HCL AppScan: 新しいコンテナ・スキャン機能でクラウドセキュリティをさらに強化
2023/1/10 - 読み終える時間: ~1 分
HCL AppScan Provides Additional Cloud Security with New Container Scanning Capabilities の翻訳版です。
HCL AppScan: 新しいコンテナ・スキャン機能でクラウドセキュリティをさらに強化
2023年1月9日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
近年、より簡単、迅速、かつ継続的にソフトウェアをクラウドにデプロイする方法を探しているDevOpsチームによって、コンテナの使用が広く採用されています。コンテナとは、コード、依存関係、ライブラリ、システムツールなど、アプリケーションの実行に必要なすべてのものを含む、自己完結型のファイルパッケージのことです。各コンテナは、コンテナイメージのランタイムインスタンスであり、コンテナの「設計図」とアプリケーションプロセスのコードを含む静的で階層化されたファイルです。
コンテナは、高速で柔軟なデプロイメントを可能にしますが、同時に新たなセキュリティ・リスクももたらします。コンテナには、他の開発段階では発見されないような重大な脆弱性が含まれている可能性があります。これは、公開リポジトリからのイメージやオープンソースライブラリのコードが使用されていることが一因です。
クラウドセキュリティの重要な機能であるコンテナスキャンは、HCL AppScan on Cloudで利用できるようになりました。HCL AppScanは、同社のSCA(ソフトウェア構成分析)技術を活用し、コンテナを実行することなくDockerコンテナのすべてのコンテンツをスキャンする革新的なソリューションを開発しました。Dockerは、2013年にオープンソースのDockerエンジンでコンテナの業界標準を作り上げ、現在最も広く使われているコンテナであります。
Dockerコンテナをスキャンするために、HCL AppScan on CloudのユーザーはDocker CLI(コマンドラインインターフェース)ツールをシステムにインストールするだけです。SCAを使用することで、HCL AppScanはサードパーティやオープンソースアプリケーションの既知の脆弱性を常に更新するリストとコンポーネントを照合することができます。SCAスキャンに加え、HCL AppScan on Cloudのユーザーは、コンテナにデプロイされるアプリケーションコードに対して独立したSAST(Static Application Security Testing)スキャンを実行でき、すべてのスキャン結果は、リスクレベルを示す単一のダッシュボードビューに集約でき、迅速な修復が可能になります。
Docker Container Imageの場合、スキャンに利用できるコンテナがなければ、HCL AppScanがカスタムコンテナを作成します。これらはすべて、HCL AppScan on Cloud CLI(コマンドラインインターフェース)を使用した簡単なコマンドで実行されます。コンテナは決して実行されず、不要になり次第削除されるため、開発者には元の作業だけが残ります。
この革新的なコンテナ・スキャン機能およびその他のHCL AppScanアプリケーション・セキュリティ・テスト・ソリューションの詳細については、www.hcltechsw.com/AppScan をご覧ください。HCL AppScan on Cloud の無料トライアルで、この技術をご自身で体験してください。
HCL AppScan Innovation 2022年12月ワークショップのまとめ
2023/1/6 - 読み終える時間: ~1 分
AppScan Innovation December 2022 Workshop Recap の翻訳版です。
HCL AppScan Innovation 2022年12月ワークショップのまとめ
2023年1月4日
著者: Courtney Coleman
今回のワークショップでは、開発サイクルの早い段階で AppScan によるセキュリティテストを統合すること、すなわちシフトレフトセキュリティが、いかにリスク露出を減らし、修復コストを削減するかについて議論しました。このハンズオンワークショップでは、以下のような内容を共有しました。
- SAST スキャンのセットアップ方法の紹介
- AppScan SASTツールの主な機能と使用上のヒントとコツ
- SASTスキャンのベストプラクティス
- ビルトインAIを使用したトリアージのための所見の解釈と時間短縮の方法についての理解
- AppScan on CloudでSASTとOSAスキャンをセットアップする方法の紹介
- コードをクラウドに安全にインポートするためのさまざまな方法
- AppScan on Cloudを使用するための主な機能と?ヒントとコツ?
- AppScan on CloudのSASTとOSAのソリューションがCI/CDにどのようにフィットするのか?
- AppScan SASTとCloud SASTソリューションの開発ライフサイクルへの適合性
次回のワークショップは1月24日に開催されます。お申し込みはこちらからお願いします。
ポッドキャストのゲスト Andre Konig が "Application Paranoia" の新エピソードで量子コンピューティングについて議論します
2022/12/25 - 読み終える時間: ~1 分
Podcast Guest André König Discusses Quantum Computing in a New Episode of “Application Paranoia" の翻訳版です。
ポッドキャストのゲスト Andre Konig が "Application Paranoia" の新エピソードで量子コンピューティングについて議論します
2022年12月16日
著者: Rob Cuddy / Global Application Security Evangelist
Application Paranoiaの最新エピソードが、お気に入りのポッドキャスト・プラットフォームすべてで視聴可能になりました。このたび、量子コンピューティングの専門家であるアンドレ・コーニグをゲストに迎え、幅広い議論を展開します。
量子コンピュータに少しでも興味があるなら、このエピソードを見逃す手はありません。量子とは何なのか、そしてその未来はどうなるのか、この機会にぜひご覧ください。また、アンドレとホストは、量子コンピューティングに内在するセキュリティの課題についても議論しています。
アンドレ・コーニグは、フォーチュン500、投資、スタートアップで25年の経験を持つ、出版作家、講演者、DeepTechの専門家です。量子テクノロジーに関するビジネスインテリジェンスを提供するInterference Advisorsの最高経営責任者、3万5000人以上のメンバーを抱える世界有数の量子テクノロジーコミュニティOneQuantumの会長、量子テクノロジー投資ファンドおよびスタートアップアクセラレータであるEntanglement Capitalのマネージングパートナーを務めています。
Andre Konig
マサチューセッツ工科大学で量子コンピューティングを学び、シカゴ大学ブース・ビジネス・スクールで経済学修士、ICNビジネススクールで経営学修士を取得。英語、ドイツ語、フランス語、イタリア語を話し、ヨットの国内選手権に出場した経験があり、特殊部隊の戦闘訓練にも取り組んでいます。
Spotify、Google Podcasts、Apple Podcasts、Overcast、またはお気に入りのPodcastプラットフォームでApplication ParanoiaのPodcastを購読してください。また、Colin、Kris、Robはappscan.buzzsprout.comまたはハンドルネーム@AppParanoiaでTwitterで見つけることができます。
HCL AppScanのアプリケーション・セキュリティ・テクノロジーとプラットフォームに関する詳細については、hcltechsw.com/AppScan をご覧ください。
HCL AppScan on Cloud の活用による Jenkins でのより安全なコーディングの実現
2022/12/6 - 読み終える時間: 2 分
Leveraging HCL AppScan on Cloud for More Secure Coding in Jenkins の翻訳版です。
HCL AppScan on Cloud の活用による Jenkins でのより安全なコーディングの実現
2022年12月1日
著者: Parimal Sureshagarkhed / Lead Software Engineering
Jenkins は、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインでアプリケーションを構築しようとする開発者向けの主要なオープンソースの自動化サーバーです。もしあなたがJenkinsを使用している開発者で、アプリケーションのセキュリティにも気を配っているのであれば、次のような疑問があるかもしれません。私がオンライン・リポジトリにプッシュしたコードは、どの程度安全なのでしょうか?開発ツール間を行き来することなく、それを確認する方法はあるのだろうか?この種のセキュリティをJenkinsのパイプラインに統合することは可能なのだろうか?
答えは、"Yes "です。Jenkins用のHCL AppScanプラグインを使えば、このすべてが実現でき、セキュリティをCI/CDパイプラインに効果的に統合することができるのです。プラグインをダウンロードし、インストールし、AppScan on Cloud(ASoC)で構成すると、アプリケーション・セキュリティは簡単に管理できる優先事項になります。
まず、このプラグインは、開発者がプロジェクトのコーディングやビルド中にセキュリティ脆弱性のチェックを実行するためのツールを提供し、JenkinsとASoCを行き来する必要がありません。また、AppScan on Cloudは、SAST(Static Application Security Test)スキャンを実行するために使用する場合、さまざまな言語をサポートしており、プラグインを使用する場合、この機能を活用できます。
また、プラグインを使用することで、Intelligent Finding Analytics(IFA)やIntelligent Code Analytics(ICA)といったAppScanの機械学習機能(実行可能な問題やFixグループに基づく結果を提供)を利用できます。
IFAは強力な機械学習技術で、特に誤検出をフィルタリングし、修正によって改善できる発見を1つのコードポイントにグループ化することによって、トリアージ作業の大部分を代行します。IFAについては、こちらの記事で詳しく紹介しています。
さらに、静的解析スキャンでは、Intelligent Code Analytics (ICA) を使用します。ICAは、新しいアプリケーション・プログラミング・インターフェース(API)を自動的に検出し、セキュリティへの影響を評価します。ICAを通じて、すべてのサードパーティのAPIとフレームワークがレビューされ、適切なセキュリティ影響が割り当てられます。これにより、より完全なスキャン結果を得られます。ICAの詳細については、この記事をお読みください。
スキャンの設定時に、見つかった深刻度の高い脆弱性の数など、指定したセキュリティ結果に基づいてビルドが失敗するように設定できます。また、速度と問題の網羅性のバランスを選択することで、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づいて、深刻度の低い脆弱性や可能性の低い脆弱性については、テストポリシーで定義されたテストを省略します。テストの最適化について詳しくは、こちらをご覧ください。
HCL AppScan On Cloudのデモについては、このビデオ (Jenkinsとの統合) をご覧ください。
HCL AppScanプラグインを使用して、Jenkinsで「DevOps」を「DevSecOps」に変えてください。詳細については、HCL AppScan のウェブサイトをご覧いただくか、このリンクからHCL AppScan On Cloudの30日間無料トライアルを開始してください。
HCL AppScan Cloud SAST+SCA イノベーションワークショップ - 学べること
2022/12/6 - 読み終える時間: ~1 分
HCL AppScan Cloud SAST+SCA Innovation Workshop - What You’ll Learn の翻訳版です。
HCL AppScan Cloud SAST+SCA イノベーションワークショップ - 学べること
2022年11月30日
著者: Peter Lee / Senior Manager
12月8日に開催されるワークショップでは、AppScan on Cloud の一連のセキュリティテストツール(ウェブ、モバイル、オープンソースソフトウェアの静的、動的、対話的テストなど)が、どのように広範なセキュリティ脆弱性を検出し修復を促進するかをご覧いただけます。
AppScan on Cloudは、ソフトウェアがデプロイされる前の開発段階で脆弱性を排除することにより、シフト・レフト・セキュリティを実現します。包括的な管理機能により、セキュリティ専門家、開発者、DevOps、コンプライアンス担当者は、アプリケーションのセキュリティ状況を継続的に監視し、規制要件へのコンプライアンスを維持することができます。
主な特長、機能、ベストプラクティス
- AppScan on Cloudにおける SAST およびOSAスキャンのセットアップの紹介
- コードをクラウドに安全にインポートするためのさまざまな方法
- AppScan on Cloudを使用するための重要な機能およびヒントとトリック
- AppScan on CloudのSASTおよびSCAソリューションがCI/CDによるソフトウェア開発ライフサイクルにどのように適合するのか。
HCL AppScan Source SAST + ASoC SAST イノベーションワークショップ - ここで学べること
2022/11/11 - 読み終える時間: ~1 分
HCL AppScan Source SAST + ASoC SAST Innovation Workshop - What You’ll Learn の翻訳版です。
HCL AppScan Source SAST + ASoC SAST イノベーションワークショップ - ここで学べること
2022年11月9日
著者: Peter Lee / Senior Manager
AppScan Sourceは、企業がより安全なソフトウェアを開発し、開発ライフサイクルの後半に表面化するコストのかかる脆弱性を回避することを支援します。開発サイクルの早い段階でセキュリティテストを統合することで、つまりシフトレフトセキュリティにより、AppScanはリスク露出を減らし、修復コストを削減します。AppScan Sourceは、機械学習ベースのIntelligent Finding Analytics(IFA)技術を活用し、お客様が重要なセキュリティ脆弱性と是正のための最適な手段を迅速に特定できるよう支援します。その結果、開発サイクルの後半や本番稼動時にコストのかかる修復を回避することができます。
2022年11月10日のセミナー では、AppScan on CloudがWeb、モバイル、オープンソースソフトウェア向けに静的、動的、対話型のテストを含む一連のセキュリティテストツールをどのように提供しているかをご紹介します。広範なセキュリティ脆弱性を検出し、修復を促進します。AppScan on Cloudは、ソフトウェアがデプロイされる前の開発段階で脆弱性を排除することにより、シフト・レフト・セキュリティを実現します。包括的な管理機能により、セキュリティ専門家、開発者、DevOps、コンプライアンス担当者は、アプリケーションのセキュリティ状況を継続的に監視し、規制要件へのコンプライアンスを維持することができます。主な機能は以下の通りです。
- SASTスキャンのセットアップ方法の紹介
- AppScan SASTツールの主な機能と使用上のヒントとコツ
- SASTスキャンのベストプラクティス
- 内蔵のA.I.を使用したトリアージのための所見の解釈と時間短縮の方法について理解する。
- AppScan on CloudでSASTとOSAのスキャンをセットアップする方法を紹介します。
- コードをクラウドに安全にインポートするためのさまざまな方法
- AppScan on Cloudを使用するための主な機能とTips&Tricks
- AppScan on CloudのSASTとOSAのソリューションがCI/CDにどのようにフィットするのか?
- AppScan SASTとCloud SASTソリューションの開発ライフサイクルへの適合性
HCL AppScan: Jenkinsパイプラインにセキュリティスキャンを簡単に統合
2022/11/7 - 読み終える時間: 3 分
HCL AppScan Integrates Security Scanning Easily into the Jenkins Pipeline の翻訳版です。
HCL AppScan: Jenkinsパイプラインにセキュリティスキャンを簡単に統合
2022年10月31日
著者: Parimal Sureshagarkhed / Lead Software Engineering
オープンソースの自動化サーバーである Jenkins でアプリケーションを構築している(または構築に興味がある)世界中の多くの開発者の一人であるあなたに、お知らせがあります。Jenkins用のHCL AppScanプラグインを使用すると、Jenkinsの継続的インテグレーション/継続的(CI/CD)デリバリーパイプラインにダイナミックアプリケーションセキュリティテスト(DAST)をそのままシームレスに統合することができるようになります。
アプリケーション・セキュリティに関しては、脆弱性を早期に捕捉することが重要です。HCLプラグインを使用すると、アプリケーションのビルド後、本番稼動前のステージングプロセスでDASTスキャンを実行できます。さらに、AppScanはアプリケーション全体を再テストする代わりに、変更されたアプリケーションの部分のみを自動的にスキャンすることで、さらに時間を節約できます。
注目すべき機能
-
Jenkinsが様々なスレーブマシンに異なるジョブを割り当てるJenkinsマスタースレーブ構成を使用して、分散ビルドを管理できます。このアプローチでは、新しくビルドされた複数のプロジェクトや新しくデプロイされたWebサイトに対してDASTおよびSAST(静的アプリケーションセキュリティテスト)スキャンを効率的に適用することが可能です。セキュリティテストレポートと一緒に、それぞれのセキュリティ問題の概要が表示されます。このレポートには、スキャンの問題点と、報告された問題点に対する対処法が記載されています。HCL AppScanのレポートは膨大かつ詳細であり、開発者やセキュリティアナリストなど複数の関係者が利用することができる。
-
このタスクは、[Activity Recorder]() を使用して、Webサイトの特定のフロー(新しく導入されたもの、ローカルでホストされているもの、公開サイト)をスキャンできます。この小さなユーティリティを使用すると、Webサイトのトラフィックとアクションを記録し、それらの記録を選択したAppScan Dynamic分析ツール(HCL AppScan Enterprise または HCL AppScan Standard または HCL AppScan On Cloud)にアップロードできます。
-
HCL AppScanプラグインは、ビルドをトリガーする前に、設定の有効化および構成だけでなく、メールアラートもサポートします。
-
HCL AppScanプラグインは、ビルドをトリガーする前に、設定の有効化およびメールアラートの設定をサポートします。
-
スキャン速度と問題範囲のバランスを選択することにより、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づき、深刻度の低い脆弱性や可能性の低い脆弱性については、テストポリシーで定義されたテストを省略できます。
-
テストレポートはJSONフォーマットで提供されます。
-
AppScan Issue Management Gateway サービスを使用して、AppScan EnterpriseからJira、Azure、Rational Team Concertなどの他の課題管理アプリケーションに課題を移行することが可能です。
HCL AppScan Enterpriseのデモはこちらの Jenkins との統合のビデオをご覧ください。
HCL AppScanプラグインを使用してJenkinsパイプラインに直接セキュリティテストを追加することで、より高い信頼性と時間のロスなしにアプリケーションを本番稼動させることができます。HCL AppScanのウェブサイトで詳細をご覧になるか、このリンクからHCL AppScan Enterpriseの30日間無料トライアルを開始し、ご自身でアプリケーション・セキュリティをテストしてください。
HCL AppScan: お客様からの評価です!
2022/11/7 - 読み終える時間: 2 分
The Customers have spoken! の翻訳版です。
HCL AppScan: お客様からの評価です!
2022年11月2日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
HCL Technologies は、2022年 Gartner Peer Insights? アプリケーション・セキュリティ・テストのCustomers' Choiceに認定されました。
HCL Technologies は、Gartner Peer Insightsのアプリケーション・セキュリティ・テスト部門において、2022年のCustomers' Choiceベンダーとして認定されたことを発表します。この認定は、2022年7月31日現在、当社のアプリケーション・セキュリティ・テスト製品である HCL AppScan スイートの約60名の検証済みエンドユーザーからのフィードバックと評価に基づいています。全体として、HCL AppScanのレビュアーは5点満点中4.6点を与え、89%の回答者が当社の製品を推奨すると回答しています。
この評価の詳細については、Gartner Peer Insights をダウンロードしてください。'顧客の声': アプリケーション・セキュリティ・テスト
Gartner Peer Insights Customers' Choice は、検証済みのエンドユーザー専門家によるレビューに基づいて、この市場のベンダーを評価するものです。Customers' Choiceは、レビューの数と総合的なユーザー評価の両方を考慮しています。公正な評価を行うため、ガートナーでは顧客満足度の高いベンダーを認定するための厳格な基準を設けています。
今回の受賞に貢献した、あるお客様のコメントをご紹介します。
HCL AppScanは、アプリケーションを脆弱性に対してスキャンして結果を出し、それらの問題をできるだけ早く修正するために優先順位をつけることで、Webアプリケーション、Webサービス、モバイルバックエンドを確実にするのに役立っています。" - ソフトウェア、シニアテストエンジニア
HCL AppScanのレビューをもっと読むには、こちらをクリックしてください。
この賞の詳細や、当社製品を使用するITプロフェッショナルによって書かれたレビューを読むには、Gartner Peer Insightsの Application Security Testing のページをご覧ください。
レビューをお寄せいただいたお客様、ありがとうございました。お客様のフィードバックは、お客様のニーズに合ったより良い製品の開発に役立ちます。
GARTNERは、PEER INSIGHTSおよびPEER INSIGHTSの登録商標およびサービスマークです。Customers' Choiceバッジは、米国および海外におけるGartner, Inc.および/またはその関連会社の商標およびサービスマークであり、本書では許可を得て使用しています。無断転載を禁じます。Gartner Peer InsightsTMのコンテンツは、個々のエンドユーザーの経験に基づく意見で構成されており、事実の記述として解釈されるべきものではなく、またガートナーやその関連会社の見解を示すものではありません。ガートナーは、本コンテンツに掲載されているいかなるベンダー、製品またはサービスも推奨するものではなく、本コンテンツに関して、商品性または特定目的への適合性を含め、その正確性や完全性について、明示または黙示の保証をするものではありません。