Cover Image

HCL Software、Gartner社から2022年4月のアプリケーション・セキュリティ・テストのマジック・クアドラントのリーダーとして認定される

2022/4/26 - 読み終える時間: ~1 分

HCL Software recognized by Gartner as a Leader in the April 2022 Magic Quadrant for Application Security Testing の翻訳版です。


HCL Software、Gartner社から2022年4月のアプリケーション・セキュリティ・テストのマジック・クアドラントのリーダーとして認定される

2022年4月25日

著者: Nabeel Jaitapker / Product Marketing Lead, HCL Software

HCL AppScanは、Gartner社のアプリケーション・セキュリティ・テストのマジック・クアドラントにおいて、2年連続でリーダーに位置づけられました。

AppScanがGartner社のマジック・クアドラントでリーダーとして位置づけられたことは、HCL SoftwareがHCL AppScanにもたらす投資、イノベーション、リーダーシップについて、顧客やビジネスパートナーが自信を持つべきことをさらに立証しています。

Gartner社のアナリストであるMark Horvath氏とDale Gardner氏は、そのレポートの中で、「HCL AppScan は 高速で機敏、より正確なスキャンを提供し、テストとコンプライアンスのレポート機能を拡張してユーザーに提供する」と書いています。

有機的に連携する HCL Software の DevOps 製品、およびセキュリティテスト機能のカバー範囲の広さへの注力とともに、同社は世界クラスの継続的テストポートフォリオを顧客に提供しているのです。

HCL AppScan は、企業とその顧客をサイバー脅威から守る、高速、正確、かつ機敏なセキュリティ・テスト・プラットフォームを提供します。DAST、SAST、IAST、SCA を含む包括的なセキュリティテスト機能を提供し、優れた設計とシンプルな操作性により DevOps のユースケースに適したスキャン技術を提供します。

自己相関的な発見、的を絞ったガイダンス、開発者支援サービスにより、全体的な修復時間を短縮することで開発者が修正に集中できるようにするとともに、組織が制御、可視化、およびガバナンスを備えた大規模なセキュリティプログラムを管理できるようにします。

レポートをダウンロードする


Cover Image

IDC が HCL AppScan を世界のアプリケーションセキュリティ品質/テストのリーダーとしてランク付け

2022/4/26 - 読み終える時間: ~1 分

IDC Ranks HCL AppScan Among Leaders for Worldwide Application Security Quality/Testing の翻訳版です。

IDC が HCL AppScan を世界のアプリケーションセキュリティ品質/テストのリーダーとしてランク付け

2022年4月25日

著者: Nabeel Jaitapker / Product Marketing Lead, HCL Software

HCL AppScan が IDC Marketscape レポートにおいて、世界のアプリケーションテスト、セキュリティ、および品質に関するリーダーとしてランク付けされました。

アプリケーションの攻撃対象がかつてないほど脆弱になり、ほとんどの企業で品質とセキュリティが最重要視されている現在、HCL AppScan は市場でその存在感を示しています。

IDC のアプリケーションライフサイクル管理、品質、およびポートフォリオ戦略サービスのリサーチディレクターである Melinda Ballou 氏は、次のように述べています。

  • 「ソフトウェアは競争上の優位性と革新を促進し、品質とセキュリティは、展開速度の増加、開発期間の短縮、およびアプリケーション攻撃面が主要なリスク領域(脆弱なコードを容易に見つけることができるためより脆弱になっている)においてビジネスに不可欠な緊急課題です」

  • 「HCL Software は、顧客に品質とセキュリティテストの幅広い範囲を提供し、製品を到達可能かつ消費可能なものにすることで、その能力を実証しました」

IDC のあるレポートによると、HCL Software の顧客は、同社が提供する強力な製品サポートを強調し、経験や提案に関する製品管理との一貫したミーティングが製品のロードマップに影響を与えたことを示唆しています。

顧客はまた、HCL Software の製品を採用した後の大きな影響についても IDC に報告しています。あるお客様は、1,400 以上のアプリケーションの 50%以上が自動的にスキャンされるようになったことで、DAST(動的アプリケーション・セキュリティ・テスト)にかかる時間が数日から 1時間に短縮されたことを挙げています。

IDC Marketscape レポートのダウンロード


HCL AppScan の概要が4分で分かる動画公開

2022/4/19 - 読み終える時間: ~1 分

アプリケーションを静的 (ソース)、動的 (アプリ動作) の両面から解析して脆弱性を検出する HCL AppScan の概要について 4 分にまとめた動画を公開しました。

画像の説明


Cover Image

HCL AppScan: SpringShell の脆弱性の検出

2022/4/6 - 読み終える時間: 2 分

SpringShell Vulnerability Detected の翻訳版です。


SpringShell の脆弱性の検出

2022年4月4日

著者: Rob Cuddy / Global Application Security Evangelist

先週、新たに2件のSpring Frameworkの脆弱性が表面化し、いずれもクリティカルとされています。 最初のものは、Spring Cloud Functionにおける未認証のリモートコード実行(RCE)の問題で、CVE-2022-22963 という識別名で脆弱性としてリストアップされています。もう1つは、同じく未認証のRCE問題ですが、こちらはSpring Frameworkのコアにあり、識別子は CVE-2022-22965 です。3月31日現在、両方の問題に対してパッチが提供されています。


Spring4Shell または SpringShell としても知られている CVE-2022-22965

根本的な原因解析の結果、Spring Frameworkの関数がパラメータバインディング時にクラスオブジェクトを公開することが原因であると判明しました。このパラメータバインディングにより、HTTPリクエストのパラメータをアプリケーションレベルのオブジェクトにバインドできます。

クラスオブジェクトが公開されると、HTTPリクエストにURLパラメータを追加するだけで、クラスオブジェクトを操作できるようになり、リモートでコードを実行される可能性があります。Proof of Conceptでは、ログパスを変更することでTomcatサーバー上にWebシェルをドロップし、Webシェルの内容をJSPファイルに書き込めます。攻撃者は、その後、サーバー上で実行される任意のコマンドを発行できます。 Proof-of-concept Exploitが公開されて以来、活発な悪用が確認されています。 CVE-2022-22965 の深刻度は「Critical」であり、Spring Framework を使用する開発者は最優先で 5.3.18 または 5.2.20 にアップグレードする必要があります。 もし、自分のアプリケーションが危険かどうかわからない場合、アプリケーションが脆弱かどうかを特定する最も早い方法は、ソフトウェア構成分析技術(SCA)を利用することです。

SCAは、アプリケーションに脆弱なバージョンのSpring Frameworkが含まれているかどうか、また、その他の公に知られている脆弱性が含まれているかどうかを判断します。

この種のスキャンを行うツールが必要な場合、HCL AppScan on Cloud が利用可能で、これらの脆弱性やその他の脆弱性を特定する機能を備えています。

次の図は、spring-coreのjarファイルで見つかったCVE-2022-22965をハイライトしたものです。

画像の説明

次の図は、具体的な脆弱性の指摘を含むオープンソースレポートの一部です。

画像の説明

OSAのライセンスをお持ちのお客様は、オープンソースおよびサードパーティーライブラリーのスキャンを選択できます。 現在AppScan on Cloudをご利用でないお客様は、これらのSCA機能を30日間の無料トライアルで利用できます。


Cover Image

HCL AppScan: バイトコード/コンパイルとソースコードスキャニングの比較

2022/3/31 - 読み終える時間: 3 分

Bytecode/Compiled vs Source Code Scanning の翻訳版です。


HCL AppScan: バイトコード/コンパイルとソースコードスキャニングの比較

2022年3月30日

著者: Florin Coada / HCL AppScan Product Management Team

AppScanのここ数回のリリースで、静的解析機能においてJava、.Net、C/C++のソースコードスキャニングのサポートを発表したことにお気づきでしょうか。この2つのアプローチには大きな違いがあり、それぞれ異なるユースケースに最適なものとなっています。

バイトコード/コンパイル済みコードとソースコード。

これまでAppScanは、Java、.Net、C/C++のデータフロー解析を行ってきました。この分析により、アプリケーションを通過するデータフローのマップが生成されます。エンジンは、Javaバイトコード、.NET MSILを読み込み、C/C++でのコンパイルをエミュレートすることによって、このマップを構築します。次に、マップを解析して、コードの制御不能な入口(ソース)と出口(シンク)を見つけます。解析の結果、シンクへの経路が存在するソースが見つかり、データを浄化するルーチンが見つからなければ、その発見が行われる。

画像の説明


精度


バイトコード/コンパイルスキャン

このようなバイトコード/コンパイルスキャンアプローチの主な利点は、著しく高い精度の結果を得られることです。発見された内容は、ソースコード自体の中にある実際のデータフローを表しています。不正確な経路とは、ファイアウォールがリモートアクセスをブロックしているなど、他の緩和要因により、コードベース内の悪用可能な攻撃ベクトルを表していない経路や、多段攻撃の中間段階を表している経路が一般的です。さらにバイトコード解析は、より正確なソースからシンクへのルックアップを実現するため、非常に正確なクラス識別を提供します。

例えば、ユーザーの入力を取得し、そのデータをSQLデータベースのクエリに送信するアプリケーションを考えてみましょう。これは、ハッカーがSQLインジェクション攻撃に使用できるフローであり、攻撃対象であるWebが非常に悪用されやすいことがわかります。バイトコード/コンパイルスキャナは、この例のように、ユーザー入力をSQLクエリで安全に使用できるようにする既知のサニタイザやバリデーターを探せます。サニタイザーがない場合、この例では、開発者が修正する必要のある非常に現実的な問題を示す発見が生成されます。発見内容は、修正グループにまとめられ、最適な修正箇所が示されることもある。これは、コード内のこの場所に修正を実装することで、複数の問題を一度に解決できることを意味する。

画像の説明


ソースコードスキャン

ソースコードスキャン側では、やっていることが少し違います。データフロー解析は行いませんし、データがアプリケーション全体をどのように通過しているかを見ようとすることもありません。データフローを実行するのは、非常に計算コストがかかります。その代わりに、ソースコードやソースコードの断片を直接見て、そのコードが既知の危険なパターンを使っているかどうかを理解しようとします。上の例では、特定のSQLステートメントを含む文字列変数を見て、SQLクエリにデータを変数で連結していないかどうかを確認します。ユーザー入力を連結したSQLクエリの生成は常に避けた方がよいでしょう。これはSQLインジェクションのレシピです。ソースコードスキャナーは、これを脆弱性として強調します。この例における2つのアプローチの主な違いは、データフローエンジンが、連結された変数がソースから来たものか、あるいはユーザーが提供したデータである可能性があるかを判断し、そうでなければ発見を行わないということです。ソースコードスキャンでは、そのような能力はありません。発見された場合、開発者は、連結された変数が潜在的に危険なソースからのものであるかどうかをソースコードを通して確認する必要があります。ソースに対するチェックがないため、ノイズとなる発見が増える可能性がありますが、ソースコードスキャナーにも多くのチェックがあり、既知のサニタイザーが使用されていれば、発見を取り除けます。ノイズの発見があったとしても、多くの場合、危険な慣行や脆弱性が示されるため、パラメータ化されたクエリなど、別のアプローチが必要になる可能性があります。

このアプローチの利点は、ここから得られるすべての発見が、非常にAPIやパターンに特化したものになることです。を説明するために、より的を絞った情報を提示することができることです。

このアプローチの利点は、ここから得られるすべての知見が、非常にAPIやパターンに特化したものになることです。その結果、問題を説明し、より安全な代替アプローチを推奨するための、より的を射た情報を提示できます。これは、セキュリティ欠陥を処理しようとする開発者に、即座に消費可能な価値を提供します。

画像の説明


フィルタリング結果


バイトコード/コンパイルスキャン

このスキャンタイプはより正確ですが、誤検出の数をさらに減らすために、追加のルールを作成できます。すべての静的解析ツールは、標準的なフレームワークについては知っていますが、自社で構築した独自のフレームワークについては知らないはずです。そのため、独自のフレームワークを扱う場合、データのソースが何であるかは分からない。あるいは、潜在的なシンクについて知らないかもしれない。ソースとシンクに関する知識がないため、偽陰性が生まれるのです。これらはスキャナーでは検出できない本当の脆弱性です。データフローについては、これらを検出する自動化された方法がありますが、手動でルールを作成することで、非常に正確で脆弱性の検出率を向上させるられます。同時に、独自のサニタイザーやバリデーターを定義することで、スキャンの精度を向上させられます。

さらに、取得した結果にはDataFlowが含まれ、アプリケーションの様々な部分がデータに触れていることが分かります。結果を調査し、サニタイザーやバリデーターを特定したら、この特定のパスは攻撃に対して脆弱ではない、と言うことができるのです。結果を見ると、ソースからシンクまでたどったデータとそのステップを分析できるため、高度なフィルターを作成できます。このトレースのプロパティに基づいて、特定の問題を隠したり、削除したりすることができるのです。また、異なるソース、シンク、APIによって物事をグループ化することも可能です。ひいては、アプリケーションが特定の攻撃に対して脆弱であるかどうかを迅速に分析する方法を提供します。


ソースコードスキャン

ソースコードスキャンの否定的な点、あるいは好ましくない点の1つは、フィルタリングが比較的基本的なものであることだ。トレースに関することはできませんし、アプリケーションのどの部分がコードをサニタイズしているかを理解するのに役立つような高度なフィルタリングを行うこともできません。そのようなフィルタを作成するために必要なデータを持っていないのです。深刻度、異なる脆弱性タイプ、ファイルなどの項目でフィルタリングできます。また、カスタムルールのオプションもありません。自社開発のフレームワークを使用している場合、そのフレームワークに対するセキュリティの判断は行いません。しかし、あなたのコードで危険な使われ方をしている一般的なフレームワークについては、お伝えできます。

このようにソースからシンクまでのデータ分析を行うオプションがなければ、このような技術は誤検出を起こしやすくなります。例えば、SQL文の中で何かが連結されているのを見たら、SQLインジェクションの可能性があるとして警告を出します。しかし、この何かのデータがどこから来たのか分からないため、危険ではないことを伝えている可能性があります。


使用例


バイトコード/コンパイルスキャン

ソースコードスキャンと比較すると、動作が遅くなるというマイナス面もあります。この種の解析は、多くの計算能力を必要とします。また、コードを効率的に解析できるように、コードがバイトコード形式かコンパイル可能な状態であることが必要です。

ソースコードスキャンよりも時間がかかるので、大規模なアプリケーションの夜間スキャンや手動コードレビューに適しています。この技術は、サイズが小さい最新のマイクロサービスベースのアプリケーションのDevOpsパイプラインの一部として使用できます。

また、DataFlowは、できるだけ多くの脆弱性を早期に正確に発見するために、重要なアプリケーションに推奨されています。

以下のような用途に向いています。

  • 大規模プロジェクトでの一晩のスキャン
  • マイクロサービス向け自動化パイプライン
  • 手動コードレビュー


ソースコードスキャン

ここまで列挙した内容からすると、バイトコード/コンパイルスキャンに軍配が上がりそうな気がしますが、そうではありません。ソースコード・スキャンは、特定のユースケースにおいて非常に強力な効果を発揮することができる。ソースコードスキャンを使うのに最適な場所は、リリースサイクルが非常に速いアプリケーションです。非常に速いリリースを行っていて、素早くスキャンして情報を得たい場合は、ソースコード・スキャンの方が良い選択肢となります。コードのスニペットや最近触ったファイルまでスキャンしてくれるんだ。バイトコードやコンパイル済みのスキャンよりもはるかに速く、検出した内容をすべて教えてくれる。あまり重要でないアプリケーションに使用するとよいでしょう。設定せずにクイックスキャンを実行し、重要な問題を見て、仕事を続けられます。

また、バイトコードがなければ、アプリケーションをコンパイルすることができませんが、これも良いシナリオの一つです。世の中にはたくさんのフレームワークがあり、コードを構築する方法もさまざまです。私たちは最も一般的なものをサポートしていますが、特定のフレームワークをスキャンできないエッジケースは常に存在します。ソースコードスキャンを使えば、コードを読み込むだけで、データフロー解析に必要なグラフの作成を気にすることなく、取り組むことができるようになります。

このような場合に有効です。

  • リリースサイクルが非常に速いアプリケーション
  • アプリケーションの迅速なチェック
  • コンパイルできないアプリケーションやバイトコードがない場合など


共通点

両者に共通するのは、同じ種類の脆弱性を発見することです。問題の数、場所、全体的な情報などは異なるかもしれませんが、どちらのスキャナーも同じ種類の問題を特定し、多くの場合、まったく同じ問題を特定します。注意すべき点は、両者が同じものを見つけるとはいえ、同じものを見つけるということです。結果は同じではありません。データフローでSQLインジェクションを発見し、ソースコードスキャナーで同じSQLインジェクションを発見した場合、ツールによって異なる所見として扱われることになります。一度、一つのスキャナー・タイプで始めたら、同じものを使い続けることをお勧めします。

同じ一般的な修正アドバイザーを利用することができるようになります。具体的な問題への取り組み方、潜在的な影響、適用すべき改善策を読むことができます。両方のスキャナーの結果から、これらの情報を得られます。ソースコードは、ほとんどの場合、特定の API をどのように扱うかについて直接的な情報を与えてくれる。


Cover Image

HCL AppScan Enterprise を使用した Microsoft Azure DevOps における DevSecOps の実現

2022/3/2 - 読み終える時間: 5 分

Achieve DevSecOps in Microsoft Azure DevOps Using HCL AppScan Enterprise の翻訳版です。


HCL AppScan Enterprise を使用した Microsoft Azure DevOps における DevSecOps の実現

2022年2月28日

著者: Parimal Sureshagarkhed / Lead Software Engineering

すべてのWebアプリケーションプロジェクトは、クライアントサーバーアーキテクチャを採用しており、コラボレーションを容易にするために、コードはオンラインリポジトリにプッシュされています。この方法は、アプリとサーバーの継続的インテグレーションとデリバリー(CI/CD)を可能にするためにも重宝されています。Azure DevOpsは、アプリケーションの構築からデプロイ、CI/CDパイプラインの管理までの完全なパッケージを提供する、そのようなプラットフォームの1つです。新しくデプロイされたアプリケーションの安全性はどうなのか、セキュリティテストをCI/CDパイプラインに統合する方法はないのか、考えたことはありますか?その答えは「Yes」です。HCL AppScanエクステンションを使用して、これを実現する方法を探ってみましょう。


インストールと設定

この拡張機能は、Azure DevOps marketplace から自由にダウンロードできます。

拡張機能をインストールしたら、AppScan Enterprise(ASE)のクレデンシャルを KeyID で設定し、Azure DevOpsのService Connectionを使用して設定する必要があります。

画像の説明

画像の説明

ASEサーバーのURL(URLの形式は、https://<ホスト名>:<ポート>/aseのようなものです)を入力し、キーとシークレットを提供します。ASEのkeyIdとSecretを生成するには、このリンクの内容に従ってください。


パイプラインの設定

新しいパイプラインを作成し、以下のようにHCL AppScan Enterpriseという種類のタスクを追加します。

画像の説明

パイプラインに追加されたタスクの関連する詳細を入力します。ASE REST API を使用して、フォルダー ID、テンプレートID、テストポリシーID、アプリケーションIDを取得できます。開始URL」フィールドは、セキュリティスキャンされるアプリケーションのURLです。以下にそのサンプルを示します。

画像の説明


YAML スクリプトの使用

スキャンの設定には、以下のようなyamlスクリプトを使用できます。

以下に例を示します。

ステップ

-task:HCLTechnologies.ApplicationSecurity-VSTS.custom-ase-task.HCLAppScan Enterprise@2

displayName: ‘Run HCL AppScan Enterprise Security Test’

inputs:

ServiceEndPointAse: ‘ASE_227’

jobName: ‘MyFirst_Azure_Scan’

folderId: 4

templateId: 7

testPolicyId: 8

startingURL: ‘https://demo.testfire.net

loginMethod: None

optimization: Fastest

suspend: false

yamlスクリプトがデプロイメントに使用されている場合、上記のステップを追加できます。そうでない場合は、前の図にあるようなタスクを追加できます。

これで、HCL AppScanエクステンションは、あなたのプロジェクトのCI/CDパイプラインに組み込む準備ができました。


主な機能
  • 新しくデプロイされたWebサイトや、ローカルでホストされているサイト、公開サイトをスキャンし、セキュリティタスクを追加して、セキュリティスキャンを行えます。
  • タスクは、アクティビティレコーダーを使用して、Webサイトの特定のフロー(新しくデプロイされたもの、ローカルでホストされているもの、公開サイト)をスキャンできます。この小さなユーティリティーを使用すると、Webサイトのトラフィックとアクションを記録し、それらの記録を選択したAppScan Dynamic分析ツール(HCL AppScan EnterpriseまたはHCL AppScan StandardまたはHCL AppScan On Cloud)にアップロードできます。記録したファイルは、「Azure Repos Git」「GitHub」「GitHub Enterprise Server」「Bitbucket Cloud」に格納でき、記録ファイルのパスをパイプライン構成で指定して同様に使用できるようにすることが可能です。
  • HCL AppScan Enterpriseタイプのタスクを複数追加することで、1つのパイプラインで多くのサイトをスキャンできます。セキュリティテストレポートとともに、各サイトの問題点のセキュリティサマリーが表示されます。このレポートには、スキャンの問題点と、報告された問題点に対する対処法が記載されています。
  • ビルドをトリガーする前に、設定とメールアラートの有効化および構成をサポートする。
  • セキュリティ結果に基づいてビルドが失敗するように設定することができる。例えば、セキュリティの高い脆弱性が5つ以上ある場合、ビルドを失敗させることができる。

以下のように設定できます。

画像の説明

上記の条件を満たした場合、Azure のビルドは失敗し、Azure のコンソールに適切なメッセージが表示されます。コンソールメッセージのサンプルは以下の通りです。

画像の説明

  • 速度と課題のカバレッジのバランスを選択することで、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づいて、深刻度が低い、または可能性が低い脆弱性については、テストポリシーで定義されたテストが省略されます。テストの最適化について詳しくは、こちらをご覧ください。

  • スキャンレポートを JSON および PDF 形式でダウンロードするオプションがあります。PDF レポートは、スキャン実行後のパイプライン ログからパイプライン タスク構成中にアプリケーション ID (オプション フィールド) を選択した場合にのみ生成できます。

  • ビルドサマリー情報には、スキャンが正常に完了すると、深刻度に基づいた問題数が表示され ます。

画像の説明


他の不具合追跡システムとの統合

パイプラインタスクの構成中にアプリケーションID(オプションフィールド)を選択すると、AppScan Enterprise Interfaceで指定したアプリケーションの下にセキュリティ問題を表示できます。AppScan Issue Management Gatewaysサービスにより、課題をAppScan EnterpriseからJira、Azure、Rational Team Concertなどの課題管理アプリケーションに移行できます。


Cover Image

HCL AppScan on Cloud の新機能とは?

2022/2/16 - 読み終える時間: 3 分

What’s New in AppScan on Cloud? の翻訳版です。


HCL AppScan on Cloud の新機能とは?

2022年2月15日

著者: Rob Cuddy / Global Application Security Evangelist

最近AppScan on Cloudをご覧になっていない方は、スキャンをより簡単に、より有意義にするいくつかの素晴らしい新機能を見逃されています。 2021年の終わりには、いくつかの新しい革新と改善が追加され、ユーザーに大きな利益をもたらすと思います。 それでは、追加された機能のいくつかを見てみましょう。


Log4j固有のテスト

Log4jの脆弱性をめぐる様々なニュースから、AppScan on CloudがLog4jの検出と改善ガイダンスを提供するテスト機能を追加することは自然な流れでした。 具体的には、DASTテスト用に新しいセキュリティ・ルールが追加され、このルールはすべてのテスト最適化タイプに自動的に含まれるため、スピードの最適化を行っている場合でもLog4jの問題を見逃す心配がありません。 ASoC の OSA テストは、Log4j で特定された 4 つの CVEs すべてに関連する脆弱性を検出します。 以下の図 1 は、新しいテスト結果が潜在的なリモートコマンド実行の脆弱性を発見した簡単な例を示しています。 また、この DAST テストの例は、YouTube の例で見られます。

図1:AppScan on CloudでのLog4jの脆弱性発見 画像の説明


新しいシングルスキャンレポート

ASoCに追加された非常にクールな新機能の1つが、シングルスキャンビューです。 以下の図2は、この新しいビューがどのように見えるかの例を示しています。 これはスキャンに関する詳細なレポートであり、スキャンの実行中にも見ることができる。 訪問したページの数、テストした要素、発見された問題を確認できます。 スキャンが完了すると、問題を表示したりフィルタリングしたり、レポートをダウンロードできます。 スキャンレポートの列はクリックすることもでき、issueタブのフィルタリングリストにつながります。 また、スキャンで発見された新しい課題をスキャンカードに表示し、そのスキャンで最初に発見された課題まで具体的に掘り下げることができるようになりました。

もう一つの大きな特長は、issueタブで個々のissueに簡単にコメントを追加できることです。 課題をクリックし、"コメント "を選択するだけです。 この機能は、チームメンバーとフィードバックを迅速かつ容易に共有するために使用できます。

図2:AppScan on Cloudの新しいSingle Scan View 画像の説明


新しい対応言語

ASoCは最近、主にIBM IやOS/400システムで使用されるビジネスアプリケーション用のプログラミング言語であるRPG(Report Program Generator)をサポートすることを発表しました。 RPGの詳細については、programmer.ioのサイトを参照してください。 これはASoCユーザーにとって、.rpg, .rpgl, .rpgleのファイルタイプが静的解析に含まれるようになったことを意味します。 この記事を書いている時点で、AppScan on Cloudは30以上の異なる言語をサポートしています。


より高い柔軟性と制御性

AppScan on Cloudが常に注力しているのは、有意義で効果的な脆弱性修正につながるスキャンをより簡単に実行できるようにすることです。 この取り組みの一環として、2021年版OWASP Top 10の新しいレポートタイプを追加し、ASoCユーザーがスキャンを制御するための柔軟性を高めるためのいくつかの新機能を追加しました。

具体的には、以下のものが追加されました。

  • .NETネームスペースを含む、含まないの両方をサポートします。

  • Java並列処理時のキャッシュ位置の指定が可能になりました。

  • 新しい Rider プラグイン

  • アプリケーションで初めて発見された問題を表示するためのサポートが強化されました。

  • 設定されたスケジュールのスケジュールと編集をより簡単に行えるようになりました。

  • スキャンの "Scheduled "と "Repeat "の状態を示す新しいアイコンが追加されました。

  • 最後に、30分間操作がない場合の自動ログアウトを割り当て、ビジネスユニットの管理方法について2つの変更を追加しました。

  • また、ビジネスユニットの管理方法に2つの変更を加えました。


IASTに特有のもの

そしてもちろん、ASoCに関する議論は、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)のために追加された新機能を強調することなしには完了しません。 今回は、IASTエージェントの設定を更新する機能を追加し、全体的なパフォーマンスの向上、Java 17のサポート、Javaプロパティでプロキシが設定されている環境でのAppScan Enterpriseとの通信のサポートを強化するための変更を加えました。 また、IASTにいくつかの新しいセキュリティ機能を追加しました。 これには、JaxBクラスのXXEを識別できるようになったことが含まれます。 この特定の脆弱なクラスに関する詳細情報は、OWASP XXE サイトで確認できます。 また、JSON XSS 情報の問題(脆弱なデータが JSON としてレスポンスに書き込まれる XSS の亜種)の検出も追加されました。


まとめ

すでにAppScan on Cloudのユーザーであれば、これらの新しい追加機能の利点を享受できると確信しています。 また、そうでない場合は、AppScan on Cloudのサイトにアクセスし、無料トライアルに登録してご自分の目で確認されることをお勧めします。


このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修