HCL AppScan 新バージョン 10.3.0 でこれまでよりも多くの脆弱性を発見

2023/8/3 - 読み終える時間: 2 分

Find More Vulnerabilities Than Ever Before with the new HCL AppScan Version 10.3.0 の翻訳版です。

HCL AppScan 新バージョン 10.3.0 でこれまでよりも多くの脆弱性を発見

2023年8月2日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL AppScan は、HCL AppScan Standard、Enterprise、および Source の 3 つのオンプレミス ソフトウェア製品のバージョン 10.3.0 のリリースにより、加速されたイノベーション ロードマップを引き続き推進しています。 安全なアプリケーションの構築とソフトウェア サプライ チェーンの理解に重点を置いている組織は、さらに広範囲の脆弱性の対象範囲、ユーザー エクスペリエンスの向上、およびシークレット スキャンの追加による恩恵を受けることができます。 バージョン10.3.0。 は、3 つのプラットフォーム全体でこれらの機能強化と改善を活用したいと考えている新規および既存の顧客にすぐに採用されることが期待されます。

脆弱なサードパーティ製コンポーネントの検索

ソフトウェア開発の速いペースはサードパーティのコンポーネントとライブラリの使用に依存しているため、エンジニアはアプリケーション コードのすべての部分を最初から開発する必要がありません。 時間が経つにつれて、これらのコンポーネントを追跡すること、そして最も重要なことに、コンポーネントがコードベースに脆弱性をもたらしているかどうかを判断することがますます困難になります。 データ侵害を回避するには、すべてのサードパーティ コンポーネントをカタログ化し、どのコンポーネントに既知の脆弱性があるかを確認することが重要です。

脆弱なサードパーティ コンポーネントの検出機能は、HCL AppScan Standard と HCL AppScan Enterprise の両方のバージョン 10.3.0 の新機能で、フィンガープリントを使用して最もよく使用されているクライアント側およびサーバー側のテクノロジーを特定し、それらの脆弱性を報告します。 DAST (動的アプリケーション セキュリティ テスト) と脆弱なサードパーティ コンポーネントの検出を併用すると、より広範囲の脆弱性をカバーできるため、既知の脆弱性を持つライブラリを特定し、すべての DAST 結果と併せてそれらの発見結果を確認できます。

HCL AppScan ソースを使用したシークレットのスキャン

バージョン 10.3.0 にはシークレット スキャンが追加され、ソフトウェア サプライ チェーンのセキュリティがさらに前進しました。 HCL AppScan Source にある SAST (Static Application Security Testing) スキャン エンジンを使用することで、開発者やソフトウェア エンジニアが開発中に誤ってソース コード リポジトリに保存したシークレット、資格情報、社会保障番号、API キーなどを特定できるようになりました。 シークレットが意図的にファイルに埋め込まれたままになることはほとんどありませんが、シークレットは見落とされる可能性があり、悪意のあるハッカーがリポジトリにアクセスする機会を得る可能性があります。

OWASP API セキュリティ トップ 10 を 100% カバー

OWASP Foundation は、コミュニティ主導のオープンソース プロジェクトを主導し、アプリケーション セキュリティの研究と指導を行っています。 API セキュリティ トップ 10 リストは、アプリケーション プログラミング インターフェイス (API) の最も一般的な脆弱性とセキュリティ リスクに焦点を当てています。

HCL AppScan 10.3.0 は、認可、機密性の高いビジネス フローへの無制限のアクセス、サーバー側のリクエスト フォージェリなど、リストにある脆弱性とセキュリティ リスクを 100% カバーするようになりました。 これらの問題のうち 10 件中 9 件は、HCL AppScan Standard と Enterprise の両方の DAST で見つかります。 10 番目の問題は、HCL AppScan Enterprise の顧客向けの IAST (Interactive Application Security Testing) に関するものです。

ワークフローを容易にする直感的なダッシュボード

HCL AppScan は、四半期リリースごとに構成 UI (ユーザー インターフェイス) を継続的に改善し、あらゆるアクションのコンテキストを反映するように顧客エクスペリエンスを合理化します。 煩わしいツール バーは、ユーザーがスキャン ワークフローのどの位置にいるのか、次のステップに進むには何が必要なのかを反映する、わかりやすいスキャン アクション ボタンに置き換えられました。 バージョン 10.3.0 では、ユーザーがテスト ポリシーと増分スキャンを操作し、可視化する方法の改善に特別な注意が払われています。

さらなる言語サポート、自動化、コンプライアンスレポート

HCL AppScan は、HCL AppScan Source、HCL AppScan 360°、HCL AppScan on Cloud を含むすべての製品で共通の SAST エンジンを使用します。 これにより、3 つのプラットフォームすべてで新しい言語と機能拡張をより迅速に導入できるようになります。 バージョン 10.3.0 のリリースでは、HCL AppScan ソースに Rust の言語サポートが追加され、Java と Ruby の両方のスキャンのサポートが強化されました。

お客様は、ワークフローを文書化して他のエンジニアが従うべき例を提供するなど、プロセスを自動化するさらなる方法を常に探しています。 HCL AppScan Source では、バージョン 10.3.0 でコマンド ライン インターフェイスが改善され、Podman サポートの追加や Jenkins と Azure による自動化の改善など、自動化が容易になりました。

HCL AppScan Enterprise は、NIST (国立標準技術研究所) の最新ガイドラインである SP 800-53A Rev. 5 をサポートするために、コンプライアンス レポートも改善しました。NIST は、組織内のセキュリティとプライバシーの管理を評価するための方法論と手順を提供します。

業界をリードする HCLSoftware のアプリケーション セキュリティ テスト プラットフォームとサービスのスイートについて詳しくご覧ください。 または、今すぐバージョン 10.3.0 を試すためのデモについてお問い合わせください。