AST - アプリケーションセキュリティテストの疑問: 「誰が」「何を」「なぜ」「どこで」?

2020/10/30 - 読み終える時間: 3 分

?AST - The Who, What, Why and Where of Application Security Testing の翻訳版です。


AST - アプリケーションセキュリティテストの疑問: 「誰が」「何を」「なぜ」「どこで」?

2020年10月28日

著者: Shahar Sperling / Chief Architect at HCL AppScan

画像の説明

アプリケーションのセキュリティテスト技術を選ぶことは、単純な作業ではありません。直感的に、あなたは自分自身に尋ねるでしょう、 "最高の技術は何ですか?" その答えを見つけたら、あとは自分が一番気に入った製品を選ぶだけの簡単な作業です。

私は直感の大ファンなのですが、この場合、検討範囲を完全に理解していないと直感が誤解を招くことになります。上の質問は基本的に "DAST vs. SAST vs. IAST" という考え方をしていますが、本来は "DAST & SAST & IAST" であるべきなのです。AppScan の世界では、DAST から SAST、そして IAST へと拡大していく中で、私たちは10年以上前にこの結論に達しました。この拡大は、単にお客様に多くのオプションを提供するだけの問題ではないということに気付いたからです。スキャン範囲を改善してリスクを低減し、DevOps ライフサイクルのより多くの場所でセキュリティテストを適用し、適切な仕事に適切な技術を使用し、適切な人に適切なツールを提供することが重要なのです。テクノロジーは互いに置き換えられるものではなく、互いに補完し合い、隣り合わせに存在します。

なぜ、みなさまは単一のテクノロジーを求めているのでしょうか

技術には長所と短所があり、対象者も違えば、さまざまな種類の結果をもたらし、さまざまな条件のもとで活躍する技術もあります。開発とリリースのライフサイクルには、多くの段階があり、様々なスキルや専門分野を持つ多くの参加者がいます。可能な限り最も効果的なセキュリティテストを実施するために、ライフサイクルの異なるポイントで技術を導入することができますし、導入すべきです。

単一の技術の探索は、通常、次の3つの理由に起因します。

  • 予算の制約: 支出は常に組織の関心事であり、制約があるかもしれません。
  • プロファイルと政治性: 組織で働く人々のタイプ、誰の話を聞いているか、どのブログを読んでいるかなど。組織の一部がセキュリティプログラムに参加する意思があるかどうか、また、その結果として生じる腕ひねり(いわゆる、政治)は、すべて技術の選択に影響を与える。
  • 誤情報: あるいは、過剰な情報。知っていることが多すぎても、十分でなくても、同じように混乱することがある。

それぞれの技術の使用状況をフレーム化するために、さらにいくつかの質問をしてみましょう。これらの質問はプログラムを設計するのに役立ちますが、それでも一つの技術を選択することが目的であるならば、決定するのに役立つはずです。

誰がスキャンを実行するのですか

この質問は、厳密には誰がスキャンの設定や設定を行うかということではありません。誰が実行するかという質問でもあります。特別な制限があるわけではありませんが、技術には、他の技術よりもはるかに適した特定のユーザータイプが存在することがよくあります。

開発者: 開発者は SAST スキャンを実行することで最も恩恵を受けることができますが、IAST も活用することができます。

QA エンジニア: QA エンジニアは、特別な相互作用がないため、IAST スキャンの実行に最も適している可能性が高いです。スキャンは、彼らが通常のQA作業(手動または自動化されたテスト)を行っているときに起こります。QAエンジニアは、DASTスキャンを実行することはほとんどなく、通常、SASTの開発環境にアクセスすることはありません。

セキュリティの専門家とペンテスター: セキュリティの専門家とペンテスターは、SAST と DAST が相性が良いと考えていますが、ほとんどの場合、IAST を使用することはありません。

結果を誰が受け止めるのか

これは、アウトプットが可能な限り実行可能なものになるようにしたいので、重要です。最終的には、開発者がすべてのスキャン結果を受け取り、それに基づいて行動する必要があります(つまり、修正する必要があります)。しかし、追加のキャッチャー(オペレーションやITなど)や中間処理者がいるかもしれません。

SAST と IAST の結果は、開発者にとって最も直接的に消費可能なものです。これらの結果は、開発者にとって最も直接的な情報(特定のコードの位置など)を保持しています。しかし、コードロケーションよりもレクリエーションシナリオを好む開発者は、DAST の方がより多くの利益を得られるかもしれません(これは、ユーザーが何に慣れるかの問題です)。

DAST の結果は、専門家やペンテスター、あるいは運用/IT (インフラストラクチャーの問題を修正するための) にとって、より意味があります。コードは、ほとんどの場合、彼らにとってはアクセスできないか、無関係なものです。

スキャンはいつ実行すべきでしょうか

スキャンには時間がかかります。コードレビュー、ユニットテスト、自動化された機能テストなど、開発ライフサイクルに別のタスクを導入する場合は、注意して行わなければなりません。セキュリティテストはそのようなタスクの一つに過ぎませんが、通常は無視されています。何が最も重要なのかを考える必要があります。

できるだけ早期に問題を発見することが最重要であるならば、SAST を使ってセキュリティテストを開発者に導入することは素晴らしい選択です。また、開発者は、特定の DAST テストアプローチが非常に有用であることに気づくことができます。

主な目的が既存のワークフローへの混乱を最小限に抑え、その影響を気づかれないようにすることであるならば、IASTはおそらくあなたの選択するテクノロジーです。アプリケーションと一緒にデプロイするために IAST を設定することは、一度だけの操作であり、一度それが行われると、アプリケーションは常に監視されます。アプリケーションとのインタラクション(自動機能テスト、手動テスト、統合テスト)があるたびに、アプリケーションはセキュリティの問題がないか監視されます。

あなたは、既存のチームの外部にテスト専門の新しいチームを作りたいと考えているかもしれません。そのような場合、DAST のテクノロジーは、彼らが選択するツールとなるでしょう。DAST は、テスターに、基礎となるコードや実行中のアプリケーションから最大限の分離を提供します。

スキャンの期待される結果は何ですか? 何を達成しようとしているのでしょうか?

これらは愚かな質問のように聞こえます。これらの質問は愚かな質問のように聞こえますが、その答えは、「アプリケーションをより安全にしたい!」ということです。しかし、使用する技術の種類を制限することは、ある種の節約を達成することを意味します。あなたは、金銭的にも、時間的にも、あるいは他のどんな条件でも、費用対効果を得ようとしています。そのためには、これらの質問に正直に答える必要があります。

例えば、サーバサイドのコードの安全性をより重視したり、優先順位を高くしたりしているかもしれませんし、開発者に開発ライフサイクルの可能な限り早い段階で問題に対処してもらいたいのであれば、SAST は正しい判断かもしれません。

もう一つの例としては、開発者の気が散るのを避け、時間の節約を促すことを優先することが挙げられます。これらの優先順位を満たすためには、IAST が適切でしょう。この技術は、あなたが何か他のことをしている間に欠陥を特定します。問題点を特定するのに必要な労力はほとんどありません。その「他のこと」をしている間に実行されているコードに限定されますが、基準セットの中では非常に安価です。

オーバーレイと外挿

これを読むと、誰がいつ何を使うべきかという明確な線引きがあると思うかもしれません。現実はもちろんもっと複雑で、重要なのは、それぞれの技術の長所と適合性を見極め、そのラインに沿って最適化することです。

そのラインを表すパラメータには、スキャニングの強さ、限界、リスク、想定ターゲットユーザー(ベンダーが想定)の 4つがあります。

SAST SAST は、サーバサイドの脆弱性(Webアプリケーションでは、モバイルとデスクトップアプリケーションのすべての側面をカバーしています)を特定するのに適しています。クライアント側の脆弱性も、特定の状況下では検出することができますが、SAST が得意とするところではありません。SAST の結果は、かなりの量のトリアージとクリーンアップを必要とする可能性があります。このプロセスは些細なものではなく、数回のサイクルを必要とすることもありますが、コード指向の結果は開発者にとって理想的であり、迅速な修正のターンアラウンドを得るために非常に効果的です。

DAST DAST はサーバサイドの脆弱性に対しても非常に良い仕事をしますが、3つの技術の中ではクライアントサイドの脆弱性に対して最も良い仕事をします。また、その能動的な性質により、はるかに正確な検証が可能となり、誤報告を減らすことができます。コードの位置がわからない一方で、テストペイロードはデバッグに役立ち、これは実行可能な代替手段として役立つかもしれません。DAST には、ある種の盲点があります。DAST が依存している、外部から見える副作用を発生させない問題を特定することはできません。DAST は、アプリケーションの入手困難な部分を見逃してしまう可能性があるため、カバレッジも問題となります。ユーザーがコードや実行中のアプリケーションと対話する必要がないため、DAST は、ペンテスターや帯域外のテストサイクルに最も適したツールです。

IAST IAST の強みは、サーバサイドの脆弱性検出にもあります。多くの点で SAST と多くの特長を共有していますが、結果の質がアプリケーションの機能のカバレッジの質に直接依存するという重大な制限があります。SAST の利点の一つは、内部コードの表現とともにリクエストデータを提示することです。これは、そうでなければ SAST にはない再現性とデバッグ機能を可能にします。第二の利点は、提案されたサニテーションとバリデーションコードの実行時検証です。サニテーションとバリデーションコードの信頼は、(よく知られたライブラリー関数が使用されていない限り)ヒューリスティックに行われるか、設定によって行われます。これはIASTでは要求されない。意図されたユーザーは、組織内で機能テストに従事している人なら誰でもよい。これにより、テストへの投資の可能性が大幅に高まり、以前は不可能であった、ビジネス的に意味をなさなかった開発フェーズでのテストが可能になります。

では、ギャップについてどう思いますか?また、そのギャップに耐えられるものなのでしょうか?

HCL AppScan では、どのような技術もあきらめるべきではない、というのが私たちの当たり前の結論です。諦めてはいけないというのが私たちの結論です。

詳細はこちら

ご自身でアプリケーションセキュリティテスト技術をテストするには、今すぐ AppScan の 30日間の無料トライアルをお申し込みください。


Ponemon Institute の「DevOps環境におけるアプリケーションセキュリティ」の主な財務上の知見

2020/10/24 - 読み終える時間: 3 分

Key Financial Findings from Ponemon Institute’s “Application Security in the DevOps Environment” の翻訳版です。


Ponemon Institute の「DevOps環境におけるアプリケーションセキュリティ」の主な財務上の知見

2020年10月23日

著者: Neil Jones / Senior Product Marketing Manager for HCL Software’s AppScan solution

画像の説明

IT支出の減少

ご存知のように、2020年は誰にとっても典型的な年ではありませんでした。以前、世界的な大流行がIT支出に与える影響について書いたことがあります。ガートナー社は2020年7月のレポートで、今年の世界のIT支出は3.5兆ドル (366兆円)(2019年比7.3%減)に減少すると予測しています。

アプリケーションの脆弱性が増加している

バー、レストラン、旅行などの世界経済の一部の要素は、パンデミックの影響からの回復が遅れていますが、悪意のある行為者は休んでいません。

それを裏付ける最近の統計をご紹介しましょう。

  • 今年初め、TechRepublic誌に掲載された調査では、メールによるフィッシング攻撃が2020年2月末から2020年3月末にかけて667%増加したことが明らかになりました。
  • 特にアプリケーションセキュリティの分野では、Security Boulevard誌に掲載された別の分析によると、2020年5月/6月の期間に80%以上のアプリケーションが SQL インジェクション攻撃を経験していることがわかりました。
  • 同レポートによると、少なくとも3分の1のアプリケーションには、少なくとも1つの深刻な脆弱性が含まれていることが判明しています。

開発者の燃え尽きが課題に

これに加えて、今年のハイパーデジタルの世界を動かすために必要な新しいアプリケーションやアプリケーションのアップデートの数が膨大な数になっています。Wall Street Journal が報告した2019年の調査では、大企業がデプロイしたアプリケーションの平均数は129個という驚異的な数になっています。そう、その数は129個です。

管理すべきアプリケーションの量が増えていることに加えて、以下の要因が開発者の燃え尽きを助長しています。

  • Octoverse Spotlight のブログによると、COVID-19 の時代には、開発者の仕事の時間は、従来のビジネスウィークと週末に 1 日 1 時間拡大しています。
  • 同じ調査では、アクティブユーザーあたりのプルリクエスト、プッシュ、作成された課題など、ほぼすべての開発者活動のメトリクスが上昇していることがわかりました。
  • アプリケーションボリュームの増加に伴い、今年作成されたオープンソースリポジトリの数もそれに応じて増加しており、2019年3月から2020年3月までの間に 28%近く増加しています。

要約すると、あなたのような組織が直面しているのは、予算の減少、脆弱性の増加、作業負荷の増加です。あなたの組織が直面しているサイバーセキュリティの脅威に対処し続けながら、これらの問題にどのように対処することができるでしょうか?いつものように、情報、経営陣の協力、予算の確保が手始めに重要なポイントとなります。

Ponemon Institute レポートの調査結果を経営陣と共有する

Ponemon Instituteは、2020年10月に "DevOps環境におけるアプリケーションセキュリティ "と題した調査を発表しました。HCL AppScanがスポンサーとなっているこの調査には、AppSecとDevOpsに関連した財務数値の宝庫が含まれており、経営陣と一緒にアプリケーションセキュリティテストを実施する際に活用することができます。この包括的なレポートはこちらからアクセスできます。

以下に、レポートから得られる主な財務上の知見を紹介します。

脆弱性のあるアプリケーションに対する攻撃による平均的な経済的損失総額

Ponemonの調査では、過去12ヶ月間に、脆弱性のあるアプリケーションに対する攻撃の結果、平均1,200万ドル (13億円)のコストが発生しています。言い換えれば、そのコストは月に約100万ドル (約1億円)であり、効果的なアプリケーションセキュリティテストプログラムを持たない企業では、さらに高くなる可能性があります。

経済的損失の合計 - 最悪のシナリオ

調査に含まれている組織の中には、脆弱性のあるアプリケーションへの攻撃の結果、1億ドルを超える信じられないような経済的損失を被ったものもあります。この1億ドルという数字は、フロリダ州交通局がタフニッケルに提供した見積もりによると、州間高速道路を13マイル建設するのにかかる費用とされています。この数字が経営者の注意を惹かないのであれば、何の意味もありません。

IT、AppSec、DevOps の平均予算

回答者によると、組織の平均 IT 予算は 9,960 万ドルでした。平均して、組織の今年度の IT 予算の 25% はアプリケーションセキュリティ活動に費やされることになります。さらに、組織の今年の IT 予算の 20% は、DevOps 活動に費やされることになります。

セキュリティ予算と投資の原動力

回答者の51%が、投資収益率(ROI)の向上が、組織のセキュリティ予算と投資の意思決定の重要な推進要因であると回答しています。総所有コスト(TCO)の削減が重要な推進要因であると答えたのは29%にとどまりました。

成功への障壁

回答者の41%が、予算が不足しているためにアプリケーション・セキュリティ・プログラムが効果的に機能していないと答えています。

AppSec と DevOps のその他の戦略的および財務的傾向については、こちらから包括的なレポートにアクセスできます。

詳細はこちら

10月29日午前11時(米国東部標準時)/午前8時(米国太平洋標準時)に開催されるウェビナーにご参加ください。Ponemon Institute の Larry Ponemon 氏と HCL AppScan の Eitan Worcel が調査結果を分析します。ライブセッションの後には、リプレイを視聴することができます。また、アプリケーション・セキュリティ・テスト技術をご自身でテストするために、今すぐ HCL AppScan の無料トライアルをリクエストしてください。


Ponemon Institute と HCL AppScan、DevOps 環境におけるアプリケーションセキュリティーの現状を明らかに

2020/10/23 - 読み終える時間: 2 分

Ponemon Institute and HCL AppScan Reveal State of Application Security in DevOps Environments の翻訳版です。著者の許諾を得て翻訳版を公開しています。


Ponemon Institute と HCL AppScan、DevOps 環境におけるアプリケーションセキュリティーの現状を明らかに

2020年10月20日

著者: Larry Ponemon / Chairman and Founder of the Ponemon Institute

画像の説明

はじめに

HCL SoftwareがスポンサーとなったPonemon Instituteの「Application Security in the DevOps Environment」調査の目的は、アプリケーションの脆弱性を迅速に検出し、優先順位をつけて修復する組織の能力をよりよく理解することでした。

そのため、Ponemon Instituteは、ITセキュリティ、品質保証、または開発業務に従事する626名の個人を対象に調査を実施しました。さらに、調査回答者の組織はすべて、アプリケーションのセキュリティテストを含むDevOpsアプローチを利用しています。

このブログの目的は、この調査で得られた主な結果を要約することです。包括的なレポートを無料で入手するには、こちらをクリックしてください。

調査結果のショーケース

このレポートには、アプリケーション・セキュリティの保護と DevOps の利用に関する説得力のある調査結果が満載されていますが、その中でも最も説得力のある調査結果は以下の通りです。

  • 脆弱性のあるアプリケーションへの攻撃は、私たちが予想している以上にコストがかかります。脆弱性のあるアプリケーションへの攻撃は、予想以上にコストがかかります。過去 12ヶ月間に、調査対象となった組織は、脆弱性のあるアプリケーションへの攻撃の結果、平均で 1,200万ドルの経済的損失を被っています。
  • 調査対象となった組織の中には、脆弱性のあるアプリケーションに対する攻撃の結果、1億ドルを超える驚くべき経済的損失を被った組織もあります。この 1億ドルという数字は、調査に回答した組織の平均的な IT 予算総額を表しています。
  • 脆弱性のあるアプリケーションへの攻撃を特定するのに平均8ヶ月近くかかり、攻撃から回復するのに 6ヶ月かかることがあります。
  • 平均して、ビジネスクリティカルなアプリケーションの 67%が、継続的に脆弱性のテストを受けていません
  • 回答者の 74%が、セキュリティ上の懸念を評価する必要があるコードのために、多くのアプリケーションの開発サイクルが遅れており、それが組織のリリース期限に影響を与えていると述べています。
  • 回答者の 71%が、DevOps セキュリティプラクティスにおける可視性と一貫性の欠如が、最終的に顧客や従業員のデータを危険にさらすことになると回答しています。

肯定的な傾向

本調査はまた、アプリケーション・セキュリティと DevOps のいくつかのポジティブな傾向にも光を当てています。

  • 組織は、アプリケーション・セキュリティと DevOps に多額の投資を行っています。本調査の回答者の平均1億ドルのIT予算のうち、約 2,500万ドルがアプリケーションセキュリティ活動に、さらに 2,000万ドルがDevOps活動に割り当てられています。
  • 組織がセキュリティ予算と投資を決定する主な要因は以下の通りです。リスクの低減(回答者の 65%)、コンプライアンス/規制の遵守(回答者の 53%)、投資収益率(ROI)の向上(回答者の 51%) * 組織がアプリケーションセキュリティテストを実施する際には、アプリケーションセキュリティのテストを実施しています。
  • 組織がアプリケーションセキュリティテストを実施する際には、DAST、SAST、IAST、SCA、ペネトレーションテストなど、様々なテスト手法を活用しています。
  • 特に有望な兆候として、回答者の 49%が、コーディングプロセス内の脆弱性を特定するために開発者に権限を与えていると回答し、47%が、コーディングプロセスの安全性を確保するためのトレーニングを確実に実施していると回答しています。
  • 回答者の 52%が、ソフトウェア開発ライフサイクル (SDLC) の各段階での脆弱性スキャンの自動化が組織にとって重要であると回答し、56%が自動化ツールを使用して迅速に脆弱性を修正することが重要であると回答しています。

改善点

最後に、本調査では、AppSec と DevOps の専門家がより効果的であり、さらなる進展が必要な分野がいくつか明らかになりました。

  • すでに配備されている脆弱性のあるアプリケーションに対する攻撃の 50%以上を防ぐことができたと答えた組織は 1 つもなく、回答者の 45%は、そのような攻撃を防ぐことができたのは 15%未満であったと答えています。
  • 脆弱性のあるアプリケーションに対する攻撃が発生した場合、組織は、平均して 40%しか攻撃を検知し、食い止めることができないと報告しました。
  • 半数近くの組織が、四半期ごとに、またはそれ以上の頻度でアプリケーションをテストしていますが、回答者の 6%は、1 年ごとにアプリケーションをテストしていると回答しています。回答者の 25%が、計画されたテストサイクルがないと回答しています。
  • 調査回答者にとって、脆弱性のあるアプリケーションに対する攻撃を防ぐための主な障壁は、人手不足でした(回答者の 63%)。また、アラート疲労は引き続き大きな懸念事項であり、回答者の40%が、AppSec の調査結果がノイズを発生させすぎて、効果的に管理できないと報告しています。
  • 脆弱性を可能な限り早期に修正できていると報告している組織は、わずか 38% にすぎません。

詳細

上記で説明した調査結果の詳細な分析を確認するには、レポートをダウンロードしてください。また、2020年10月29日の午前11時(東部標準時)、午前8時(太平洋標準時)、(翻訳者注: 日本時間 30日、午前1時) に開催されるウェビナーにもご参加ください。Eitan Worcel と私が、この研究の結果をより詳細に分析します。ライブセッションの後、ウェビナーの録画が利用可能になります。


Larry Ponemon 氏について

Ponemon Institute 会長・創設者

Larry Ponemon 博士は、Ponemon Institute の会長兼創設者であり、プライバシー監査と責任ある情報管理(RIM)フレームワークのパイオニアです。Ponemon 博士は、米国連邦取引委員会のオンラインアクセス&セキュリティ諮問委員会に任命され、ホワイトハウスから国土安全保障省のデータプライバシー・整合性諮問委員会に任命されました。また、プライバシーおよびデータセキュリティ法に関するカリフォルニア州の 2 つのタスクフォースにも任命され、Shared Assessments の諮問委員会のメンバーでもあります。ユニオンカレッジで博士号を取得。ハーバード大学で修士号を取得し、カーネギーメロン大学のシステム科学の博士課程に在籍しています。Ponemon 博士は、アリゾナ州ツーソンにあるアリゾナ大学で学士号を取得しました。公認会計士、公認情報プライバシープロフェッショナル。


AppScan: Web アプリケーション の潜在的な脅威と保護対策

2020/10/23 - 読み終える時間: 3 分

Potential Threats and Measures to Secure Your Web Applications 翻訳版です。


Web アプリケーション の潜在的な脅威と保護対策

2020年10月22日

著者: Unnati Ghosh / HCL

画像の説明

Web アプリケーションは無防備で誰でも手に入る。必要なのはインターネット接続だけ。これにはハッカーも含まれます。

しかし、開発者は Web アプリケーションのセキュリティを無視することが多く、チームは通常、ほとんどの時間をコードに費やし、 Web アプリケーションが信頼できるものであることを確認する時間はほとんどありません。

Forrester によると、アプリケーションの脆弱性が攻撃の成功の主な理由であることに変わりはなく、ソフトウェアの脆弱性を悪用した攻撃の42%を占め、35%はWebアプリを経由して行われています。

一般的なWebサイトアプリの脅威

Web サイトが攻撃される方法は 1 つだけではありません。

  • SQL インジェクション

SQL インジェクション攻撃は、公開された SQL クエリに悪意のあるコードを注入することで行われます。攻撃者は、Web サイトからデータベースに送信されたメッセージの中にリクエストを挿入します。

  • マルウェア

マルウェアは、お客様の Web サイトへの最大の脅威であり、プライベート データやサーバー リソースにアクセスするために使用されます。マルウェアは、スパイウェア、ウイルス、ランサムウェア、ワーム、トロイの木馬など、それぞれ別の目的を達成するために活動しているため、明確なバンドに分類することができます。

  • フィッシング詐欺

フィッシング詐欺の攻撃は、メールマーケティングの取り組みに直接影響を与えます。これらのタイプの脅威は、有効なソースからのメールを装い、機密データを取得するために計画されています。

  • ブルートフォース

また、ハッカーがパスワードを推測し、 Web アプリケーションの所有者の詳細に強制的にアクセスしようとするブルートフォース攻撃もあります。

しかし、どのようにして悪意のある意図から Web アプリケーションを保護するのでしょうか?以下にヒントをいくつか紹介します。

  • ソースコードの暗号化

マルウェアは多くの場合、アプリケーションの設計やソースコード内のバグや脆弱性をタップします。この悪意のあるコードは 12M以上のアプリに感染し、攻撃者が行う最も一般的な方法は、人気のあるアプリを「不正なアプリ」にリパッケージし、同じものを公開することです。そのため、コードの脆弱性をテストするか、ソースコードのスキャンを実行する必要があります。

  • バックエンドでのネットワーク接続の安全性を確保する

アプリのAPIがアクセスするサーバーやクラウドサーバーには、データを保護し、不正アクセスを防ぐための安全対策が必要です。そこで重要になるのが、データやドキュメントのセキュリティを確保することです。CI/CD パイプライン全体でコンテナの使用を強化するためには、自動で開始から終了までを実行する必要があります。

  • パッチ適用の最新情報を確認する

最新版で OS を強化していますか?遅れている可能性があります。ソフトウェアのセキュリティを確保するためには、商用ベンダやプロジェクトを維持しているオープンソースコミュニティからのアップデートでソフトウェアをパッチすることが重要なステップの1つです。

  • 継続的に暗号化する

暗号化は何年も前から話題になっています。安静時とトランジット中のデータを暗号化することは、どのアプリケーションのセキュリティリストにも必ず必要です。

トラフィックのロックダウンに失敗すると、侵害の形で機密データの開示につながる可能性があります。暗号化のための基本的なチェックリストには、継続的なセキュリティと、最新の証明書を使用してSSL を使用していることを確認するような項目が含まれている必要があります。

  • スキャンツールと検査ツールをインストールする

アプリケーションの完全性を確認するために、すべてのステップをチェックします。アラート手順は、侵害が発生した場合の応答時間を向上させることができます。テストやスキャンがなければ、Web サイトが侵害されたことをどのようにして知ることができるでしょうか?ブルートフォース攻撃があった場合に警告するプロンプトを必ず作成してください。

  • Web サイトのファイアウォールを確保する

SSL 証明書を使用するだけでは、攻撃者による機密情報へのアクセスを防ぐことはできません。Web アプリの脆弱性により、攻撃者はトラフィックをスパイしたり、偽の Web サイトに訪問者を送ったり、Web サイトを人質に取ったり(ランサムウェア)、すべてのデータを一掃したりすることができます。Web アプリケーション・ファイアウォールは、Web サイトに対するこのような攻撃を防ぎ、お客様がビジネスに集中できるようにするために設計されています。

HCL AppScan は、クラス最高のセキュリティテストツールであり、お客様のビジネスとお客様の顧客が攻撃に対して脆弱でないことを保証します。広範囲に存在するセキュリティ脆弱性を検出し、開発ライフサイクルのあらゆるフェーズでアプリケーションの脆弱性をピンポイントで修正して修復を促進し、攻撃への曝露を最小限に抑えることができます。

SDLC の初期段階で、あらゆる種類のWeb、モバイル、オープンソースの脆弱性を迅速に特定し、理解し、修正するオールインワンのスケーラブルなセキュリティテストツールである HCL AppScan を採用してみてはいかがでしょうか。


HCL AppScan: DAST エンジンの機能強化により、アプリケーション・セキュリティー・テストを強力にサポート

2020/10/13 - 読み終える時間: 3 分

HCL AppScan's DAST Engine Enhancements Superpower Your Application Security Testing の翻訳版です。


HCL AppScan: DAST エンジンの機能強化により、アプリケーション・セキュリティー・テストを強力にサポート

2020年10月12日

著者: Billy Weber / Senior Product Manager, HCL AppScan

画像の説明

HCL AppScan は、ますます改善され良くなってきています。私たちは過去1年間、ダイナミック・アプリケーション・セキュリティ・テスト(DAST)技術に多大な投資を行い、過去 6 ヶ月間に 3 つの AppScan 製品のリリースを発表しました。このブログの目的は、HCL Software の主要な DAST エンジン機能アップデートのいくつかにスポットを当て、みなさまご自身でテストドライブできるようにすることです。

AppScan V10 アップデートのまとめ

2020年3月には、製品ラインが HCL ファミリーの一部となってから初めての AppScan のメジャーリリースを祝いました。

V10 リリースでの AppScan DAST のハイライトには、以下が含まれています。

  • Test Optimization Slider - DevSecOps のさまざまなフェーズでより高速なスキャンを提供します。テスト最適化スライダ - DevSecOps のさまざまなフェーズでより高速なスキャンを提供します。テスト最適化スライダでは、4 つの最適化レベルで問題のカバレッジとスキャン速度のトレードオフを制御できます。

  • インクリメンタルスキャン - アプリケーションの変更を識別してテストフェーズ中に送信されるテスト数を大幅に削減することで、より短いスキャンを提供します。

  • 機械学習を使用した最適化されたアクションベースのエクスプローラ - 機械学習を利用してエクスプローラ段階の効率を向上させました。AppScan は、すでに発見されている部分につながる可能性の高いアクションを予測するため、それを回避できます。

  • AppScan DNS を使用した帯域外の脆弱性 - AppScan の DNS 解決を使用して、OS Commanding、SSRF、XXE 攻撃など、テスト済みのアプリケーションでは直接検出できない脆弱性の検出が改善されました。

AppScan V10 のポートフォリオのアップデートは、Eitan Worcel 氏のブログに掲載されています。

AppScan V10 .0.1と V10 .0.2の機能強化

DAST の強化はそれだけではありません。HCL は、最新の Web アプリケーションをより良くサポートし、より包括的で正確な結果を提示するために、DAST エンジンのコア機能への大幅な投資を続けています。新しい DAST 機能のハイライトは以下の通りです。

新しいテスト機能と改善されたテスト機能

アプリケーションがより複雑になり、より頻繁なアップデートが必要になるにつれ、ユーザーからはテスト機能の拡張を求める声が上がっています。そのため、当社では一連の新しいテスト機能強化を導入し、より広い範囲をカバーし、新しいセキュリティルールを活用できるようにしました。

AppScan V10 .0.1 および V10 .0.2 のリリースにおけるテスト改善のアップデートには、以下のものが含まれています。

  • アプリケーションの直接反映ではなく、アプリケーションの外部から観測可能な動作に依存する AppScan ドメインネームサーバー(A DNS)機能の拡張。A DNS についての詳細は、Shahar Sperling 氏の包括的なブログを参照してください。

  • ブラインドXPATHインジェクションとブラインドLDAPインジェクションのための新しいテスト。

  • マルチステップテストのための検証の強化。

  • 拡張されたディレクトリ推測オプションにより、より広いテスト範囲を提供します。

  • クロスサイトスクリプティング(XSS)アナライザーは、リファラーヘッダーをサポートするようになりました。

  • 多くの新しいセキュリティルールが追加されました。詳細については、リリース情報を参照してください。

カバレッジの向上、精度の向上、結果の向上

ユーザーが必要としているのは、テスト機能の拡張だけではありません。実際、Ponemon Instituteの最近の報告書によると、米国企業のサイバーセキュリティ担当者は、受信したセキュリティ警告が誤っていたために、誤検知の追跡に約25%の時間を無駄にしていることがわかりました。もっと良い方法があるはずです。

私たちは、DAST スキャンエンジンが誤検出の割合が低いことを確認するために多くの努力を費やしています。また、新しいリリースを行うたびに、お客様からのフィードバックと社内でのテスト活動に基づいて、検出結果の精度を向上させています。

ユーザーに提示する結果のカバレッジと精度をさらに向上させるために、AppScan V10 .0.1と V10 .0.2には以下の改善点が盛り込まれています。

  • AppScan V10 .0.1および V10 .0.2には、以下の改善点が盛り込まれています。当社ではAction-Based-Exploreの機能を継続的に強化しており、最近のリリースでは特にAngularアプリケーションのスキャンに関連した改善点に焦点を当て、自動カバレッジを向上させています。

  • AppScan のエラーページの自動検出機能が大幅に改善されました。ほとんどのアプリケーションでは、アプリケーションエラーを示すためにカスタマイズされたエラーページを使用しています。エラーページが正しく識別されない場合、AppScan は脆弱性が見つかったと考え、偽陽性の結果になることがあります。エラーページの自動検出のための改良されたアルゴリズムにより、結果の精度が向上しています。

  • 課題の統合機能の改善により、頻繁に発生する課題が統合され、結果として、よりコンパクトな結果セットが作成され、レビューと管理が可能になりました。例えば、単一のソース(サーバー構成など)を共有し、アプリケーションの複数の場所で発生するissueは、1つのissueに統合されますが、詳細はすべてバリアントとして表示されます。統合により、必要な重要な詳細を失うことなく、全体の課題数を減らすことができます。

統合機能

当社のお客様の多くは、複数の AppScan 製品を使用しています。例えば、大規模な組織のセキュリティ専門家は、AppScan Standardを使用してスキャン構成を作成し、それを後で開発者が AppScan Enterprise や AppScan on Cloudを使用してアプリケーションをスキャンする際に使用することがよくあります。開発者は、AppScan Enterprise または AppScan on Cloud からスキャンを AppScan Standard にダウンロードして、必要に応じて後から AppScan Standard に戻して、詳細なトリアージを行うことができます。これらのフローを簡素化するために、私たちは V10 で AppScan Connect 機能を導入し、次のリリースではさらに多くの機能を追加して改善しました。

AppScan を DevOps 環境に統合することで、組織はセキュリティテストを自動化することができます。これは通常、お客様が AppScan Enterpriseまたは AppScan on CloudのREST API を使用して実施します。当社では、お客様の自動化プロジェクトのニーズに対応できるよう、ほぼすべてのリリースでこれらの API の追加と改善を続けています。最近では、このプロセスをさらに容易にするために、Jenkinsプラグインを AppScan Enterprise に追加しました。

詳細はこちら

私たちの新機能のすべてをご自身でご覧になるには、今すぐデモをリクエストしてください。注意事項として、私のブログで紹介したすべてのアップデートを利用するには、HCL Software AppScan のライセンスが必要です。


HCL AppScan on Cloud (ASoC) とHCL Accelerate の統合

2020/9/14 - 読み終える時間: 5 分

作業とボトルネックの可視化を実現する HCL Accelerate は、AppScan と組み合わせることもでき、DevOps の可視化と効率化を実現できます。そのことについての解説記事 Integrating HCL AppScan on Cloud (ASoC) with HCL Accelerate の翻訳版です。


HCL AppScan on Cloud (ASoC) とHCL Accelerate の統合

2020年9月12日

著者: Daniel Trowbridge / Technical Lead

画像の説明

ポーカーをプレイしたことがある人なら、カードの組み合わせが重要なことを知っているはずです。ソフトウェアに関しては、適切な製品を組み合わせることで、勝利を手にすることができます。この記事では、HCL Accelerate チームは、HCL AppScan および AppScan on Cloud (ASoC) との統合に注目してみていきたいと思います。

HCL Accelerate は、複数のチームやワークフローにまたがる可視性とガバナンスを提供する、柔軟で強力なリリースおよびバリューストリーム管理ツールです。HCL Accelerate は、1日2回の監督者から現場の DevOps に欠かせないツールです。HCL AppScan は、HCL Accelerate と驚くほど相性が良いのですが、どちらも次世代のソフトウェア開発体験という HCL のビジョンによって推進されています。AppScanは、静的および動的なセキュリティ・スキャンを提供し、オンプレミスとクラウドで提供しています。これらのスキャンは、品質、セキュリティ、およびコンプライアンスにとって非常に重要です。HCL Accelerate は、チーム、製品、ツールチェーン全体で AppScan のデータをインジェストし、可視性とガバナンスを確保することで、作業を継続し、管理を安心して行えるようにします。

さあ、始めましょう。

このチュートリアルでは、AppScanのクラウド提供(AppScan on CloudまたはASoC)を使用します。ASoC アカウントとプロジェクトをまだお持ちでない場合は、無料トライアルを利用して今すぐ設定することができます。また、HCL Accelerate をまだお持ちでない場合は、こちらから Community Edition をダウンロードできます。プロジェクトとスキャンの例を以下に示します。

画像の説明

また、ASoCキーIDとキーシークレットを生成する必要があります。

画像の説明

スキャン結果を生成する準備ができたら、スキャナを実行し、scanIDをコピーして貼り付けます。これは、以下のHCL Accelerateセクションに示されているcurlコマンドに後で必要になります。

画像の説明

1. HCL AccelerateでASoCインテグレーションを作成します。

1.1 プラグインを探す

HCL Accelerate で、Settings(設定)>Integrations(統合)>Plugins(プラグイン)に移動し、"Plugin for ASoC"で"Add Integration(統合の追加)"をクリックします。

画像の説明

1.2 統合を構成する

統合の追加」フォームに必要事項を入力します。HCl Accelerate と ASoC への認証を設定します。

  • 統合名:ASoC_Example_Name_1
  • ユーザー・アクセス・キー。HCL Accelerateのユーザー・アクセス・キーをコピーして貼り付けます。(“Settings” > “My profile” で ASoC_Example_Name_1という名前を付けることができます)
  • ASoC ベース URL: https://cloud.appscan.com
  • ASoC API Key ID。クラウドAPIの認証に使用するIDです。
  • ASoC API Key Secret: クラウドAPIの認証に使用される実際のキー。

画像の説明

1.3 統合の検査

統合が作成されたことを確認します。ドロップダウンの詳細を展開して、エンドポイントのURLを表示します。統合エンドポイントのURLにPOSTコマンドでASoCデータをHCL Accelerateに送信します。

画像の説明

2. ASoCスキャン結果をHCL Accelerateに送信する

ASoCスキャン結果をHCL Accelerateに送信するには、スキャンIDを含むJSONオブジェクトをターゲットのHCL Accelerate統合のpluginEndpoint URLにPOSTするだけです。

データ構造の例

{
"scanId": "<ASoC scan ID>",
}

Curl コマンドの例 curl -H “Content-Type: application/json” -k -X POST https://<accelerate server>/reporting-consumer/pluginEndpoint/<integration ID>/asocScan -d “{\”scanId\”:\”<scan ID>\”}”

3. データを見る

HCL Accelerateでダッシュボードを設定することで、データを見ることができます。インサイト」に移動し、「ダッシュボードの作成」をクリックします。

画像の説明

チャートの追加」をクリックし、適切なメトリクスを選択してチャートを作成します。ASoCデータのデフォルトのメトリックは、「Risk」の下の「Application Vulnerabilities」です(ASoCプラグインのバージョン1.0.16以前の場合、デフォルトのメトリックは「Quality」の下の「ASoC Tests」です)。

画像の説明

フィルタリング・オプション

複数のフィルターや時間の選択など、データの異なる選択で複数のチャートタイプを作成することができます。

画像の説明

各チャートは、以下のように詳細表を表示することもできます。

画像の説明


HCL AppScan 10.0.2 がリリースされました。

2020/9/10 - 読み終える時間: ~1 分

HCL AppScan 10.0.2 がリリースされました。今回の改善点は以下のとおりです。詳細は以下のサポート技術情報を参照してください。


増分スキャンの 改善

  • 増分スキャンを実行するための新しいウィザード。
  • アプリケーションデータビューに「新しい」列が追加され、問題の詳細に「新しい」ラベルが追加され、増分スキャンで検出された新しい問題が示されます。
  • Angularアプリケーション

  • Angular アプリケーションのスキャン範囲の改善。

AWS認証のサポート

  • AWS アプリケーションでAWS署名バージョン4が必要な場合は、これを AppScan で構成できます。

セキュリティのー善

  • 新しい暗号化の問題: ROBOT 攻撃と Forward Secrecy
  • GhostCatの脆弱性: CVE-2020-1938
  • 新しい情報漏洩の問題対応: サーバー、X-Powered-By、X-AspNet-Version、および X-AspNetMvc-Version ヘッダーに関する新たな問題
  • ブラインド XPATH インジェクションとブラインド LDAP インジェクションの新しいテスト
  • コマンドインジェクションで用いられる新しいエンコードされたペイロードへの対応
  • XSS アナライザー: リファラーヘッダーをサポート

HCL AppScan: 新しいハイブリッドセキュリティー担当者の姿

2020/9/2 - 読み終える時間: 3 分

製品から離れて、セキュリティーの一般論を今日は紹介してみたいと思います。HCL AppScan - The New Hybrid Security Employee の翻訳版です。


HCL AppScan: 新しいハイブリッドセキュリティーー担当者の姿

2020年9月1日

著者: Rob Cuddy / Global Application Security Sales Evangelist

画像の説明

「ゲームをしよう (Shall we play a game?)」という言葉を聞いて何を思い浮かべるでしょうか?

もしあなたが私の世代なら、1983年に戻って、若いマシュー・ブロデリック(『(フェリスはある朝突然に Ferris Bueller's Day Off)』から数年後)とアリー・シーディ(『セント・エルモス・ファイア (St. Elmo’s Fire)』や『ブレックファスト・クラブ (The Breakfast Club)』から数年後)が、人気映画『ウォー・ゲーム (War Games)』の中で地球熱核戦争のゲームを始めるのをすぐに思い出すことでしょう。多くの人にとって、これが私たちが初めてサイバーセキュリティーを知ったきっかけでした。

そして数十年後の今でも、サイバーセキュリティーといえば、多くの人が思い浮かべるのはこれです。

画像の説明
画像提供:Giphy のご厚意による

40年近く経った今でも、コントロールルームやセキュリティー・オペレーション・センターは非常に存在感があり、私たちを守るために必要なものですが、確かにサイバーセキュリティーに対処する必要があるのはこれらの場所だけではありません。脅威の状況がますます増加し、脆弱性の数も増加している中で、可能性のある攻撃や脅威の媒介をすべて処理するために、高度な訓練を受けた専門家の小さなグループを一室に集めて依頼するのは、非常に不公平なだけではありません。危険です。

Edgescanの 2020 Vulnerability Statistics Report では、「専門家の 64%が、組織の Web アプリケーションやエンドポイントを完全に認識していないことを認めた」とし、2019年には 80億件以上のレコードが侵害されたことにも言及しています。そして、コンテナ、マイクロサービス、モノのインターネット (IoT) の普及はそれを難しくしているだけです。

つまり、単一分野のセキュリティー専門家に頼るという古いモデルは、特にDevOpsのスピードで動いている場合には通用しないということです。今日、成功した安全なソフトウェア開発には、複数の分野にまたがるアプローチと人材が必要とされています。今日と明日のセキュリティー社員は、どのような姿をしているのでしょうか?よくぞ聞いてくれました。


セキュリティー従業員の新しい種類

先日、Application Paranoia のポッドキャストでは、HCL Software の CISO である Joe Rubino にインタビューを行い、当社が行うすべての業務において、信頼されたセキュリティーの強固な文化を構築することについての彼の考えを尋ねました。その中心にあるのは、組織とその顧客基盤をサポートするセキュリティー専門家のチームをどのように構築し、育成しているかということです。

私たち全員が非常に興味深かったのは「セキュリティーのプロとは何か」という概念を広げる議論でした。皆さんも「セキュリティーはみんなの仕事」という言葉を聞いたことがあるのではないでしょうか。確かにその通りだと思います。結局のところ、私たちは個人的なデバイスを持ち歩き、日常的に個人的な資産と職業的な資産の複雑な組み合わせを使用しています。私たちは皆、自分の役割を果たす責任があります。私たちは、これらのデバイスを更新し、適切に使用し、フィッシング詐欺のような明らかなものを避けるようにしなければなりません。

これらは素晴らしいことですが、今日の真のセキュリティーには、より全体的な対応が求められています。ジョーはこのように表現しています。"私たちは皆、セキュリティーの専門家としての責任を負わなければなりません。データプライバシーの専門家の。カスタマーサポートのプロ。そして、その新しい通常の状態、期待、それに伴う責任を受け入れるように自分自身を追い込むことができればできるほど、私たちはさらに進歩していくでしょう。


で、セキュリティーの専門家って何ですか?

明らかに、セキュリティーは常に進化し、複雑さを増している高度に技術的な領域です。この分野で成功するためには、技術的なスキルを理解し、適応し、適用し、学ぶ能力が成功の前提条件となります。

しかし、優れた技術力だけでは、もはや十分ではありません。

今日では、特にセキュリティーに関わる分野では、従業員のハイブリッドモデルをさらに導入する必要があります。 ジョーが "学際的なアプローチ "と呼ぶものが必要です。これは、人々はいくつかの重要な分野でスキルを持っていますが、ビジネスのニーズが変化し、新しいスキルが登場しなければならないため、それらのスキルセットだけに頼ることはできないという考え方です。

ポッドキャストでは、そのような従業員を見つけ、育成することについて、成功への鍵がいくつか言及されていました。その中でも特に重要なのは、次のようなことでした。好奇心旺盛で、共感力のある人を見つけること。これは、より多くの組織が DevSecOps のプラクティスを採用するように努力しているので、特に重要である。好奇心と共感は問題解決とチームワークを促進し、DevOps と DevSecOps の長期的な成功に不可欠な文化を構築します。

セキュリティー専門家のメンタリティが、単に「このチェックリストを実行してください。完了!」という考え方では、必要とされる包括的なセキュリティーを提供することはできません。また、ポリシーの施行や規制の遵守だけではいけません。その代わり、セキュリティー対策は継続的に評価、評価され、ビジネスニーズの変化に応じて調整されなければなりません。適切に実施されれば、優れたセキュリティーは消費者の信頼と信頼を促進します。これにより、「当社はお客様のデータに対して責任を持っています」と宣言することができます。


「決められていることだから」の意識から距離を置く

我々は正しい理由で正しいことを行い、多くの人がセキュリティーの専門家だと思っているようなチェックリストのような考え方を避けているのだろうか」という、重要なレトリック的な質問をジョー氏は投げかけました。

素晴らしい質問です。

今日、セキュリティーは単なるゲートキーパーではなく、ビジネスを可能にする存在である必要があります。つまり、セキュリティーの専門家は、ビジネスとの連携が必要なのです。セキュリティーはもはやサイロで運営することができないため、コラボレーションの増加を意味します。また、コラボレーションには、あらゆるレベルで効果的な感情的知性、共感性、リーダーシップが必要である。これは、潜在的なリスクを認識するだけでなく、ビジネス価値の観点からリスクを評価できることを意味します。要するに、セキュリティーに対する考え方は、「NO」の声が聞こえる場所から、「YES、そして、安全に行う方法はこうだ」というのが当たり前の場所へと変化しなければならないのです。

良いセキュリティーがあれば、より速く進むことができる。

その通りです。優れたセキュリティー対策がソフトウェア開発ライフサイクル (SDLC) 全体に十分に統合され、すべての段階で意味のある実用的なフィードバックがチームに提供されると、リスクの監視、管理、最小化、緩和がより適切に行われるようになります。 その結果、システムに構築された信頼性が高まり、全体的な展開が短縮されます。

「決められた」という考え方から離れることができれば、莫大な利益を得ることができます。特に、安全なコーディングの分野があります。安全でないコードを書こうとしている開発者にはまだ会ったことがありません。彼らは正しいことをしたいと思っています。彼らは、機能する安全なコードを書きたいと思っています。しかし、あまりにも多くの場合、私たちは開発者が成功するためにはセキュリティーの「専門家」になる必要があると考えています。しかし、それは真実ではありません。開発者が専門家になる必要はありませんが、開発者全員がより安全になる必要があります。

実際に、説明しましょう。あなたがどこかに車を運転していて、突然、車のダッシュボードがクリスマスツリーのようにライトアップされ、エンジンがストールしたとしましょう。あなたは車を停めて、車を降りてボンネットを開け、問題を解決できる可能性が低いことを知っていました。突然、あなたの後ろに車が停車する音がして、誰かがやってきて、あなたのそばに立ってしばらく見ていました。そして、エンジンのランダムな部分を指差して「そこに問題があります」と言うと、あなたが返事をする前に、彼らは自分の車に戻って、車に乗って走り去ってしまうのです。あなたがたまたま経験豊富なメカニックで、手元に正しい部品を持っていない限り、彼らが問題を指摘するだけでは、あなたを助けるためには何の役にも立たないのではないでしょうか?

欠陥追跡システムからセキュリティー問題についてのメールを受け取る開発者のようなものです。

私はしばらく前に主要なセキュリティーカンファレンスにいましたが、私が訪れたほぼすべてのブースでは、「開発者をセキュリティーに関与させる」ということについて、何かしらの趣向が凝らされていました。その根底にある考えは、開発者がスキャンをして報告を受けることで、何がどこに脆弱性があるのか、より多くの情報を開発者に提供することができれば、もちろん開発者はそれを修正する方法を知っているだろうというものでした。これを聞いたとき、私が最初に思ったのは「頑張ってください!」ということでした。現実には、開発者がそのレベルのセキュリティーの専門知識を求めているのであれば、すでにそれを達成しているはずだからです。

実際のところ、安全なコーディングは大変な作業です。そして、やりがいがあります。そして、それには複数の視点が必要です。機能が満たされていることを確認するためにコードレビューを行うという概念は理解していますよね?では、セキュリティーの専門家と開発者が、脅威のモデル化やセキュリティーレビューのようなことで一緒にパートナーを組むのは良いアイデアではないと考えるのは、本当に大げさなことでしょうか?重要なのは、セキュリティーの専門家は、もはやテストを実行して発見した脆弱性を報告するだけでは済まないということです。そうではなく、開発チームと協力して、バランスを取り、優先順位をつけ、修正するために積極的に働く必要があります。これこそが、共有学習を促進することなのです。


まとめ

つまり、今日のビジネスを成功させるためには、技術的なスキルだけでなく、リスクを軽減するためのより良いコラボレーションを推進するための根性、共感、好奇心を持ったセキュリティーとセキュリティーの専門家に対する新しいチームベースのアプローチが求められているということです。ビジネスリーダーは、このようなコラボレーションを大規模に推進するための環境、プラットフォーム、さらにはインセンティブを提供し、チーム間やパイプラインを通じて信頼を高め、最終的には、より優れた、より安全なソフトウェアをより迅速に提供することにつながるようにする必要があります。

これらやその他のアプリケーションセキュリティーに関する議論については、Application Paranoia ポッドキャストをチェックしてください。


このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。