現在のバージョン (この記事の執筆時の5.2.5)、400以上のパッケージが含まれています。平均して、セキュリティー専門家は API のセキュリティーへの影響を1?10分で評価できます。これらのパッケージを使用して開発された API について、それぞれに保証が必要だと想像してください。つまり、1人の専任担当者がすべてを手動で評価するには、最大2か月かかる可能性があります。他に何もしない小さな専任チームであっても、完了するまでに1週間以上かかる可能性があります。考慮すべき他の API とフレームワークがある場合、問題はさらに悪化します。

朗報: 救いはここにあります

現在、InfoSecチームの88%は、平均して週に25時間を超える脆弱性の調査と検出を行っています。つまり、実際の問題ではないものを追跡するのに費やされる時間はコストがかかります。そして、潜在的な問題を見逃すことは破滅的となる可能性があります。HCL AppScan には、これらの問題の両方に対処するために特別に設計された独自の機能があることをすでにご存じかもしれません。現在バージョン10では、 HCL は一般的な SAST エンジンを利用して、クラウド製品の分析力をオンプレミスにもたらします。これにより、 AppScan はハイブリッド環境での静的テストに最適です。

https://ponemonsullivanreport.com/2018/08/the-value-of-artificial-intelligence-in-cybersecurity/ https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0077301

ノイズを制限する

HCL AppScanには、誤検知によるノイズに対処するように設計された拡張機能を備えています。これを Intelligent Finding Analytics (IFA) と呼びます。簡単に言うと、 IFA は機械学習機能を使用して誤検知を除外するため、不要です。IFA は数秒で結果をトリアージし、数万のリストをはるかに管理しやすい意味のあるものに変えることができます。実際に HCL は、 IFA が誤検知を最大98%削減することを確認しています。その時間の節約だけでも IFA に価値があります。しかし、IFA はそこで止まりません。

https://www.brighttalk.com/webcast/17840/372461/what-can-a-i-do-for-your-devsecops-program

ノイズを除去することに加えて、 IFA はさらに一歩進んで、残りの結果に優先順位を付け、関連するグループに整理します。これにより、対象を絞った改善策の提案を提供することにより、結果をすぐに実行可能にすることができます。問題の修正に関しては、どこから始めればよいかを推測する必要がありません。IFA を使用すると、開発者は自分の努力がどこに最も影響を与えるかについて、より良い感覚を持つことができます。

誤った安心感の回避

マイクロサービスを作成している場合や API を利用している場合は、変更を考慮することが重要です。そのため、 HCL にはIntelligent Code Analytics (ICA) があります。ICA の自動機械 ICA ll yの発見とは、新しい API を検出し、それらを適切に評価しています。そのため、セキュリティーチームが数週間かけて独自のマークアップを作成する必要がなく、 ICA の機械学習機能を、自信を持って活用できます。そして、あなたは数秒でそれを行うことができます。

ICA は、サードパーティの API とフレームワークのレビューを確実にし、それぞれに適切なセキュリティーの影響を割り当てます。これにより、より完全なスキャン結果、より正確な発見、およびより高い信頼が可能になります。

そして今、それはDevOpsにとってさらに良い

静的テストにはコードベースの深い知識が含まれるため、他のタイプのセキュリティーテストでは不可能な脆弱性が見つかります。ただし、これはより複雑になることも意味します。これは、開発パイプラインに統合するのが難しい場合があります。HCL は、優れた SAST をより簡単かつ効率的に行うためのいくつかの優れた新機能を導入しています。

Project Pizza

スキャンを小さなスライスに分割して、マルチスレッドを利用し、並列で実行します。速度をさらに向上させるために、これらも最初のスキャンでキャッシュし、後続のスキャンで新しいコードを含むもののみをスキャンします。

暗黙的なセキュリティー

新しいユーティリティを活用してリアルタイムで分析することで、開発者を置き去りにする必要がありません。CodesweepはVSCode IDEチェッカーで、最新のコード変更を自動的に分析して、開発者に調査結果をリアルタイムで通知します。 https://marketplace.visualstudio.com/items?itemName=HCLTechnologies.hclappscancodesweep

Bring Your Own Language (BYOL) カスタムスキャナーの開発を可能にし、ソースコードに対して直接脆弱性分析を迅速に実行するための新しいフレームワーク。これらは、 AppScan デプロイメントに簡単に組み込むことができます。ベンダーが新しい言語のサポートを構築するまで数ヶ月待つ必要はもうありません。

したがって、今日静的テストを実行していて、 SAST 化されていない場合は、 HCL AppScan バージョン10 を再検討するか、 HCL AppScan on Cloudの30日間の無料試用にサインアップすることをお勧めします、探していた SAST -isfactionを見つけられることでしょう。


ニュース: 2020年5月11日: 2020年第1四半期のHCL ソフトウェア製品リリース

2020/5月/12 - 読み終える時間: ~1 分

四半期に一度、HCL ソフトウェアではリリースした/予定の製品一覧についてリリースしています。

ニュース: 2020年5月11日: 2020年第1四半期のHCL ソフトウェア製品リリース


AppScan: 開発者がアプリケーションセキュリティーの脆弱性を自分で管理できるようにする

2020/5月/12 - 読み終える時間: 2 分

2020年5月7日、英語版ブログに "Empower Your Developers to Manage Application Security Vulnerabilities on their Own" が掲載されました。その翻訳版を掲載します。


開発者がアプリケーションセキュリティーの脆弱性を自分で管理できるようにする

Florin Coada

HCL

過去数年間、誰もがセキュリティーをより真剣に受け止めていることは心強いことです。個人レベルと企業レベルの両方 (およびその間のすべて) で、ユーザーがセキュリティー侵害の潜在的な被害者にならないようにと、関心がさらに高まっています

私は「セキュリティー違反 (cyber-attack)」ではなく「サイバー攻撃 (security breach)」と言いたくなりましたが、実際には、多くの場合、これらは複雑な攻撃ではなく、まったく攻撃ではありません。誰かが基本的なことをカバーするのを忘れており、攻撃者や好奇心の強い個人がシステムの弱点を悪用している。デフォルトの資格情報の変更を忘れ、管理ポータルへの匿名アクセスを許可し、外部からのデータを消去しない例がいくつかあり、この手のことが多数あります。

アプリケーションセキュリティーの台頭

企業がこれらのミスを回避し、頭痛の種になる前にそれらを見つけることができるツールの大きな市場があります。最近多くの注目が集まっている分野の1つは、アプリケーションセキュリティーです。BA や Equifax などで発生した最近の高レベルの違反により、このセキュリティーセグメントが拡大し、注目が集まっています。

ただし、アプリケーションセキュリティーは興味深い課題です。私たちのゴールは、開発者がより良いコードを記述し、コードのバグのリリースを回避し、潜在的なセキュリティー違反を防ぐことを支援することです。

これにはいくつかのアプローチがあり、それらにはすべてメリットがあります。昔ながらのアプローチでは、セキュリティーチームが脆弱性を発見するために活用したツールを利用し、その後、脆弱性のリストを開発者に送信して修正してもらいました。

開発者に脆弱性を修正する力を与える

最近、状況は少し変化しました。より最近のアプローチは、自動化ツールがセキュリティーに代わってこの分析を実行し、開発者が結果を受け取って、問題を自分で修正できるようにすることです。これは簡単に聞こえますが、このプロセスをセットアップし、開発者に、ツールが生成する何百もの問題のどれを優先すべきかを教育することは、非常に困難な場合があります。

アプリケーションセキュリティープログラムを開発チームに展開した人なら誰でも、簡単に受け入れられる話ではないことに同意するでしょう。その結果として、一部の組織では対局にある別のアプローチを試すことにしました。そもそも問題がなければツールを使用する必要はありません。ツールを使用するにしても修正すべき発見事項が少なくなるはずです。

入力を無害化し、信頼できるコンポーネントを使用する

そもそもセキュリティーの問題が発生しないようにするには、ベストプラクティスについて人々を教育する必要があります。アプリケーションのセキュリティーに関して、私はこのアドバイスを次のように要約します。「入力をサニタイズする」と「信頼できるコンポーネントを使用する」です。アプリケーションのセキュリティー教育は素晴らしいように聞こえますが難しい問題です。これらのトレーニングはすべて、仮想の (場合によっては実際の) 教室で行われます。もしあなたが私のような人なら、仮想学習は魅力的な教育アプローチかもしれません。しかし、日々取得する知識を使用しない限り、次のステップに進むと簡単に忘れてしまいがちです。

どちらのアプローチにもメリットがあり、さまざまな課題が伴いますが、私の個人的なお気に入りは、物事を学ぶことです。ここで、私たちは何年にもわたって消費者ベースのテクノロジーで使用されてきたコンセプトを使用することに決めました。誰もがスペルチェッカーとその機能に精通しており、書かれたテキストを作成するときに、誰もがその赤い下線を避けたいと思っています。そのアプローチと同様に、 AppScan CodeSweepを作成しました。CodeSweepはVS Codeで動作する AppScan (完全無料) の最初のコミュニティエディションです。

「自分のコードは本当に危険か?」

CodeSweepの目的は単純です。コードを記述しているときに開発者が問題を見つけやすくし、問題を修正する方法がわかり、適切な質問を行い、最初の段階でセキュリティーの問題を回避できるようにすることです。私たちの目標は、新しいセキュリティー・スペシャリスト・ツールを作成することではありません。目標は、コードが本当に危険であるかどうかを直感的に訓練し、コードのどの要素がそうすることができるかを説明するツールを作成することでした。この質問に答えれば答えるほど、ツールに促されることなく、将来的に分析を実行できる可能性が高くなります。ここに短いデモがあります。

YouTube: HCL AppScan - Introducing HCL AppScan CodeSweep

この最終結果、優れたセキュリティープラクティスを学ぶことができます。長時間のクラスルームスタイルのレッスンを受講することや、コードで何かを見つけたときにセキュリティーによって指摘されるのを待つこともありません。

開発者としてあなたは何もこれまでと異なることを行う必要はありません。セキュリティーからの長いレポートも、仕事の流れを壊すトレーニングもありません。コードを記述して、自分の質問に答えるだけです。適切な質問をするタイミングを示すべく私たちは待機しています。

もっと詳しく知る

以上のことはしっかりしたアプローチのように聞こえましたでしょうか。実際に動かして学びたい、そして開発者としてのセキュリティーについてもっと学びたい場合は CodeSweep のページに行ってみてください。

Visual Studio Marketplace: HCL AppScan CodeSweep

私たちはユーザーやこのトピックに関心のある人と話すのが大好きです。コミュニケーションを取りたい場合はコミュニティーに参加することをお勧めします。

Slack: CodeSweep Community



AppScan: アプリケーションセキュリティーの先見者

2020/5月/11 - 読み終える時間: ~1 分

2020年5月8日に英語版ブログに "AppScan, an Application Security Visionary" がポストされました。その翻訳版を掲載します。AppScan の製品管理責任者の AppScan に対する思いが綴られています。


AppScan 、アプリケーションセキュリティーの先見者

Eitan Worcel

Product Manager AppScan

Gartnerは最近、アプリケーションセキュリティーに関する2019年のMagic Quadrantレポートをリリースしました。皆様が HCL AppScan に対して信頼していられると、私が信じる理由について、いくつかの背景と解説をしたいと思います。私は AppScan チームの一員として働いて15年になります。私はもともと2007年1月にWatchfireに入社し、その年の後半に AppScan の買収により IBM に移籍しました。その15年間に、AppScan が顧客やアナリスト企業から業界のリーダーであると繰り返し見られていた栄光の時代があり、一部のお客様からビジネスへのコミットメントに対する疑問符がついた、あまり栄光とは言えない数年間も体験してきました。

正直なところ、2017年1月に HCL とのパートナーシップが発表された後、 AppScan には不確実性がありました。その時点では、多くのお客様と同様に、このパートナーシップの意味がわかりませんでした。HCL は製品に投資するのだろうか。それとも単にその大規模な既存顧客をサポートする別のビジネスを形成するために買収するのだろうか。その不確実性と、競合他社からのさまざまなささやきが相まって、 AppScan の将来と、そのビジョンを実行する当社の能力についての懸念を聞くに至っても大きな驚きではありませんでした。

しかし、不確実性 (uncertainty) が疑い (doubt) につながる可能性があるのと同様に、それは大きな約束にもつながる可能性があります。HCL との最初のパートナーシップから3年以上が経過しました。2017年のその日以来、多くの約束が実現したことを誇りに思います。HCL は AppScan ビジネスに多大なコミットメントを示し、疑念を取り除きました。ほんの一例として、2017年3月以降、 HCL は開発チームの規模を2.5倍以上、セキュリティー調査チームを4倍に拡大し、製品管理チームを2倍に増やしました。このハードワークと製品への投資はすべて、今年の初めに、高速で正確なアジャイルセキュリティーテストを備えた HCL ブランドの最初のメジャーバージョンである AppScan V10のリリースに結実し最高潮に達しました。

AppScan V10は、新しいパッシブ IAST 製品、テストの最適化、インクリメンタル DAST スキャンAIを利用した SAST、 AppScan CodeSweepなどの機能強化を備え、 HCL への正式な移行からわずか9か月後にリリースされました。それ自体が印象的なリリースですが、さらに驚くべきことは、チームがお客様を混乱させることなく新会社に移行したことです。実際、NPSで測定したお客様の満足度は80%向上しました。先週、大手保険会社のサイバーセキュリティー担当シニアディレクターから次のメモが届きました。

「私たちは何年にもわたって AppScan の顧客でしたが、最近の HCL による買収にされた以降は、(AppScan に関して) テクノロジーへの協調投資が実際に行われていることを認識できるようになりました。過去1年ほどの間、機能強化の数は非常に多く、 HCL によって提供されるロードマップは、アプリケーションのセキュリティー戦略に直接対応しています。HCL との継続的なパートナーシップを楽しみにしています。」

このすばらしいニュースをすべて聞いて、「なぜ Gartner のアナリストは AppScan をリーダーの象限に含めないことにしたのか」と皆様は思うことでしょう。そうなる理由が2つあると考えています。まず、ブランドが認知されていない新しいプレーヤーにとって、新しい顧客を獲得するのが非常に難しいことを認めざるを得ません。2つ目は、 AppScan V10のリリース、新しいIASTテクノロジーの開始、そして新しいビジネスの成功における成功を完全に実証できる前に、分析が行われたことです。

HCL を応援してくださったのは既存顧客の皆様方だけではなかったことを大変嬉しく思います。7月1日に HCL に移行以来、最初の9ヶ月間で 70 もの新規のお客様にご購入いただけました。この中には、これまで私たちが小さな市場だったと考えていた地域も含まれます。これらのお客様は、HCL による投資を認識してくださいました。顧客の成功への取り組みとAppScanの幅広いテクノロジーとイノベーションがビジネスにもたらす可能性のあるユニークな価値を認めてくださり、AppScan の購入を決めてくださいました。

V10製品の改善は、2019年の Gartner の評価に貢献できませんでした。そのため、 AppScan は、ポイントリリースが強化された6年前の製品のメジャーバージョンで測定されました。この事実にもかかわらず、 HCL AppScan は、最も一般的な2つのスキャン技術であるDASTとSASTの両方で高く評価されています。

AppScan はビジョナリーの象限に位置づけられましたが、イノベーションへの取り組みとテクノロジーへの投資を裏付けるものだと感じています。V10と新しい AppScan について詳しく知りたい場合は遠慮なくご連絡ください。


About

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。