HCL AppScan: Jenkinsパイプラインにセキュリティスキャンを簡単に統合
2022/11/7 - 読み終える時間: 3 分
HCL AppScan Integrates Security Scanning Easily into the Jenkins Pipeline の翻訳版です。
HCL AppScan: Jenkinsパイプラインにセキュリティスキャンを簡単に統合
2022年10月31日
著者: Parimal Sureshagarkhed / Lead Software Engineering
オープンソースの自動化サーバーである Jenkins でアプリケーションを構築している(または構築に興味がある)世界中の多くの開発者の一人であるあなたに、お知らせがあります。Jenkins用のHCL AppScanプラグインを使用すると、Jenkinsの継続的インテグレーション/継続的(CI/CD)デリバリーパイプラインにダイナミックアプリケーションセキュリティテスト(DAST)をそのままシームレスに統合することができるようになります。
アプリケーション・セキュリティに関しては、脆弱性を早期に捕捉することが重要です。HCLプラグインを使用すると、アプリケーションのビルド後、本番稼動前のステージングプロセスでDASTスキャンを実行できます。さらに、AppScanはアプリケーション全体を再テストする代わりに、変更されたアプリケーションの部分のみを自動的にスキャンすることで、さらに時間を節約できます。
注目すべき機能
-
Jenkinsが様々なスレーブマシンに異なるジョブを割り当てるJenkinsマスタースレーブ構成を使用して、分散ビルドを管理できます。このアプローチでは、新しくビルドされた複数のプロジェクトや新しくデプロイされたWebサイトに対してDASTおよびSAST(静的アプリケーションセキュリティテスト)スキャンを効率的に適用することが可能です。セキュリティテストレポートと一緒に、それぞれのセキュリティ問題の概要が表示されます。このレポートには、スキャンの問題点と、報告された問題点に対する対処法が記載されています。HCL AppScanのレポートは膨大かつ詳細であり、開発者やセキュリティアナリストなど複数の関係者が利用することができる。
-
このタスクは、[Activity Recorder]() を使用して、Webサイトの特定のフロー(新しく導入されたもの、ローカルでホストされているもの、公開サイト)をスキャンできます。この小さなユーティリティを使用すると、Webサイトのトラフィックとアクションを記録し、それらの記録を選択したAppScan Dynamic分析ツール(HCL AppScan Enterprise または HCL AppScan Standard または HCL AppScan On Cloud)にアップロードできます。
-
HCL AppScanプラグインは、ビルドをトリガーする前に、設定の有効化および構成だけでなく、メールアラートもサポートします。
-
HCL AppScanプラグインは、ビルドをトリガーする前に、設定の有効化およびメールアラートの設定をサポートします。
-
スキャン速度と問題範囲のバランスを選択することにより、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づき、深刻度の低い脆弱性や可能性の低い脆弱性については、テストポリシーで定義されたテストを省略できます。
-
テストレポートはJSONフォーマットで提供されます。
-
AppScan Issue Management Gateway サービスを使用して、AppScan EnterpriseからJira、Azure、Rational Team Concertなどの他の課題管理アプリケーションに課題を移行することが可能です。
HCL AppScan Enterpriseのデモはこちらの Jenkins との統合のビデオをご覧ください。
HCL AppScanプラグインを使用してJenkinsパイプラインに直接セキュリティテストを追加することで、より高い信頼性と時間のロスなしにアプリケーションを本番稼動させることができます。HCL AppScanのウェブサイトで詳細をご覧になるか、このリンクからHCL AppScan Enterpriseの30日間無料トライアルを開始し、ご自身でアプリケーション・セキュリティをテストしてください。