Cover Image

AIが推進し、人間が検証する: HCL AppScanの脆弱性自動修正機能

2024/8/21 - 読み終える時間: 2 分

AI-driven, Human-verified: Application Security Autofix from HCL AppScan の翻訳版です。

AIが推進し、人間が検証する: HCL AppScanの脆弱性自動修正機能

2024年8月20日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL AppScan は、HCLSoftware の主力 SaaS プラットフォームである HCL AppScan on Cloud (ASoC) に統合された GenAI で強化された自動修正機能のリリースにより、開発者に高速なセキュアコーディング支援を提供します。セキュリティ専門家と開発者は、脆弱性の検出だけでなく、高速で効率的かつ信頼できるように設計された修復ソリューションを使用して修正に必要な支援を受けられます。

AI 駆動、人間による検証

HCLSoftwareの修復支援の中心となるのは、29 のプログラミング言語のソースコードで静的アプリケーションセキュリティテスト (SAST) スキャンによって検出された一般的な脆弱性に対する、厳選された自動修正推奨事項です。これらの推奨事項は、セキュリティの専門家と研究者で構成される HCL AppScan チームによって開発、レビュー、承認されています。脆弱性が特定されると、ASoC は適切な自動修正推奨事項をすばやく見つけ、GenAI を活用して修正のわかりやすいコンテキストを提供します。

ASoC は、GenAI を使用して要約およびコンテキスト化された、厳選された自動修正推奨事項を使用することで、開発者が迅速かつ極めて自信を持って修復の決定を下せるようにします。これにより、開発ライフサイクルの早い段階で問題を修復する全体的な時間が短縮され、後のビルドおよびテストフェーズでセキュリティチームによるよりコストのかかる修復の必要性が大幅に軽減されます。

今日、多くのベンダーが、多くの固有のリスクを伴う AI セキュリティコーディングアシスタントを提供しています。GenAI に自動修正推奨事項の作成を任せる場合、2 つの主な危険があります。1 つは、GenAI がトレーニングデータセットによって制限されることです。2 つ目は、GenAI は学習するにつれて一貫性のない応答を提供することが実証されています。その結果、提案される修正の品質はまちまちです。正確な修正推奨事項を提供するものもあれば、幻覚や不一致を含むものもあり、大幅な手動監視なしでは使用が安全でないコードを生成する可能性があります。ここでの矛盾は明らかです。GenAI が人間のレビューなしで完全に信頼できない場合、実際には開発者の作業が遅くなります。

HCL AppScan は、GenAI を使用して、精選された自動修正推奨事項を文脈化することで、セキュリティ専門家とソフトウェア開発者に、安全に使用でき、GenAI によく伴うリスクを回避できる強力な教育ツールを提供します。HCL AppScan のアプローチは、修正推奨事項を理解し、修復の一環として適用するまでの時間を短縮することに重点を置いています。

HCL AppScan GenAI の核となる時間節約

HCL AppScan は、Intelligent Finding Analytics (IFA) で SAST スキャンの精度を向上させ、Intelligent Code Analytics (ICA) でスキャン範囲を広げるために AI を活用してきた長い歴史があります。どちらの場合も、AI は 2 つの方法で開発者エクスペリエンスを向上させるために活用されています。1 つは、他の脆弱性の中でも最も優先度の高い脆弱性に焦点を当てること、もう 1 つは、開発者が最も重要な問題に集中できるように従来の検出結果をグループ化することです。

専門家も初心者も、HCL AppScan CodeSweep の自動修正機能が以前から利用可能だったことから、何年もの間、開発者は恩恵を受けてきました。この SAST テクノロジーのコミュニティエディションは、開発者 IDE のプラグインと CI/CD パイプラインに統合された、厳選された修正推奨事項を提供します。

GenAI 対応の自動修正の将来

GenAI を使用したこの新しいバージョンの自動修正は、SAST テクノロジーへのアクセスを含むライセンスを持つすべての ASoC ユーザーにすぐに提供されます。HCL AppScan は、近い将来、追加のプログラミング言語の自動修正を追加するなど、自動修正機能をさらに高速化する追加の計画があります。より深い GenAI 統合により、スキャン結果に基づく自動修正推奨事項の作成と実装など、自動修復のさらに多くの側面が処理されます。

自動修復は、GenAI がますます積極的な役割を果たす可能性があるアプリケーションセキュリティの重要な領域の 1 つです。ただし、修正推奨事項が信頼できるものでなければ、問題の修正速度を上げてリスクを軽減することはできません。GenAI によって提供される要約とコンテキストを備えた厳選された修正推奨事項を使用する HCL AppScan の自動修正リリースは、人間の専門知識と AI の効率性の完璧なバランスです。その結果、開発者が信頼できる高速で正確な自動修復ソリューションが実現します。

今すぐお問い合わせいただき、HCL AppScan on Cloud の無料トライアルをお試しになり、GenAI で強化されたこの自動修復ソリューションが、脆弱性の検出と修正をいかに迅速に行うのに役立つかをご自身でお確かめください。

HCL AppScan の高速、正確、俊敏なアプリケーションセキュリティテストソリューションの詳細をご覧ください。

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Aftermarket Cloud Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA CDP Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修