HCL AppScan 360° と Jenkins および Azure DevOps の統合により強力な DevSecOps を提供
2023/9/11 - 読み終える時間: 3 分
HCL AppScan 360° Integrations with Jenkins and Azure DevOps Provides Powerful DevSecOps の翻訳版です。
HCL AppScan 360° と Jenkins および Azure DevOps の統合により強力な DevSecOps を提供
2023年9月7日
Parimal Sureshagarkhed / Lead Software Engineering
Facebook、Netflix、Amazon などの巨大 Web サイトが、どのようにしてダウンタイムやユーザー エクスペリエンスの中断を感じさせることなく、Web サイトに新機能を追加し続けているのか疑問に思ったことはありますか? その多くは、アプリケーションの革新をますます高速化できるクラウドベースの開発プラットフォームで実現されています。
クラウドベースのサービスは、この種の開発の多くに使用されることが増えていますが、すべてのユースケースに適しているわけではありません。 おそらく、テストのために機密コードをクラウドに送信することにセキュリティ上の懸念があるかもしれません。 おそらく、クラウド サービスはあなたの業界や場合によってはあなたの国によって許可されていないでしょう。 クラウドが選択肢にない場合は、HCL AppScan 360° を検討してください。 HCLSoftware のこの新しいセルフマネージド アプリケーション セキュリティ テスト プラットフォームは、オンプレミスまたはプライベート クラウドにデプロイでき、業界をリードするクラウドベースの SaaS (ソフトウェアとしてのソフトウェア) である HCL AppScan on Cloud と同じ最新の UI、速度、統合を提供します。 サービス)の提供。
これら 2 つのプラットフォームには、アプリケーション セキュリティ テスト機能 (SAST、DAST、IAST、SCA) の完全なスイートが含まれており、セキュリティ体制を強化し、セキュリティ体制を可視化するための一元化されたダッシュボードを組織に提供します。
HCL AppScan 360° アーキテクチャ
統合と機能
HCL AppScan 360° を使用すると、Jenkins や Azure などの業界をリードする CI/CD ツールの統合を使用して、アプリケーションを継続的に更新およびリリースできます。
HCL AppScan 360° 統合を使用すると、スキャンとスキャン データのプライバシーが維持されます。 セキュリティ スキャン データはユーザーの環境内にあるため、ユーザーがセキュリティ テスト用に別のテスト データを作成するという必須の要件はありません。 また、スキャン データは非常に安全であり、ユーザーの環境外からはアクセスできないため、監査やコンプライアンスに向けた追加の取り組みは必要ありません。
Jenkins と Azure のパイプラインがさまざまなジョブをさまざまなエージェント マシンに割り当てるコントローラー エージェント構成を使用して、分散ビルドを管理できます。 このアプローチを使用すると、新しく構築された複数のプロジェクトの SAST (静的アプリケーション セキュリティ テスト) スキャンを効率的に適用できます。 各プロジェクトの問題のセキュリティ概要がセキュリティ テスト レポートとともに表示されます。
セキュリティテストレポート
HCL AppScan は、スキャンの問題を含む包括的で詳細なセキュリティ テスト レポートと、報告された問題の修復ガイダンスを提供します。 レポートは、開発者やセキュリティ アナリストなどの複数の関係者がアクセスして使用できるように設計されています。 ここでサンプルレポートを表示できます。 SAST スキャンの実行時に取得されるサンプルのビルド概要を以下に示します。
ユーザーは、スキャン名「Demo_SAST_AppScan360」をクリックするだけでスキャン レポートを表示できます。 HCL AppScan 360° は、CrossSite Scripting (XSS)、SQL インジェクション、弱い認証、メール フィッシングなどを含む広範な問題リストについてアプリケーションをテストできます。
ソース コードのみ (SCO) スキャンを実行して、コンパイルされていないコードをセキュリティ スキャンして問題を回避し、プロジェクトが進みすぎる前にプログラムによるアプローチを確認することもできます。 問題は報告され、脆弱なコードの修正が提案されます。
指定した数の重大度の高い脆弱性などのセキュリティ結果に基づいてビルドが失敗するように構成できます。 このような場合の Jenkins ビルドのサンプルメッセージを以下に示します。
クラウドネイティブのアプリケーション セキュリティ プラットフォームである HCL AppScan 360° は、Intelligent Finding Analytics (IFA) や Intelligent Code Analytics (ICA) などの実証済みの AI/機械学習機能を使用して、より広範囲のスキャン範囲とより短い時間でより正確なスキャンを提供します。 速度と問題範囲のバランスを選択することで、スキャン時間を短縮できます。 基本的なセキュリティ問題を特定するには、開発ライフサイクルの早い段階でより高速なスキャンを選択します。 サイクルの後半でより詳細なスキャンを選択して、アプリケーションを完全にカバーできるようにします。
HCL AppScan 360° の初期リリースは、SAST またはソース テストに焦点を当てています。SAST、DAST、IAST、および SCA テクノロジーはすべて、クラウド上でサービスとして利用できます (HCL AppScan on Cloud)。 将来の HCL AppScan 360° リリースでは、クラウド ネイティブ、ソブリン クラウド、MSP、連邦サポートなど、増加する導入オプションで 4 つのテクノロジーすべてが展開される予定です。
HCL AppScan 360° とHCLSoftwareのすべてのアプリケーション セキュリティ ソリューションの詳細をご覧いただくか、HCL AppScan 360° の取り組みを今すぐ開始するにはお問い合わせください。