AppScan の最新情報が得られる AppScan News

2020/1/21 - 読み終える時間: ~1 分

HCL サポート・サイトにはコミュニティーが設けられていて、各種質問ができるようになっています。

このコミュニティーに、AppScan の最新情報をお伝えする AppScan News が不定期でポストされています。

AppScan News: https://hclpnpsupport.service-now.com/community?id=community_forum&sys_id=cc47a5011ba88c5c83cb86e9cd4bcbee


AppScan 関係のサポート技術情報

2020/1/14 - 読み終える時間: 8 分

AppScanの日本語サポート技術情報がある程度整備されてきましたので一覧にしてみました。FAQ なものも多く含まれています。

KB0074344 AppScan Standard のマシンを変更する際に必要なライセンス作業

KB0074913 AppScan 製品の営業担当に連絡する方法

KB0074756 AppScan Standardライセンスの設定方法

KB0074753 ライセンスとデリバリーポータルにAppScan Standardのインストーラーが表示されません

KB0074754 AppScan Standard のライセンスはどこからダウンロードできますか?

KB0074912 AppScan Standard のインストーラーはどこからダウンロードできますか?

KB0074755 AppScan Standardのインストーラーのダウンロードやライセンスの設定のためにライセンスとデリバリーポータルにログインする方法

KB0011510 AppScan Source で C/C++ のスキャンをする際によく使われるコンパイラ・オプションについて

KB0074760 AppScan StandardをインストールできるOSはどこで確認できますか?

KB0011601 セキュリティー・ナレッジ・データベースをクライアント外から起動する方法について

KB0074759 AppScan Standardのエンタイトルメントの延長はどこに連絡すればいいですか?

KB0074752 AppScan Standard のライセンス/エンタイトルメントが表示されません

KB0074757 IBMとHCLのどちらのライセンスをAppScan Standardに使用すればいいですか?

KB0011593 AppScan Standard でのメガ・スクリプト サイトの扱いについて

KB0011797 AppScan Source のアップグレード中に発生するデータベースへの接続エラーについて

KB0011509 AppScan Source で C/C++ アプリケーションをスキャンする際のガイドラインとベスト・プラクティス

KB0012125 AppScan Standard のスキャン保存時に発生する 「CRWAD3813E - ディスク容量不足のため、スキャン (スキャン名) の保存に失敗しました」 エラーについて

KB0011162 AppScan Standard で大型のサイトを最適化する方法について

KB0074762 ライセンスとデリバリーポータルにログインできません

KB0011600 URL Rewriting を使用しているサイトに対する AppScan の設定について

KB0074758 AppScan Standard関連の情報はどこから入手できますか?

KB0074344 AppScan Standard のマシンを変更する際に必要なライセンス作業

KB0074871 「AppScan Standardライセンスのロードに失敗しました。サポートに連絡してください。」メッセージが表示されます

KB0074874 AppScan on Cloud ライセンスの購入および更新方法

KB0074876 AppScan on Cloud でよくある質問

KB0011116 「SQL インジェクション・ファイル書き込み」が、データベースを利用していないアプリケーションでも検出される理由について

KB0011251 AppScan Source v9.0.1 へのアップグレード手順について

KB0012021 「SRI (Subresource Integrity) サポートの確認」の脆弱性が誤検知されます

KB0012286 OpenSSLの脆弱性(CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298 and CVE-2014-3470)の影響を受けないIBM Security製品のリスト

KB0011573 アクション・ベースのログインにおけるトラブルシューティングのヒント

KB0011853 AppScan Standard でテストされた要素の数値が一致しないままスキャンが完了する

KB0011392 AppScan Standard で Web サービスをスキャンする手順について

KB0011117 「SQL インジェクション・ファイル書き込み」について

KB0011128 Microsoft SharePoint をスキャンする際のガイドライン

KB0011375 大型のサイトに対するスキャンやジョブの最適化について

KB0074490 AppScan 製品の仕様に関する改善要望あるいは機能追加のリクエスト方法

KB0011098 AppScan Standard の更新について

KB0074151 AppScan のインストーラーはどこからダウンロードできますか

KB0074148 AppScan News から通知メールを受信する方法

KB0012197 AppScan Dynamic Analysis Client で「選択したジョブをダウンロードできませんでした」エラーが発生

KB0040361 AppScan on Cloud でチケットをオープンする手順

KB0011515 AppScan Enterprise の Liberty サーバーのトレース・ログ設定方法について

KB0011501 AppScan Source でプリコンパイル Java/JSP のスキャンを行う方法について

KB0011838 AppScan 動的分析クライアントの探査オプションに予期しない値が表示される

KB0011374 AppScan Standard でクロスサイトスクリプティングが検出されない事象について

KB0011247 AppScan Source for Analysis の検出結果をエクセルに出力する方法について

KB0011250 パラメーター名に日本語を含むアプリケーションのスキャンについて

KB0011163 AppScan Standard で大きななスキャンを幾つかの小さなスキャンに分割する方法

KB0012190 「Content-Security-Policy ヘッダーが欠落しています」脆弱性の検出方法修正について


サポート技術情報: AppScan Standard の更新について

2019/12/2 - 読み終える時間: ~1 分

AppScan Standard を更新するための、プログラムのダウンロードの方法が、以下のサポート技術情報で案内されています。 https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0011098


HCL AppScan Standard 9.0.3.13 iFix 001 が公開されました

2019/10/29 - 読み終える時間: ~1 分

標記の修正プログラムが 2019/10/24 に公開されました。2019年8月にリリースされた 9.0.3.13 に対する修正です。修正項目は6件です。詳細は Fix List を参照してください。


アプリケーション・セキュリティー・プログラムにおける速度とセキュリティーのバランスの取り方

2019/10/4 - 読み終える時間: 2 分

HCL Software ではコラボレーション領域に限らずさまざまな製品やサービスを手がけています。今回は、アプリケーションのセキュリティーを確保するための AppScan に関するブログ記事です。

これに関連して、動的アプリケーションテスト (DAST) についての Webinar のご案内です。

How to Optimize DAST for Your DevOps Program

https://www.brighttalk.com/webcast/17840/372564?utm_source=HCL+AppScan&utm_medium=brighttalk&utm_campaign=372564


アプリケーション・セキュリティー・プログラムにおける速度とセキュリティーのバランスの取り方

原題: How to Balance Speed and Security in Your Application Security Program

Joseph Coletta / September 30, 2019

今日の進化し続けるデジタル信頼の世界では、DevOpsという用語は速度と同義語になっています。競争したい場合は、高品質のコードを迅速に構築する必要があります。しかし、企業が革新できるようになるとすぐに、悪者は脆弱なアプリケーションを悪用する新しい方法を絶えず開発してきます。

そのことを念頭に置いて、ビジネス・リーダーとセキュリティー・マネージャーは、市場投入までの速度を維持を実現するために、ソフトウェア開発ライフサイクル(SDLC)を統合管理できるアプリケーション・セキュリティー・ソリューションを必要としています。ただし、セキュリティーと速度の間には微妙なバランスがあります。目標とリスクを理解し、開発者が担当範囲をリードしていけるように支援していくことこそ、そのバランスを実現する取り組みになります。

アプリケーションのセキュリティー目標を理解する

規制要件を満たすために単にボックにチェックを入れることを優先する場合は、コンプライアンス準拠が必ずしもセキュリティー確保となるとは限らないことをしっかり認識、考慮しておく必要があります。コンプライアンスを達成することは短期間だったり簡単な作業ではありません。しかし、安全なソフトウェアを作成して、ソフトウェアへの攻撃・侵害を防ぐことが目標であれば、コンプライアンスだけにとどまらないようにする必要があります。

ほとんどの規制要件は「幅広いブラシ」で描かれており、アプリケーションのニュアンスまでは考慮されていません。コンプライアンスは、アプリケーション開発のペースが非常に速いことを考えると、すぐに無関係になるかもしれないある要件セットをチェックするための「ある時点での」努力といえるでしょう。ですので、まずは開発パイプライン全体でセキュリティーを確立することが、安全なコードを時間通りに提供するために不可欠です。セキュリティーが最初からアプリケーションのDNAに組み込まれていれば、コンプライアンスへの対応が容易になります。さらに、自社のビジネス・ニーズに基づいてセキュリティー・ポリシーを確立することで、他のビジネス市場のニーズに巻き込まれずに済みます。

バランスのとれたアプリケーション・セキュリティー・プログラムができること

ある特定の種類のアプリケーション・テストのみがアジャイルやDevOps方法論が要求する速度を満たせる、という誤解があります。このため、多くの組織では、納期を満たすであろうと見込んだアプリケーション・テスト・ソリューションの種類を利用することになります。 アプリポートフォリオ全体にエンド・ツー・エンドのセキュリティー・カバレッジを提供できる「魔法の弾丸」は存在するわけがありません。動的分析が安全でないデータ・フローについてテストできないように、静的分析は壊れている認証機構についてテストできません。完全に成熟したアプリケーション・セキュリティー・プログラムを実現するには、さまざまなテクノロジーをテストおよび活用するバランスの取れたアプローチが必要になってきます。

幸いなことに、アプリケーション・セキュリティーテクノロジーは過去10年間で飛躍的に進歩し、業界の残りの部分に移りつつあります。静的分析は開発ライフサイクルの初期段階で統合でき、動的分析はQAテストや、特定のコード変更のみをチェックする機能テストにも適用できます。時間をかけてリスク許容度を理解し、適切な技術の組み合わせを採用することで、品質の高い安全なコードを予定通りに納品できるようになります。

開発者がセキュリティー標準に準拠したコードを作り出すようにするために

セキュリティーと速度のバランスをとることの微妙な点のひとつは、セキュリティー上の欠陥をすばやく見つけて迅速に修正できるようにすることです。失敗から学ぶために、失敗する方法を教えてくれた高校のコーチや教師がいたかもしれません。セキュリティーにも同じことが当てはまります。

実際のセキュリティー脆弱性を早期に認識し、本番環境にプッシュされる前に修正するためのアクション・プランを用意することが重要です。このアプローチの主要なコンポーネントは、徹底したセキュリティー・トレーニング・カリキュラムに支えられた開発チームであり、独自の手で修復を行う権限を与えられています。手始めに、SQLインジェクションやクロスサイト・スクリプティング(XSS)など、アプリケーション全体で最も一般的に繰り返し発生するセキュリティー上の欠陥を考慮し、適切なトレーニング・カリキュラムを開発して、それらの欠陥を発見、修正する方法について開発者を教育します。

さまざまな種類の脆弱性と、アプリケーションの設計におけるそれらのコンテキストに時間をかけて理解してください。当然、重大度の高い欠陥には対処する必要がありますが、攻撃者がそれらを悪用できるかどうかも検討する必要があります。これは重大な脆弱性なのか。関数はアプリケーションの呼び出しパス内にあるのか。重大度が中程度の脆弱性が多数あると、たったひとつの重大度の高い脆弱性よりも悪用されるリスクが高くなります。

すべてのアプリが「均等に」作成されるわけではない

すべてのアプリケーションが同じように作成されるわけではありません。なぜなら、すべてのアプリケーションについて同じレベルのリスクが課せられているわけではないからです。限られたリソースのなかで、数あるアプリケーションすべてについてリスクを管理し優先順位を付ける方法が必要です。

残念ながら、私たちは完璧な世界に住んでいません。ただし、アプリケーションの状況を把握し、適切なテクノロジーを適切な場所に適用し、開発者が安全なコーディング手法の実際を完全に身につけることで、速度とセキュリティーのバランスがうまく取れるようになります。 このようなアプリケーション・セキュリティー・コンテンツについては、ブログを購読して、TwitterYouTubeLinkedInBrightTALK でフォローしてみてください。


About

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。