Cover Image

HCL AppScan on Cloud の活用による Jenkins でのより安全なコーディングの実現
2022/12/6 - 読み終える時間: 2 分

Leveraging HCL AppScan on Cloud for More Secure Coding in Jenkins の翻訳版です。

HCL AppScan on Cloud の活用による Jenkins でのより安全なコーディングの実現

2022年12月1日

著者: Parimal Sureshagarkhed / Lead Software Engineering

Jenkins は、継続的インテグレーション/継続的デリバリー(CI/CD)パイプラインでアプリケーションを構築しようとする開発者向けの主要なオープンソースの自動化サーバーです。もしあなたがJenkinsを使用している開発者で、アプリケーションのセキュリティにも気を配っているのであれば、次のような疑問があるかもしれません。私がオンライン・リポジトリにプッシュしたコードは、どの程度安全なのでしょうか?開発ツール間を行き来することなく、それを確認する方法はあるのだろうか?この種のセキュリティをJenkinsのパイプラインに統合することは可能なのだろうか?

答えは、"Yes "です。Jenkins用のHCL AppScanプラグインを使えば、このすべてが実現でき、セキュリティをCI/CDパイプラインに効果的に統合することができるのです。プラグインをダウンロードし、インストールし、AppScan on Cloud(ASoC)で構成すると、アプリケーション・セキュリティは簡単に管理できる優先事項になります。

まず、このプラグインは、開発者がプロジェクトのコーディングやビルド中にセキュリティ脆弱性のチェックを実行するためのツールを提供し、JenkinsとASoCを行き来する必要がありません。また、AppScan on Cloudは、SAST(Static Application Security Test)スキャンを実行するために使用する場合、さまざまな言語をサポートしており、プラグインを使用する場合、この機能を活用できます。

画像の説明

また、プラグインを使用することで、Intelligent Finding Analytics(IFA)やIntelligent Code Analytics(ICA)といったAppScanの機械学習機能(実行可能な問題やFixグループに基づく結果を提供)を利用できます。

IFAは強力な機械学習技術で、特に誤検出をフィルタリングし、修正によって改善できる発見を1つのコードポイントにグループ化することによって、トリアージ作業の大部分を代行します。IFAについては、こちらの記事で詳しく紹介しています。

さらに、静的解析スキャンでは、Intelligent Code Analytics (ICA) を使用します。ICAは、新しいアプリケーション・プログラミング・インターフェース(API)を自動的に検出し、セキュリティへの影響を評価します。ICAを通じて、すべてのサードパーティのAPIとフレームワークがレビューされ、適切なセキュリティ影響が割り当てられます。これにより、より完全なスキャン結果を得られます。ICAの詳細については、この記事をお読みください。

スキャンの設定時に、見つかった深刻度の高い脆弱性の数など、指定したセキュリティ結果に基づいてビルドが失敗するように設定できます。また、速度と問題の網羅性のバランスを選択することで、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づいて、深刻度の低い脆弱性や可能性の低い脆弱性については、テストポリシーで定義されたテストを省略します。テストの最適化について詳しくは、こちらをご覧ください。

HCL AppScan On Cloudのデモについては、このビデオ (Jenkinsとの統合) をご覧ください。

HCL AppScanプラグインを使用して、Jenkinsで「DevOps」を「DevSecOps」に変えてください。詳細については、HCL AppScan のウェブサイトをご覧いただくか、このリンクからHCL AppScan On Cloudの30日間無料トライアルを開始してください。

画像の説明

Search

Categories

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修