How Cryptocurrency and Blockchain are Reshaping Supply Chain Security の翻訳版です。
暗号通貨とブロックチェーンがサプライチェーンのセキュリティをどのように変えているか
2024年12月5日
著者: Ryley Robinson / Project Marketing Manager
サプライチェーンにおける暗号通貨。未来のSF映画のような話に聞こえるかもしれませんが、すでに起きています。ビットコインなどの暗号通貨はブロックチェーン上で実行されます。ブロックチェーンは今やさまざまな業界を揺るがしている技術であり、サプライチェーン管理も例外ではありません。しかし、他の新興技術と同様に、特にアプリケーションのセキュリティに関してはリスクが伴います。詳しく見ていきましょう。
小売、製造、食品生産などの業界の大手企業がブロックチェーンの波に乗っています。この採用は、透明性、スピード、コスト削減などの潜在的なメリットへの関心が主な要因です。たとえば、ウォルマートはブロックチェーンを使用して、農場から棚までの農産物をほぼリアルタイムで追跡し、食品の安全性に関する懸念に迅速に対応しています。同じことが、コンテナ物流を合理化するためにブロックチェーンを使用している Maersk などの海運大手にも当てはまります。
しかし、企業がブロックチェーンベースのソリューションを採用するにつれて、システムは新たな脅威にさらされることになります。ブロックチェーン アプリケーションを構築する開発者は、この変革の中心であり、脆弱性を悪用しようとするハッカーも同様です。
サプライ チェーン管理では、暗号通貨とブロックチェーン テクノロジーが連携して、分散型の改ざん防止台帳を作成します。これは、サプライ チェーン上の誰もがアクセスできるが、合意なしに変更することはできないオープン ノートブックのようなものだと考えてください。暗号通貨を使用すると、支払いを即座に行うことができ、契約はスマート コントラクトを通じて自動的に実行でき、すべてのトランザクションは偽造がほぼ不可能な方法で記録されます。
ブロックチェーン自体は、その暗号化基盤と分散型の性質により、非常に安全であると考えられています。ただし、ブロックチェーンとインターフェイスするアプリケーションは、ハッカーの主なターゲットです。Positive Technologies の調査によると、ブロックチェーン アプリケーションの 92% に重大なセキュリティ脆弱性が含まれています。主なリスク領域には次のものがあります。
スマート コントラクトの悪用: 2016 年、DAO (分散型自律組織) は、スマート コントラクト ロジックの欠陥により 5,000 万ドルの盗難に遭いました。 API 攻撃: API はブロックチェーン アプリケーションを外部システムに接続します。セキュリティが不十分な場合、攻撃者は API を悪用してデータを盗んだり、トランザクションを変更したりできます。 フィッシングとユーザー認証の弱点: サプライ チェーンの関係者は、弱いパスワードの使用やフィッシング詐欺によって、機密データをうっかり公開してしまう可能性があります。
サプライ チェーンは文字通り世界中に広がっています。アジアの工場からヨーロッパの倉庫、北米の店頭まで、ブロックチェーンと暗号ソリューションは無数のシステムやアプリケーションと統合する必要があります。この接続の網は、巨大な攻撃対象領域を生み出します。
スマート コントラクトを例に挙げてみましょう。スマート コントラクトは、条件が満たされると自動的に実行される、ブロックチェーンに保存されたプログラムです。スマート コントラクトは仲介者を排除するのに最適ですが、適切に記述されていないスマート コントラクトは、ハッカーに悪用されて資金を横取りしたり、サプライ チェーンに混乱を引き起こしたりする可能性があります。ここで、HCL AppScan などのアプリケーションセキュリティ テスト ツールが威力を発揮し、開発者がコードの脆弱性を特定して修正し、実際にコードが公開される前にそれを実行できるようにします。
IBM の 2023 年データ漏洩コストレポートによると、漏洩の平均コストは現在 445 万ドルで、サプライ チェーン関連の漏洩は波及効果によりさらに高額になることが多いです。ブロックチェーンが侵害されると、サプライ チェーン全体に対する信頼が崩壊し、業務が中断され、評判が損なわれます。
HCL AppScan などのツールは、次の機能を提供します。
静的アプリケーションセキュリティ テスト (SAST): 開発中にソースコードを分析して、ソフトウェア ライフサイクルの早い段階で脆弱性を検出し、展開前にリスクを軽減します。
動的アプリケーションセキュリティ テスト (DAST): 実際の攻撃シナリオを模倣して実行中のアプリケーションを評価し、悪用可能な脆弱性をリアルタイムで発見します。
ソフトウェア構成分析 (SCA): ブロックチェーン アプリケーションでよく使用されるサードパーティ ライブラリと依存関係のセキュリティ リスクとライセンスの問題を特定します。
侵入テスト: 制御されたシミュレートされたサイバー攻撃を実施して、ブロックチェーン環境、スマート コントラクト、API、接続システムの弱点を発見して対処します。
積極的なセキュリティ対策を採用する企業は、リスクを軽減するだけでなく、今日の相互接続されたサプライ チェーンで重要な通貨であるステークホルダーとの信頼関係を構築します。アプリケーションを積極的に保護することで、企業はブロックチェーン エコシステムを保護し、機密データが漏洩したり、さらに悪いことに武器化されたりするのを防げます。
サイバー攻撃はすでに毎年企業に数十億ドルの損害をもたらしており、サプライ チェーンがブロックチェーンへの依存度を増すにつれて、リスクは増大する一方です。ハッカーがサプライヤーの支払いを管理するスマート コントラクトを侵害した場合、危険にさらされるのは金銭だけではありません。業務全体が危険にさらされます。ブロックチェーンは本質的には「ハッキング不可能」かもしれませんが、それを中心に構築されたアプリケーションはそうではないことを念頭に置くことが重要です。
開発者、製品マネージャー、またはサプライ チェーンの将来について理解しようとしているだけの人であっても、1 つ明らかなことは、アプリケーションのセキュリティ保護は譲れないということです。HCL AppScan などのツールを使用すると、潜在的な脅威に先手を打つことが容易になり、ブロックチェーンがサプライ チェーンに革命を起こすだけでなく、安全にそれが起こるようになります。
Building Resilient Applications with AST and ASPM: A Dual Defense Strategy の翻訳版です。
AST と ASPM を使用した回復力のあるアプリケーションの構築: 二重防御戦略
2024年12月12日
著者: Ryley Robinson / Project Marketing Manager
デジタル+ の世界でアプリケーションを保護することは、もはやオプションではなく、必須です。サイバー脅威は絶えず発生しており、堅牢なセキュリティ戦略が最善の防御策です。そこで、アプリケーションセキュリティ テスト (AST) とアプリケーションセキュリティポスチャ管理 (ASPM) が役に立ちます。これらは連携して脆弱性に対する包括的なシールドを提供します。
HCLSoftware の新しい eGuide である「効果的なアプリケーションセキュリティテストとポスチャ管理のためのツールと戦術」では、AST と ASPM の実践に関する幅広い理解が得られます。この包括的なガイドでは、ツールと戦略について説明し、組織がそれらをワークフローにシームレスに統合する方法を概説しています。開発者からセキュリティチームまで、アプリケーションを保護するという共通の責任を強調しています。
AST と ASPM ツールの実装には、開発者、セキュリティ専門家、管理者、関係者など、複数のチーム間のコラボレーションが必要です。
静的分析、動的分析、ソフトウェア構成分析などの AST ツールは、ソースコード、Web アプリケーション、API、サードパーティコンポーネントをスキャンしてテストし、ソフトウェアのリリース後に悪用される可能性のあるセキュリティ脆弱性を検出するために不可欠です。これらのツールは、ソフトウェア開発ライフサイクル (SDLC) 全体に統合すると最も効果的です。開発者、DevOps、セキュリティチームが脆弱性をできるだけ早く特定し、修復のコストと複雑さを軽減するのに役立ちます。この「どこでもシフト」アプローチは、開発のすべての段階にセキュリティを組み込むため、組織は安全なアプリケーションを効率的に構築および維持できます。
ASPM は、継続的な監視、自動化された脆弱性管理、一元化されたポリシー適用を組み合わせることで、ライフサイクル全体にわたってアプリケーションを保護するプロアクティブな戦略です。このアプローチにより、組織のアプリケーションセキュリティ環境の明確で実用的なビューが提供され、チームは潜在的なリスクに先手を打てます。
ASPM は、AST ツールおよび開発パイプラインと統合することで、脆弱性を早期に検出し、リスクに優先順位を付け、修復プロセスを合理化します。これにより、多様な開発環境とクラウド インフラストラクチャ全体で堅牢なセキュリティが確保され、組織が回復力を維持し、コンプライアンス基準を満たすのに役立ちます。
包括的な保護のために AST と ASPM を組み合わせたセキュリティ プログラムを構築する方法を学びます。ガイドをダウンロードして、ソフトウェアのセキュリティを確保し、Digital+ 経済で成功するための第一歩を踏み出してください。
The Hidden Cost of Security Fixes for Software Developers の翻訳版です。
ソフトウェア開発者にとってのセキュリティ修正の隠れたコスト
2024年11月27日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
企業が安全で信頼性の高いアプリケーションの構築に努める中、新たな調査結果から見落とされているコストが明らかになりました。それは、セキュリティ問題の管理に費やす開発者の時間です。
JFrog に関する最近の IDC レポート 1 によると、ソフトウェア開発者は、スキャン レビュー、シークレット検出、複数のツール間のコンテキスト切り替えなどのセキュリティ関連のタスクに、1 週間の作業時間のかなりの部分 (最大 19%) を費やしています。
IT Pro に掲載されたレポートの主な調査結果によると、この時間投資は、企業に開発者 1 人あたり年間約 28,000 ドルのコストがかかります。また、この作業の多くが標準時間外に行われるため、開発者に負担がかかり、全体的な生産性が低下するという懸念もあります。
開発者に加えて、上級開発者、チーム リーダー、マネージャーの 50% が、セキュリティに費やされる時間が重要なプロジェクトに集中する能力を妨げ、イノベーションや新しいアプリケーションのタイムリーなリリースに影響を及ぼしていると感じています。
ツールの無秩序な増加も、アプリケーションセキュリティの隠れたコストの 1 つとして挙げられています。組織の 80% が、6 ? 20 種類のセキュリティテスト ツールを使用していると報告しています。これらのツールはサイロで使用すると、大量のノイズを生成し、真の脅威と誤検知を区別することが困難になります。
誤検知や重複した脆弱性を整理すると、開発者の時間が大量に消費され、一部の開発者は手順を完全に省略することになります。レポートによると、コード展開前に静的アプリケーションセキュリティテスト (SAST) を実施している開発者は 4 分の 1 未満であり、さらに多くの潜在的な脆弱性が残る余地があります。
これらの数字は懸念されますが、組織が利用できるオプションは増えていることに留意することが重要です。HCL AppScan on Cloud などの単一プラットフォーム ソリューションは、1 つの傘の下で幅広いテスト ツールを提供します。DAST、SAST、IAST、および SCA スキャンの結果は、集中管理されたダッシュボードで確認でき、セキュリティ タスクは複数のチーム メンバー間で簡単に共有できます。これらのさまざまなツールの結果を相互に関連付けることもできるため、トリアージと修復をより効率的に行えます。
さらに、AI は、スキャン結果の誤検出数を減らすだけでなく、スキャン範囲を広げ、HCL AppScan AutoFix などのツールでの修復を支援するためにもますます使用されています。
アプリケーションセキュリティテストは、組織が Digital+ Economy で競争する際にビジネス リスクを軽減し、全体的なアプリケーションセキュリティ体制を管理する上で非常に重要なツールです。
このレポートでは、効果的なセキュリティ文化を構築する上での課題の一部が取り上げられていますが、役立つツール、方法論、トレーニングはますます増えています。
HCL AppScan が、組織のセキュリティ体制を時間とリソースを削減しながら強化する方法についてご覧ください。
Protecting Software Supply Chains with SBOM & PBOM の翻訳版です。
SBOM と PBOM によるソフトウェアサプライチェーンの保護
2024年11月8日
著者: Ryley Robinson / Project Marketing Manager
ソフトウェアサプライチェーンには、現代の組織がDigital+ Economyで競争し、勝利するために頼りにしている独自、サードパーティ、オープンソースのソフトウェア コンポーネントのライブラリが組み込まれています。これには、コード開発、依存関係管理、テスト、展開、継続的な更新など、製品ライフサイクルのすべての段階が含まれます。
ソフトウェアサプライチェーンには多数のコンポーネントがあるため、それらすべてを保護するのは大きな課題です。
ハッカーはセキュリティのギャップをますます探すようになり、十分に保護されていない段階を攻撃する可能性がはるかに高くなります。ソフトウェア部品表 (SBOM) やパイプライン部品表 (PBOM) などのセキュリティ ツールは、これらの増大するリスクをうまく管理しようと決意している組織にとってますます重要になっています。
「供給と需要の混乱への備え (“Disruption Preparedness in Supply and Demand”,)」と題した最近の記事で、HCL AppScan の製品ディレクターである Mike Khusid が、SBOM と PBOM がこれらのツールを使って企業を混乱に備える方法について説明しています。トヨタの主要サプライヤーの 1 社に対する 2022 年のサイバー攻撃や、何千もの Web アプリケーションに影響を与えた polyfill.js ハッキングなどの最近の事件は、侵害が金銭的損失、評判の失墜、データ漏洩、法的訴訟などの深刻な結果につながる可能性があることを示しています。ハッカーは、セキュリティポリシーが不十分なサードパーティ ベンダーなど、最も弱いリンクを狙うことがよくあります。
アプリケーションセキュリティテストで役割を果たすツールは多数ありますが、SBOM と PBOM はソフトウェアサプライチェーン セキュリティに特化しており、エンドツーエンドのセキュリティの面でゲームチェンジャーとなっています。
SBOM は、ソフトウェア内のすべてのコンポーネント、ライブラリ、依存関係の詳細なリストを提供します。これにより、脆弱性を迅速に特定し、コンプライアンスを確保し、問題が発生した場合に迅速に対応できます。PBOM は、コンポーネントだけでなく、開発から本番までのソフトウェア パイプライン全体のプロセスもカタログ化します。すべての変更を追跡し、リスクを監視し、プロセス全体を通じてコードが安全であることを保証します。
これらのツールを持つことは単なるボーナスではなく、混乱に先手を打つために不可欠です。組織は、SBOM と PBOM のベストプラクティスを採用し、強力なサイバー セキュリティに投資し、攻撃者が迫ってきたときにソフトウェアを保護して安全を確保できる柔軟なポリシーを構築するための措置を講じる必要があります。
記事の全文は、こちらでご覧いただけます。
サプライチェーンセキュリティの詳細と、HCLSoftwareがお客様のデータ保護の第一歩となる方法については、HCL AppScan をご覧ください。
Enhancing Project Security with HCL AppScan’s Visual Studio Plugin の翻訳版です。
HCL AppScan の Visual Studio プラグインによるプロジェクトセキュリティの強化
2024年11月7日
著者: Ryley Robinson / Project Marketing Manager
セキュリティ侵害がますます増える中、最初からコードが安全であることを確認することがこれまで以上に重要になっています。これを行うための最良の方法の 1 つは、開発プロセスにセキュリティ脆弱性スキャンを直接追加することです。
Visual Studio ユーザー向けに、HCL AppScan はこれをシームレスに実現するのに役立つ強力なプラグインを提供しています。Visual Studio Marketplace で入手できるこのプラグインを使用すると、プロジェクトをスキャンしてセキュリティ脆弱性を検出できるため、セキュリティが開発プロセスに確実に組み込めます。この記事では、このプラグインの技術的機能と、プロジェクトを保護するためにプラグインを使用する方法について詳しく説明します。
コードのセキュリティ脆弱性は、安全でないコード プラクティス、古いライブラリ、依存関係、単純なコーディング エラーなど、さまざまな原因で発生する可能性があります。これらの脆弱性が検出されない場合、アプリケーションは SQL インジェクション、クロスサイト スクリプティング (XSS)、リモート コード実行などのさまざまな攻撃にさらされる可能性があります。
Visual Studio プラグインは、次のことに役立ちます。
コード内の潜在的なセキュリティ リスクの特定
サードパーティの依存関係の脆弱性のスキャン
特定された問題を修正するための修復ガイダンスの提供
Visual Studio 自体で問題の管理
このツールを使用すると、展開前にコードが安全であることを確認でき、脆弱性が実稼働環境に到達するリスクを最小限に抑えられます。
この HCL AppScan の Visual Studio プラグインは IDE に直接統合され、プロジェクトのセキュリティ脆弱性をシームレスにスキャンできます。その優れた機能のいくつかを以下に示します。
1 - 自動セキュリティスキャン: コードを記述したりプロジェクトをビルドしたりするときに、プロジェクトを自動的にスキャンします。コード ファイルを保存するとすぐに、プラグインは脆弱性の分析を開始し、結果を共有します。
2 - セキュリティスキャンの作成: Visual Studio から直接セキュリティスキャンを開始し、HCL AppScan on Cloud および HCL AppScan 360° とのシームレスな統合を実現して、脆弱性を管理します。
3 - 依存関係スキャン: このプラグインを使用すると、プロジェクト内のサードパーティの依存関係を分析して、セキュリティ上の問題があるかどうかを確認できます。その後、脆弱な依存関係を削除またはアップグレードすることで、これらのセキュリティ問題を修正できます。
4 - リアルタイム フィードバック: コーディング中にリアルタイム フィードバックを取得し、セキュリティ リスクに対して脆弱な領域をハイライト表示します。重大度レベルと推奨される修正を含む詳細なレポートを受け取ります。
5 - 修復の提案: このプラグインは、脆弱性を特定するとともに、実用的な修復手順を提案し、開発者が IDE を離れることなくセキュリティ上の欠陥を迅速に修正できるようにします。
6 - カスタマイズ可能なルール: スキャン ルールをカスタマイズし、追加のセキュリティチェックを追加することで、組織の特定のセキュリティポリシーに準拠するようにプラグインを構成します。
Visual Studio でのプラグインのインストールと構成は簡単です。開始するためのステップバイステップ ガイドを以下に示します。
プロジェクトを包括的にスキャンするには、HCL AppScan on Cloud または HCL AppScan 360° のアカウントが必要です。これは有料サービスですが、こちらから入手できる HCL AppScan の無料トライアルを使用して、いつでも無料で開始できます。
このチュートリアルでは HCL AppScan on Cloud を使用しますが、同じ手順を HCL AppScan 360° でも使用できます。
手順 1: プラグインのインストール
1 - Visual Studio を開き、[拡張機能] > [拡張機能の管理] に移動します。
2 - 検索バーに「HCL AppScan」と入力します
3 - 見つかったら、[インストール] をクリックして Visual Studio を再起動し、インストールを完了します。
手順 2: プラグイン設定の構成
インストール後、プロジェクトを効果的にスキャンできるようにプラグインを構成する必要があります。
[ツール] > [オプション] に移動します。
左側のパネルで HCL AppScan セクションを見つけます。
ここでログインに移動し、HCL AppScan on Cloud または HCL AppScan 360° の資格情報を入力します。
次に、スキャンの実行方法を設定できます。
ステップ 3: セキュリティスキャンを実行する
プラグインをインストールして構成したら、最初のセキュリティスキャンを実行できます。
Visual Studio でプロジェクトを開きます。ソリューション エクスプローラーで、ソリューションまたはプロジェクトを右クリックし、[セキュリティスキャンの開始] を選択します。
これで、Visual Studio プラグインがプロジェクトを分析します。プラグインの下部にある進行状況バーで更新状況を監視できます。スキャンが完了すると通知が届きます。
ステップ 4: 結果を分析する
スキャンが完了すると、詳細なセキュリティ レポートが表示されます。Visual Studio では次の項目が強調表示されます。
1 - 脆弱なコード セグメント
2 - スキャンの種類に基づいて分類されたスキャン
3 - 各脆弱性の重大度レベル (低、中、高)
4 - 脆弱性を修正するための推奨アクション
このレポートは IDE 内に直接表示されるため、開発者はコードの脆弱なセクションにすばやく移動して修正を適用できます。
これで、スキャンをクリックして、修正する問題に移動できます。これにより、セキュリティ脆弱性があるコード セクションが開きます。
この Visual Studio プラグインを最大限に活用するには、次のベスト プラクティスに従ってください。
1 - 定期的にスキャン: プラグインを使用してプロジェクトを定期的にスキャンし (たとえば、各 QA サイクル中)、早い段階で脆弱性を特定します。
2 - 依存関係を監視: 古くなった依存関係は脆弱性の一般的な原因であるため、サードパーティのライブラリを常に最新の状態に保ってください。
3 - レポートを確認する: 特にコードをメインブランチにマージする前やソフトウェアをリリースする前に、セキュリティ レポートを定期的に確認してください。
4 - ルールをカスタマイズする: 組織のセキュリティポリシーに合わせてスキャン ルールを変更し、プラグインが業界に関連する問題をチェックするようにします。
5 - 最新の状態を維持する: プラグインを最新のセキュリティ パッチと機能で更新し、最適なパフォーマンスと保護を確保します。
日々新たなセキュリティの脅威が進化しているため、開発プロセスの開始時から堅牢なセキュリティ対策を講じることが重要です。HCL AppScan の Visual Studio プラグインは、開発者が IDE から直接コード内のセキュリティの脆弱性を特定して修正するのに役立つ強力なツールです。このプラグインを開発ワークフローに統合することで、セキュリティ侵害のリスクを大幅に軽減し、ソフトウェアがユーザーにとって安全であることを保証できます。開発者が 1 人でも、大規模なチームの一員でも、このプラグインを利用することで、プロジェクトが安全であることを安心して知ることができます。
Visual Studio Marketplace にアクセスして、このプラグインの詳細を確認し、今すぐプロジェクトのセキュリティ保護を開始してください。
HCL AppScan の Web サイトにアクセスして、高速で正確かつ機敏なアプリケーションセキュリティテストソリューションの詳細をご覧ください。
HCL AppScan 360° v1.4.0: Redefining AppSec with Powerful New Features の翻訳版です。
HCL AppScan 360° v1.4.0: 強力な新機能で AppSec を再定義
2024年10月29日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
最新の HCL AppScan 360° バージョン 1.4.0 では、セキュリティテスト エクスペリエンスを強化するためのさまざまな強力な更新が導入されています。このリリースでは、小規模な環境向けの柔軟な単一仮想マシン (VM) インストール オプションと、より深い洞察とリアルタイム分析のための再設計されたダッシュボードが提供されます。新機能には、DAST スキャンのドメイン管理、GenAI による自動修正推奨、SAST リポジトリ スキャンの GitHub Enterprise 統合が含まれます。追加の更新では、コンプライアンス、自動コメント伝播、SAST および DAST スキャンの効率向上に重点が置かれており、この新しいバージョンは、合理化されたセキュリティ管理のための包括的なアップグレードであり、あらゆる環境に展開できます。
HCL AppScan 360° では、単一 VM インストール オプションの柔軟性が提供されるようになり、小規模な環境や特定の展開ニーズを持つ組織が、包括的なアプリケーションセキュリティを迅速に開始しやすくなりました。従来、AppScan 360° は、大規模で同時実行性の高いスキャンとテストを処理するために、分散 Kubernetes 環境にインストールされていました。しかし、新しい単一の VM インストールでは、事前構成された Kubernetes 環境を含む、最新の自己完結型のデプロイメントが提供されます。
この効率的なデプロイメントは、必要に応じて完全な Kubernetes デプロイメントにスムーズに移行できるため、将来的にセキュリティ運用を拡張する予定のユーザーにとっても出発点となります。インフラストラクチャとセットアップの要件が最小限である単一の VM インストールでは、デプロイメントの複雑さが軽減されるため、最初から複雑な分散アーキテクチャに投資することなく、セキュリティ イニシアチブを加速したいチームや企業にとって特に有益です。
再設計された AppScan 360° ダッシュボードでは、アプリケーションと脆弱性に関するより深い洞察が提供され、これまで以上に簡単にセキュリティを監視できます。直感的なチャートとグラフでリアルタイムの分析を表示することで、主要なメトリックと問題を一目で追跡できます。このユーザーフレンドリーなインターフェースは可視性を高め、リスクを迅速に特定し、情報に基づいた意思決定を行ってセキュリティ体制を強化するのに役立ちます。
HCL AppScan 360° は、GenAI が要約した説明とコンテキストを備えた、厳選された修正推奨事項である AutoFix の導入により、修復をより迅速かつ容易にします。これらのわかりやすい提案はユーザー インターフェースでアクセスでき、開発者とセキュリティチームが自信を持って効率的に脆弱性に対処し、修復プロセスと全体的なリリース時間の両方を加速するのに役立ちます。
さらに、HCL AppScan 360° は GitHub Enterprise と統合され、GitHub リポジトリでシームレスな静的分析 (SAST) スキャンが可能になります。開発チームはソフトウェア開発ライフサイクルの早い段階で脆弱性を捕捉し、ワークフローを中断することなくセキュリティを強化できます。
このプラットフォームは、ダイナミック アプリケーションセキュリティ テスト (DAST) のドメイン管理を簡素化し、セキュリティスキャンの承認を受けるドメインと資産グループを簡単に管理できるようにします。この機能により、制御が強化され、承認された資産のみがテストされるようになり、潜在的なリスクが軽減され、スキャンの精度が向上します。
DAST ユーザーは、DAST スキャンのライブ ログの追加によるメリットも享受できます。これらのリアルタイムのステータス更新はアクティブ スキャン中に行われるため、ユーザーはスキャンが正常に実行されたかどうかを知るためにスキャンが終了するまで待つ必要はありません。ユーザーは、DAST スキャンの拡張サポート モード (ESM) をアクティブ化して、デバッグなどのサポート目的で詳細なログを生成できます。
HCL AppScan 360° では、いくつかの新しい更新されたプラットフォーム機能が導入されました。ユーザーが最高レベルのセキュリティとコンプライアンスを維持できるように、プラットフォームはコンプライアンスと業界標準のレポート機能を次の主要なセキュリティ フレームワークと連携させています。
追加の更新は、効率性の向上とセキュリティ ワークフローの改善を目的としています。新しい自動コメント伝播機能は、アプリケーション間でコメントと問題のステータスを自動的に同期し、各問題の完全で一貫した記録を提供します。これにより、手動更新が不要になり、エラーが減り、時間を節約しながら、プロジェクト全体のセキュリティ問題のステータスを完全に把握できます。
さらに、「問題の詳細」タブのリポジトリ リンクにより、コードへのアクセス性が向上します。該当する場合、「場所」フィールドには、ソースコード リポジトリの特定のファイルと行への直接リンクが含まれるようになり、ツールを切り替えることなく即座にアクセスして問題に対処できます。修復プロセスを高速化して、チームが脆弱性の迅速な解決に集中できるようにします。
バージョン 1.4.0 に新しい統合とプラグインが追加され、柔軟性が向上し、ワークフローが合理化され、ユーザーが好みのツール内でシームレスに作業できるようになります。これにより、効率が向上し、脆弱性管理が簡素化され、HCL AppScan 360° はさまざまな開発環境にさらに適応しやすくなります。新しい統合とプラグインには次のものが含まれます:
HCL AppScan 360° バージョン 1.4.0 の機能の完全なリストをご覧ください。この業界をリードするクラウドネイティブ プラットフォームの詳細については、オンラインでアクセスするか、AppScan 360 に連絡してデモをリクエストし、HCL AppScan がアプリケーションのセキュリティ体制の管理とソフトウェアの確実なリリースにどのように役立つかを体験してください。
DAST and SCA Capabilities: Latest Updates in HCL AppScan on Cloud の翻訳版です。
DAST、SCAの機能を強化 - HCL AppScan on Cloudの最新アップデート
2024年10月28日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
HCL AppScan on Cloud (ASoC) は、アプリケーション セキュリティ テストの最新の進歩によりアプリケーションのセキュリティを維持するように設計された、継続的に進化する SaaS プラットフォームです。頻繁な更新と統合により、ASoC は開発チームがセキュリティをワークフローに簡単に統合するのに役立ちます。最新の機能強化には、集中ダッシュボードの改善、動的分析とオープン ソース テストの両方に対する追加のスキャン機能、および Visual Studio 2022 の新しいプラグイン機能が含まれます。
最新リリースでは、ソフトウェア コンポジション分析 (SCA) の強力な更新が導入され、オープン ソース ライブラリの管理がより効率的になりました。問題の自動クローズを有効にすると、再スキャン中に見つからなかったオープン ソース ライブラリは結果から自動的に削除され、問題の追跡が簡素化されます。ASoC のランタイム SCA 機能に追加の更新が行われ、ソフトウェア コンポーネントと動作をリアルタイムで継続的に監視する機能が向上しました。
当社の動的分析 (DAST) アップデートにより、新しいネイティブ API スキャン ワークフローが導入され、シームレスな API テストが提供され、開発の早い段階で脆弱性が発見され、解決されます。現在のリリースでは、Postman と手動記録を使用した API スキャン ワークフローがサポートされており、今後のアップデートでさらに多くのオプションが追加される予定です。
DAST を強化することで、脆弱なサードパーティ コンポーネントを検出する機能によってより深い洞察が得られ、最も一般的に使用されているクライアント側およびサーバー側テクノロジの脆弱性が特定され、報告されます。
当社の最新のプラットフォーム機能強化は、ユーザーの利便性を考慮して設計されています。スキャン、テクノロジ、および SCA カードを備えた新しいダッシュボード アップデートにより、重要な洞察にすばやくアクセスでき、テクノロジ別にアプリケーションを簡単に表示し、SCA で使用されている上位 5 つのライセンスを特定できます。ダーク モードの導入により、より快適でカスタマイズ可能なインターフェイスが提供され、AppScan on Cloud のユーザー エクスペリエンスが向上します。
クイックセットアップでビジネスインパクトが中程度にデフォルト設定されたため、アプリケーションの作成がより高速かつ直感的になり、セキュリティの優先順位を効率的に調整できます。問題管理も改良され、問題の重大度またはステータスを [詳細] ビューで直接更新できるようになったため、時間を節約し、精度が向上しました。古い「新規」ステータスが削除され、アプリケーション名の制限が拡張された (最大 120 文字) ため、セキュリティ ワークフローの管理がより柔軟で使いやすくなりました。
最新の統合では、Visual Studio 2022 用の HCL AppScan Visual Studio 拡張機能をはじめ、開発環境全体で強化されたサポートが提供されます。Visual Studio 2022 IDE 内で直接 SAST スキャンと SCA スキャンを作成し、スキャン オプションを構成し、新しい [マイ スキャン] タブでスキャンの進行状況を簡単に監視できるようになりました。
さらに、HCL AppScan Jenkins と Azure プラグインは、HCL AppScan on Cloud での SAST スキャンと SCA スキャンの両方の再スキャンをサポートするようになり、スキャンを最新の状態に保つプロセスが効率化されました。
最近の HCL AppScan on Cloud リリースの機能の完全なリストについては、「新機能」ページをご覧ください。この業界をリードする SaaS プラットフォームの詳細については、オンラインでアクセスするか、今すぐ無料トライアルに登録して、HCL AppScan がアプリケーションのセキュリティ体制を管理し、自信を持ってソフトウェアをリリースする上でどのように役立つかを体験してください。
Unlock Hidden Malware with HCL AppScan’s New SCA Features の翻訳版です。
隠れたマルウェアを検出 - HCL AppScanの新しいソフトウェア構成分析
2024年10月18日
著者: Ryley Robinson / Project Marketing Manager
ほぼすべてのソフトウェア開発環境で、アプリケーションはオープンソースコンポーネントに依存しており、これらのコンポーネントには隠れた脆弱性が含まれていることがよくあります。これらのリスクからアプリケーションを保護することは重要で、コストがかかります。ここで、HCL AppScan の新しいランタイム ソフトウェア構成分析 (ランタイム SCA) が役立ちます。このツールは、組織をこれらの隠れた脅威から保護するための強力なツールを提供します。
ソフトウェア構成分析 (SCA) は、オープンソースソフトウェア内の脆弱性を特定して管理します。SCA は、アプリケーションの開発プロセスのさまざまな段階に簡単に統合できるため、セキュリティチーム、リリース マネージャー、開発者は、特定のフォルダーまたはコンテナ/イメージ内のコンポーネントを評価できます。SCA は、これらのコンポーネントによってもたらされるリスクを迅速に検出し、脆弱性を含むオープンソースパッケージや潜在的なライセンスの問題のあるオープンソースパッケージを簡単に特定できるようにします。これにより、アプリケーションのライフサイクル全体にわたってセキュリティが確保され、セキュリティ評価の信頼性が向上します。
HCL AppScan の SCA の際立った機能の 1 つは、ランタイムで使用されるオープンソースライブラリの脆弱性を特定して管理できることです。アプリケーションをリアルタイムでスキャンすることで、潜在的な脆弱性に関するより深い洞察が得られ、組織に実際に及ぼす脅威に基づいて修復作業の優先順位を決定し、問題を解決できます。
さらに、HCL AppScan の SCA は、幅広い言語をカバーする Go モジュールをサポートしています。これには .NET、JavaScript、Python が含まれており、アプリケーション全体の潜在的な脆弱性と構成の問題をより包括的に把握できます。言語と要件の詳細については、ドキュメントを参照してください。
HCL AppScan は、自動分析と人による分析を通じて、ソフトウェア更新を継続的に監視する包括的なセキュリティ評価を保証します。チームは複数のリポジトリをスキャンし、マルチドメイン分析を実行して、マルウェアを潜ませている可能性のあるオープンソースライブラリを特定できます。疑わしいアクティビティはすべて専門家チームによってレビューされ、正確性と実用的な洞察が確保されます。
HCL AppScan は、現代のソフトウェア開発のニーズを満たすために継続的に進化しています。これらの新しい SCA 機能を使用すると、オープンソースコンポーネントの脆弱性をより適切に検出して管理し、ソフトウェアサプライチェーンのセキュリティを維持し、運用をスムーズに実行できるようになります。