HCL AppScan Fix Groups でアプリケーションコードをより早く脆弱性から守る
2024/2/19 - 読み終える時間: 2 分
Secure Application Code Against Vulnerabilities Faster with HCL AppScan Fix Groups の翻訳版です。
HCL AppScan Fix Groups でアプリケーションコードをより早く脆弱性から守る
2023/12/20
著者: Itay Levin / Design Lead for HCL AppScan
静的アプリケーション・セキュリティ・テスト(SAST)は、ウェブ・アプリケーションとAPIのソースコードをスキャンし、セキュリティ・リスクになり得る脆弱性を探します。この種のコードスキャンに関する根強い課題の1つは、これらのツールが膨大な数の発見をもたらす可能性があることです。これらの発見のうち、どれが修正が必要な重大な脆弱性であるかを見極めるのは、困難で時間のかかる作業になりかねません。
HCL AppScanには、スキャン結果の数を劇的に減らし(数千件から数百件に)、誤検出を実質的に排除する内蔵AIをはじめ、こうした課題を解決するためのソリューションが多数用意されています。
HCLSoftwareのクラウドおよびクラウドネイティブプラットフォーム(HCL AppScan on CloudおよびHCL AppScan 360°)の両方にFix Groupsが追加されたことで、トリアージと修復の時間が大幅に改善されました。
HCL AppScan がサポートする 3 種類の修正グループ
-
共通修正ポイント - この修正グループは、.NetやJavaのようなコンパイル済みの言語で、静的スキャナがデータ・フロー解析を実行してトレース結果を生成する場合に適用されます。この修正グループは、トレースが共通のノードを介して流れる同じ脆弱性タイプのすべての発見を組み合わせます。その共通ノードの問題を修正することで、この修正グループ内のすべての発見が解決される。
-
共通 API - 共通APIグループは、プロジェクト全体で使用されている特定のAPIに関連するすべての発見を集める。これらの問題は、別のAPIを使用するか、元のAPIの使用方法を変更することで、グループとしてまとめて解決できます。
-
共通オープンソース - オープンソースグループは、脆弱性のあるライブラリに関連するすべての問題を表示します。ライブラリの脆弱性が特定されると、関連するすべての問題は、ライブラリを更新するか変更することで、グループとして修正できます。
異なる修正グループの使用方法
修正グループのメインビュー
新しい「修正グループ」ビューには、優先順位付けプロセスにおいて修正グループの作業がどの程度効率的になるかを理解するための 2 つの KPI があります。実行される修復タスクの総数、およびそれらのタスクに関連するグループで見つかった問題の総数です。
新しい修正グループのデザインでは、UIが改善され、グリッドが表示されるようになりました。列は、修正グループのタイプ、重大度、ポリシーなどで並べ替えられます。
このレビューで行を選択すると、修正グループの詳細ドロワーが開き、複数のコメントを追加したり、各修正グループの監査を表示したりできます。
修正グループの課題
修正グループの課題ビューが更新され、各グループに関連する課題を確認できるようになりました。詳細は画面上部に表示され、コメントを表示または追加できます。修正グループのissueの表は、各修正グループのタイプに関連する列で再編成されました。例えば、共通修正ポイントではソース、シンク、ファイル名が、共通APIではコンテキストとファイル名が、オープンソースCVEでは場所が表示されます。
すでにHCL AppScan on CloudまたはHCL AppScan 360°を静的解析に使用している場合は、Fix Groupsを試してみてください。
HCL AppScan SASTをまだご利用でない場合は、無料トライアルをご利用いただき、この強力なテクノロジーがお客様のアプリケーション・セキュリティをどのように変革できるかをご確認ください。