HCL AppScan on Cloud の活用による Jenkins でのより安全なコーディングの実現

2022/12/6 - 読み終える時間: 2 分

Leveraging HCL AppScan on Cloud for More Secure Coding in Jenkins の翻訳版です。

HCL AppScan on Cloud の活用による Jenkins でのより安全なコーディングの実現

2022年12月1日

著者: Parimal Sureshagarkhed / Lead Software Engineering

Jenkins は、継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインでアプリケーションを構築しようとする開発者向けの主要なオープンソースの自動化サーバーです。もしあなたがJenkinsを使用している開発者で、アプリケーションのセキュリティにも気を配っているのであれば、次のような疑問があるかもしれません。私がオンライン・リポジトリにプッシュしたコードは、どの程度安全なのでしょうか？開発ツール間を行き来することなく、それを確認する方法はあるのだろうか？この種のセキュリティをJenkinsのパイプラインに統合することは可能なのだろうか？

答えは、"Yes "です。Jenkins用のHCL AppScanプラグインを使えば、このすべてが実現でき、セキュリティをCI/CDパイプラインに効果的に統合することができるのです。プラグインをダウンロードし、インストールし、AppScan on Cloud（ASoC）で構成すると、アプリケーション・セキュリティは簡単に管理できる優先事項になります。

まず、このプラグインは、開発者がプロジェクトのコーディングやビルド中にセキュリティ脆弱性のチェックを実行するためのツールを提供し、JenkinsとASoCを行き来する必要がありません。また、AppScan on Cloudは、SAST（Static Application Security Test）スキャンを実行するために使用する場合、さまざまな言語をサポートしており、プラグインを使用する場合、この機能を活用できます。

また、プラグインを使用することで、Intelligent Finding Analytics（IFA）やIntelligent Code Analytics（ICA）といったAppScanの機械学習機能（実行可能な問題やFixグループに基づく結果を提供）を利用できます。

IFAは強力な機械学習技術で、特に誤検出をフィルタリングし、修正によって改善できる発見を1つのコードポイントにグループ化することによって、トリアージ作業の大部分を代行します。IFAについては、こちらの記事で詳しく紹介しています。

さらに、静的解析スキャンでは、Intelligent Code Analytics (ICA) を使用します。ICAは、新しいアプリケーション・プログラミング・インターフェース（API）を自動的に検出し、セキュリティへの影響を評価します。ICAを通じて、すべてのサードパーティのAPIとフレームワークがレビューされ、適切なセキュリティ影響が割り当てられます。これにより、より完全なスキャン結果を得られます。ICAの詳細については、この記事をお読みください。

スキャンの設定時に、見つかった深刻度の高い脆弱性の数など、指定したセキュリティ結果に基づいてビルドが失敗するように設定できます。また、速度と問題の網羅性のバランスを選択することで、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づいて、深刻度の低い脆弱性や可能性の低い脆弱性については、テストポリシーで定義されたテストを省略します。テストの最適化について詳しくは、こちらをご覧ください。

HCL AppScan On Cloudのデモについては、このビデオ (Jenkinsとの統合) をご覧ください。

HCL AppScanプラグインを使用して、Jenkinsで「DevOps」を「DevSecOps」に変えてください。詳細については、HCL AppScan のウェブサイトをご覧いただくか、このリンクからHCL AppScan On Cloudの30日間無料トライアルを開始してください。