2022/12/25 - 読み終える時間: ~1 分

Podcast Guest André König Discusses Quantum Computing in a New Episode of “Application Paranoia" の翻訳版です。

ポッドキャストのゲスト Andre Konig が "Application Paranoia" の新エピソードで量子コンピューティングについて議論します

2022年12月16日

著者: Rob Cuddy / Global Application Security Evangelist

Application Paranoiaの最新エピソードが、お気に入りのポッドキャスト・プラットフォームすべてで視聴可能になりました。このたび、量子コンピューティングの専門家であるアンドレ・コーニグをゲストに迎え、幅広い議論を展開します。

量子コンピュータに少しでも興味があるなら、このエピソードを見逃す手はありません。量子とは何なのか、そしてその未来はどうなるのか、この機会にぜひご覧ください。また、アンドレとホストは、量子コンピューティングに内在するセキュリティの課題についても議論しています。

アンドレ・コーニグは、フォーチュン500、投資、スタートアップで25年の経験を持つ、出版作家、講演者、DeepTechの専門家です。量子テクノロジーに関するビジネスインテリジェンスを提供するInterference Advisorsの最高経営責任者、3万5000人以上のメンバーを抱える世界有数の量子テクノロジーコミュニティOneQuantumの会長、量子テクノロジー投資ファンドおよびスタートアップアクセラレータであるEntanglement Capitalのマネージングパートナーを務めています。

Andre Konig

マサチューセッツ工科大学で量子コンピューティングを学び、シカゴ大学ブース・ビジネス・スクールで経済学修士、ICNビジネススクールで経営学修士を取得。英語、ドイツ語、フランス語、イタリア語を話し、ヨットの国内選手権に出場した経験があり、特殊部隊の戦闘訓練にも取り組んでいます。

今すぐシーズン3/エピソード7を聴く

Spotify、Google Podcasts、Apple Podcasts、Overcast、またはお気に入りのPodcastプラットフォームでApplication ParanoiaのPodcastを購読してください。また、Colin、Kris、Robはappscan.buzzsprout.comまたはハンドルネーム@AppParanoiaでTwitterで見つけることができます。

HCL AppScanのアプリケーション・セキュリティ・テクノロジーとプラットフォームに関する詳細については、hcltechsw.com/AppScan をご覧ください。

2022/12/6 - 読み終える時間: 2 分

Leveraging HCL AppScan on Cloud for More Secure Coding in Jenkins の翻訳版です。

HCL AppScan on Cloud の活用による Jenkins でのより安全なコーディングの実現

2022年12月1日

著者: Parimal Sureshagarkhed / Lead Software Engineering

Jenkins は、継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインでアプリケーションを構築しようとする開発者向けの主要なオープンソースの自動化サーバーです。もしあなたがJenkinsを使用している開発者で、アプリケーションのセキュリティにも気を配っているのであれば、次のような疑問があるかもしれません。私がオンライン・リポジトリにプッシュしたコードは、どの程度安全なのでしょうか？開発ツール間を行き来することなく、それを確認する方法はあるのだろうか？この種のセキュリティをJenkinsのパイプラインに統合することは可能なのだろうか？

答えは、"Yes "です。Jenkins用のHCL AppScanプラグインを使えば、このすべてが実現でき、セキュリティをCI/CDパイプラインに効果的に統合することができるのです。プラグインをダウンロードし、インストールし、AppScan on Cloud（ASoC）で構成すると、アプリケーション・セキュリティは簡単に管理できる優先事項になります。

まず、このプラグインは、開発者がプロジェクトのコーディングやビルド中にセキュリティ脆弱性のチェックを実行するためのツールを提供し、JenkinsとASoCを行き来する必要がありません。また、AppScan on Cloudは、SAST（Static Application Security Test）スキャンを実行するために使用する場合、さまざまな言語をサポートしており、プラグインを使用する場合、この機能を活用できます。

また、プラグインを使用することで、Intelligent Finding Analytics（IFA）やIntelligent Code Analytics（ICA）といったAppScanの機械学習機能（実行可能な問題やFixグループに基づく結果を提供）を利用できます。

IFAは強力な機械学習技術で、特に誤検出をフィルタリングし、修正によって改善できる発見を1つのコードポイントにグループ化することによって、トリアージ作業の大部分を代行します。IFAについては、こちらの記事で詳しく紹介しています。

さらに、静的解析スキャンでは、Intelligent Code Analytics (ICA) を使用します。ICAは、新しいアプリケーション・プログラミング・インターフェース（API）を自動的に検出し、セキュリティへの影響を評価します。ICAを通じて、すべてのサードパーティのAPIとフレームワークがレビューされ、適切なセキュリティ影響が割り当てられます。これにより、より完全なスキャン結果を得られます。ICAの詳細については、この記事をお読みください。

スキャンの設定時に、見つかった深刻度の高い脆弱性の数など、指定したセキュリティ結果に基づいてビルドが失敗するように設定できます。また、速度と問題の網羅性のバランスを選択することで、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づいて、深刻度の低い脆弱性や可能性の低い脆弱性については、テストポリシーで定義されたテストを省略します。テストの最適化について詳しくは、こちらをご覧ください。

HCL AppScan On Cloudのデモについては、このビデオ (Jenkinsとの統合) をご覧ください。

HCL AppScanプラグインを使用して、Jenkinsで「DevOps」を「DevSecOps」に変えてください。詳細については、HCL AppScan のウェブサイトをご覧いただくか、このリンクからHCL AppScan On Cloudの30日間無料トライアルを開始してください。

2022/12/6 - 読み終える時間: ~1 分

HCL AppScan Cloud SAST+SCA Innovation Workshop - What You’ll Learn の翻訳版です。

HCL AppScan Cloud SAST+SCA イノベーションワークショップ - 学べること

2022年11月30日

著者: Peter Lee / Senior Manager

12月8日に開催されるワークショップでは、AppScan on Cloud の一連のセキュリティテストツール（ウェブ、モバイル、オープンソースソフトウェアの静的、動的、対話的テストなど）が、どのように広範なセキュリティ脆弱性を検出し修復を促進するかをご覧いただけます。

AppScan on Cloudは、ソフトウェアがデプロイされる前の開発段階で脆弱性を排除することにより、シフト・レフト・セキュリティを実現します。包括的な管理機能により、セキュリティ専門家、開発者、DevOps、コンプライアンス担当者は、アプリケーションのセキュリティ状況を継続的に監視し、規制要件へのコンプライアンスを維持することができます。

主な特長、機能、ベストプラクティス

• AppScan on Cloudにおける SAST およびOSAスキャンのセットアップの紹介
• コードをクラウドに安全にインポートするためのさまざまな方法
• AppScan on Cloudを使用するための重要な機能およびヒントとトリック
• AppScan on CloudのSASTおよびSCAソリューションがCI/CDによるソフトウェア開発ライフサイクルにどのように適合するのか。

今すぐ登録を

2022/11/11 - 読み終える時間: ~1 分

HCL AppScan Source SAST + ASoC SAST Innovation Workshop - What You’ll Learn の翻訳版です。

HCL AppScan Source SAST + ASoC SAST イノベーションワークショップ - ここで学べること

2022年11月9日

著者: Peter Lee / Senior Manager

AppScan Sourceは、企業がより安全なソフトウェアを開発し、開発ライフサイクルの後半に表面化するコストのかかる脆弱性を回避することを支援します。開発サイクルの早い段階でセキュリティテストを統合することで、つまりシフトレフトセキュリティにより、AppScanはリスク露出を減らし、修復コストを削減します。AppScan Sourceは、機械学習ベースのIntelligent Finding Analytics（IFA）技術を活用し、お客様が重要なセキュリティ脆弱性と是正のための最適な手段を迅速に特定できるよう支援します。その結果、開発サイクルの後半や本番稼動時にコストのかかる修復を回避することができます。

2022年11月10日のセミナー では、AppScan on CloudがWeb、モバイル、オープンソースソフトウェア向けに静的、動的、対話型のテストを含む一連のセキュリティテストツールをどのように提供しているかをご紹介します。広範なセキュリティ脆弱性を検出し、修復を促進します。AppScan on Cloudは、ソフトウェアがデプロイされる前の開発段階で脆弱性を排除することにより、シフト・レフト・セキュリティを実現します。包括的な管理機能により、セキュリティ専門家、開発者、DevOps、コンプライアンス担当者は、アプリケーションのセキュリティ状況を継続的に監視し、規制要件へのコンプライアンスを維持することができます。主な機能は以下の通りです。

• SASTスキャンのセットアップ方法の紹介
• AppScan SASTツールの主な機能と使用上のヒントとコツ
• SASTスキャンのベストプラクティス
• 内蔵のA.I.を使用したトリアージのための所見の解釈と時間短縮の方法について理解する。
• AppScan on CloudでSASTとOSAのスキャンをセットアップする方法を紹介します。
• コードをクラウドに安全にインポートするためのさまざまな方法
• AppScan on Cloudを使用するための主な機能とTips&Tricks
• AppScan on CloudのSASTとOSAのソリューションがCI/CDにどのようにフィットするのか？
• AppScan SASTとCloud SASTソリューションの開発ライフサイクルへの適合性

今すぐ登録を

2022/11/7 - 読み終える時間: 3 分

HCL AppScan Integrates Security Scanning Easily into the Jenkins Pipeline の翻訳版です。

HCL AppScan: Jenkinsパイプラインにセキュリティスキャンを簡単に統合

2022年10月31日

著者: Parimal Sureshagarkhed / Lead Software Engineering

オープンソースの自動化サーバーである Jenkins でアプリケーションを構築している（または構築に興味がある）世界中の多くの開発者の一人であるあなたに、お知らせがあります。Jenkins用のHCL AppScanプラグインを使用すると、Jenkinsの継続的インテグレーション/継続的（CI/CD）デリバリーパイプラインにダイナミックアプリケーションセキュリティテスト（DAST）をそのままシームレスに統合することができるようになります。

アプリケーション・セキュリティに関しては、脆弱性を早期に捕捉することが重要です。HCLプラグインを使用すると、アプリケーションのビルド後、本番稼動前のステージングプロセスでDASTスキャンを実行できます。さらに、AppScanはアプリケーション全体を再テストする代わりに、変更されたアプリケーションの部分のみを自動的にスキャンすることで、さらに時間を節約できます。

注目すべき機能

• Jenkinsが様々なスレーブマシンに異なるジョブを割り当てるJenkinsマスタースレーブ構成を使用して、分散ビルドを管理できます。このアプローチでは、新しくビルドされた複数のプロジェクトや新しくデプロイされたWebサイトに対してDASTおよびSAST（静的アプリケーションセキュリティテスト）スキャンを効率的に適用することが可能です。セキュリティテストレポートと一緒に、それぞれのセキュリティ問題の概要が表示されます。このレポートには、スキャンの問題点と、報告された問題点に対する対処法が記載されています。HCL AppScanのレポートは膨大かつ詳細であり、開発者やセキュリティアナリストなど複数の関係者が利用することができる。

• このタスクは、[Activity Recorder]() を使用して、Webサイトの特定のフロー（新しく導入されたもの、ローカルでホストされているもの、公開サイト）をスキャンできます。この小さなユーティリティを使用すると、Webサイトのトラフィックとアクションを記録し、それらの記録を選択したAppScan Dynamic分析ツール（HCL AppScan Enterprise または HCL AppScan Standard または HCL AppScan On Cloud）にアップロードできます。

• HCL AppScanプラグインは、ビルドをトリガーする前に、設定の有効化および構成だけでなく、メールアラートもサポートします。

• HCL AppScanプラグインは、ビルドをトリガーする前に、設定の有効化およびメールアラートの設定をサポートします。

• スキャン速度と問題範囲のバランスを選択することにより、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づき、深刻度の低い脆弱性や可能性の低い脆弱性については、テストポリシーで定義されたテストを省略できます。

• テストレポートはJSONフォーマットで提供されます。

• AppScan Issue Management Gateway サービスを使用して、AppScan EnterpriseからJira、Azure、Rational Team Concertなどの他の課題管理アプリケーションに課題を移行することが可能です。

HCL AppScan Enterpriseのデモはこちらの Jenkins との統合のビデオをご覧ください。

HCL AppScanプラグインを使用してJenkinsパイプラインに直接セキュリティテストを追加することで、より高い信頼性と時間のロスなしにアプリケーションを本番稼動させることができます。HCL AppScanのウェブサイトで詳細をご覧になるか、このリンクからHCL AppScan Enterpriseの30日間無料トライアルを開始し、ご自身でアプリケーション・セキュリティをテストしてください。

2022/11/7 - 読み終える時間: 2 分

The Customers have spoken! の翻訳版です。

HCL AppScan: お客様からの評価です!

2022年11月2日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

HCL Technologies は、2022年 Gartner Peer Insights? アプリケーション・セキュリティ・テストのCustomers' Choiceに認定されました。

HCL Technologies は、Gartner Peer Insightsのアプリケーション・セキュリティ・テスト部門において、2022年のCustomers' Choiceベンダーとして認定されたことを発表します。この認定は、2022年7月31日現在、当社のアプリケーション・セキュリティ・テスト製品である HCL AppScan スイートの約60名の検証済みエンドユーザーからのフィードバックと評価に基づいています。全体として、HCL AppScanのレビュアーは5点満点中4.6点を与え、89%の回答者が当社の製品を推奨すると回答しています。

この評価の詳細については、Gartner Peer Insights をダウンロードしてください。'顧客の声': アプリケーション・セキュリティ・テスト

Gartner Peer Insights Customers' Choice は、検証済みのエンドユーザー専門家によるレビューに基づいて、この市場のベンダーを評価するものです。Customers' Choiceは、レビューの数と総合的なユーザー評価の両方を考慮しています。公正な評価を行うため、ガートナーでは顧客満足度の高いベンダーを認定するための厳格な基準を設けています。

今回の受賞に貢献した、あるお客様のコメントをご紹介します。

HCL AppScanは、アプリケーションを脆弱性に対してスキャンして結果を出し、それらの問題をできるだけ早く修正するために優先順位をつけることで、Webアプリケーション、Webサービス、モバイルバックエンドを確実にするのに役立っています。" - ソフトウェア、シニアテストエンジニア

レビューの全文を読む

HCL AppScanのレビューをもっと読むには、こちらをクリックしてください。

この賞の詳細や、当社製品を使用するITプロフェッショナルによって書かれたレビューを読むには、Gartner Peer Insightsの Application Security Testing のページをご覧ください。

レビューをお寄せいただいたお客様、ありがとうございました。お客様のフィードバックは、お客様のニーズに合ったより良い製品の開発に役立ちます。

GARTNERは、PEER INSIGHTSおよびPEER INSIGHTSの登録商標およびサービスマークです。Customers' Choiceバッジは、米国および海外におけるGartner, Inc.および/またはその関連会社の商標およびサービスマークであり、本書では許可を得て使用しています。無断転載を禁じます。Gartner Peer InsightsTMのコンテンツは、個々のエンドユーザーの経験に基づく意見で構成されており、事実の記述として解釈されるべきものではなく、またガートナーやその関連会社の見解を示すものではありません。ガートナーは、本コンテンツに掲載されているいかなるベンダー、製品またはサービスも推奨するものではなく、本コンテンツに関して、商品性または特定目的への適合性を含め、その正確性や完全性について、明示または黙示の保証をするものではありません。

2022/10/28 - 読み終える時間: 2 分

Here’s what happened at STARWEST 2022! の翻訳版です。

STARWEST 2022 の様子をご紹介します!

2022年10月28日

著者: Ragasudha Mardhaniyogan / Product Marketing Manager, OneTest

HCLは、2022年10月5日と6日に開催されたSTARWEST 2022のカンファレンスにスポンサーとして参加しました! この機会に、私たちは業界をリードする2つの製品、HCL OneTest と HCL AppScan を展示しました。

この展示会では、エンドツーエンドテストの欠如、サイロ化したテストチーム、ローコード/ノーコードの必要性など、テストに関する苦悩を共有する素晴らしい機会を提供することができました。この展示会では、市場のトレンドや、私たちの製品を通じてどのような支援ができるのかについて、洞察を得る機会を提供しました。

HCLは、このイベントで技術プレゼンテーションも行い、従来のDevOpsパイプラインにセキュリティテストを追加することで、テスターがセキュリティ問題をより深く理解できるようになることを説明しました。HCLソフトウェアのセキュリティエバンジェリスト兼ソリューションアーキテクトであるRob Cuddyがこのセッションを主催し、品質プロセスの早い段階でセキュリティを構築し、これにより全体的なサイクルタイムを短縮する方法について説明しました。

HCL OneTest は、UIやAPIの機能テスト、パフォーマンステスト、サービスの仮想化、テストデータ生成などをカバーする、業界をリードするテスト自動化プラットフォームです。HCL OneTestを使えば、より速く自動化し、より早く、より頻繁にテストを実行し、より早くエラーを発見することができます。

HCL AppScan は、企業やその顧客をサイバー脅威から守る、高速かつ正確で、機敏なセキュリティ・テスト・プラットフォームを提供します。DAST、SAST、IAST、SCAを含む包括的なセキュリティテスト機能を提供し、優れたデザインとシンプルな操作性により、DevOpsのユースケースに適したスキャン技術を提供します。

STARWEST 2022に来られなかった方は、2022年11月9日と10日にフロリダ州オーランドで開催されるAgile + DevOps Eastにもスポンサーとして参加しています。カンファレンスパスはこちらで入手できます。その時にお会いできるのを楽しみにしています。

HCL AppScanまたはHCL OneTestのデモをご覧になりたい場合は、このフォームにご記入ください。

2022/9/26 - 読み終える時間: 2 分

Strengths and Weaknesses in Application Security Technologies の翻訳版です。

アプリケーションセキュリティ技術の強みと弱み

2022年9月26日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

今日の世界では、アプリケーションのセキュリティ テストはもはやオプションではありません。それは必需品です。フォーチュン 500 企業であろうと、スタートアップ企業であろうと、Web アプリケーションに対する脅威に事欠きません。リモートワークやクラウドベースのサービスなどのトレンドの台頭に伴い、潜在的なセキュリティの脆弱性は指数関数的に増加し続けています.

製品が市場に出た後にセキュリティ違反が発生すると、費用、時間、評判の面でコストがかかる可能性があります。そのため、脆弱性を軽減するために高度なアプリケーション セキュリティ テスト ツールを利用する企業が増えています。ただし、各テクノロジには長所と短所があり、特定のビジネス モデルと開発サイクルに異なる方法で適合します。

Dynamic Application Security Testing (DAST) は、スキャン ツールを使用して Web アプリケーションを自動的にクロールし、セキュリティの脆弱性をテストします。主にセキュリティの専門家や侵入テスト担当者が使用する DAST は、実行中のアプリケーションの脆弱性を調査するブラック ボックス ツールです。このアプローチの主な強みは正確さです。 DAST が問題を検出した場合、それが誤検知であることはめったにありません。 DAST スキャンは、脆弱性が修正された後に修正を検証することもできます。

DAST の弱点には、長いスキャン時間と、問題の修正方法に関する詳細がほとんどないことが含まれます (DAST は基になるコードを認識できません)。このタイプのテストには、安定したビルドも必要であり、開発ライフサイクルの早い段階で実装することはできません。

すぐに開始してコードを直接スキャンするには、静的アプリケーション セキュリティ テスト (SAST) ツールが必要です。 SAST はスペル チェッカーのように機能し、開発者がコードを記述しているときに潜在的な脆弱性を見つけます。スキャンは自動的かつ継続的に行われるため、ダウンタイムはなく、コードのあらゆる側面が検査されていることを確信できます。

この完全なカバレッジは、圧倒的な数の調査結果につながる可能性があり、そのうちのいくつかは偽陰性である可能性があります.また、実行中の環境でアプリケーション全体をさらにスキャンしない限り、修正を検証する方法はありません。

Interactive Application Security Testing (IAST) は、独自の長所と短所を持つ 3 番目のテスト オプションです。 IAST ツールは、アプリケーションの実行中にトラフィックを監視します。 DAST とは異なり、それらは受動的です。それらを使用して侵入テストを作成することはできません。ただし、DAST とは異なり、IAST はアプリケーションの実行中に基になるコードを見ることができます。これは、IAST スキャンが正確 (DAST スキャンのように) かつ詳細 (SAST のように) であることを意味します。

開発者、セキュリティ アナリスト、CISO のいずれであっても、自分と自分の会社にとってどのテクノロジが最も有益かを判断するには、これらの各テクノロジのさまざまな長所を理解することが重要です。各テクノロジーには弱点がありますが、3 つのテクノロジーすべてを auto-issue corelation と組み合わせて使用すると、これらの弱点を大幅に減らすことができます。

アプリケーション セキュリティにおけるこの画期的な新開発と、修正する脆弱性に優先順位を付けて修正時間を節約する方法について詳しくは、ここをクリックするか、hcltechsw.com/AppScan にアクセスしてください。