2023/2/8 - 読み終える時間: ~1 分

AppScan Will Be at the CyberTech Global Tel Aviv Conference の翻訳版です。

HCL AppScan は CyberTech Global Tel Aviv カンファレンスに参加します

2023年2月2日

著者: Courtney Coleman / HCL Software

CyberTech Global Tel Aviv は 2023年1月30日～2月1日に Expo Tel Aviv で開催されます。AppScan は BigFix と共に、世界80カ国のサイバーセキュリティの専門家が集まるカンファレンスに参加します。展示会では当社製品のデモを行い、お客様のアプリケーション・セキュリティを強化する方法について、専門家が質問にお答えします。

この3日間のサミットには15,000人以上の参加者があり、サイバーセキュリティにおける革新的な技術に焦点が当てられます。

このサミットに参加しませんか？詳細と登録はこちら からどうぞ。

2023/2/8 - 読み終える時間: ~1 分

January’s AppScan Innovation Workshop: A Recap の翻訳版です。

2023年1月の HCL AppScan Innovation Workshop のまとめ

2023年2月3日

著者: Courtney Coleman / HCL Software

2023年1月のワークショップでは、AppScan on Cloud と HCL OneTest UI & Performance を組み合わせて、組織向けの強力な自動テストソリューションを作成する方法を紹介しました。このワークショップのハンズオン部分は、参加者が AppScan on Cloud を直接体験する機会を提供するインストラクター主導のラボでした。参加者はそれぞれ AppScan Lab 環境のインスタンスを受け取り、インストラクターの説明を聞きながら質問をすることができました。このセッションのワークショップで参加者が学んだことは以下の通りです。

• AppScan で DAST スキャンをセットアップする方法の紹介
• AppScan DAST ソリューションの主な特長と使用上のヒントとコツ
• セキュリティと DevOps サイクル全体に対する洞察を提供するために、AppScan がどのようにユニークで高度なダッシュボード化バリューストリーム管理を追加しているか

今回のワークショップに参加できなかった方は、次回3月1日に開催されるワークショップにこちらからご登録いただけます。皆様のご参加をお待ちしております。

2023/1/16 - 読み終える時間: ~1 分

New Report from HCL AppScan Shines Light on Security Challenges の翻訳版です。

セキュリティの課題に光を当てる HCL AppScan の新しいレポート

2023年1月12日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

この秋、HCLSoftwareは世界中の44,000人以上のプロフェッショナルにアンケートを送りました。その目的は、現在導入されているアプリケーションセキュリティテスト技術と手順、およびより堅牢なアプリケーションソリューションを開発する際に企業が直面する運用上の課題について、理解を深めることでした。

その結果、2022年アプリケーションセキュリティテストの動向レポート は、調査回答を集計・分析し、スピードやコストに関する懸念から、特定のテスト技術が今日最も利用されているかまで、多くの有益な洞察を提供しています。

レポートのダウンロード

全回答者の4分の1以上が、自社のプログラムに対する最大の課題としてリソースの不足を挙げています。開発者の 90% が修復時間に満足と回答し、CISCO の 100% がこれに完全に同意していないことからもわかるように、利害関係者とのコミュニケーションも明らかな課題です。

また、回答は、今後数年間に企業が進むべき方向性を明らかにするものでした。このことを明確に示すものとして、IAST (Interactive Application Security Testing) が現在あまり利用されていないものの、将来的には誰もが望むものになるであろうということが挙げられます。

アプリケーション・セキュリティ・テストの全体像については、この報告書の全文をダウンロードしてください。詳細については、www.hcltechsw.com/AppScan をご覧になるか、今すぐ無料トライアルにお申し込みください。

2023/1/10 - 読み終える時間: ~1 分

HCL AppScan Provides Additional Cloud Security with New Container Scanning Capabilities の翻訳版です。

HCL AppScan: 新しいコンテナ・スキャン機能でクラウドセキュリティをさらに強化

2023年1月9日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

近年、より簡単、迅速、かつ継続的にソフトウェアをクラウドにデプロイする方法を探しているDevOpsチームによって、コンテナの使用が広く採用されています。コンテナとは、コード、依存関係、ライブラリ、システムツールなど、アプリケーションの実行に必要なすべてのものを含む、自己完結型のファイルパッケージのことです。各コンテナは、コンテナイメージのランタイムインスタンスであり、コンテナの「設計図」とアプリケーションプロセスのコードを含む静的で階層化されたファイルです。

コンテナは、高速で柔軟なデプロイメントを可能にしますが、同時に新たなセキュリティ・リスクももたらします。コンテナには、他の開発段階では発見されないような重大な脆弱性が含まれている可能性があります。これは、公開リポジトリからのイメージやオープンソースライブラリのコードが使用されていることが一因です。

クラウドセキュリティの重要な機能であるコンテナスキャンは、HCL AppScan on Cloudで利用できるようになりました。HCL AppScanは、同社のSCA（ソフトウェア構成分析）技術を活用し、コンテナを実行することなくDockerコンテナのすべてのコンテンツをスキャンする革新的なソリューションを開発しました。Dockerは、2013年にオープンソースのDockerエンジンでコンテナの業界標準を作り上げ、現在最も広く使われているコンテナであります。

Dockerコンテナをスキャンするために、HCL AppScan on CloudのユーザーはDocker CLI（コマンドラインインターフェース）ツールをシステムにインストールするだけです。SCAを使用することで、HCL AppScanはサードパーティやオープンソースアプリケーションの既知の脆弱性を常に更新するリストとコンポーネントを照合することができます。SCAスキャンに加え、HCL AppScan on Cloudのユーザーは、コンテナにデプロイされるアプリケーションコードに対して独立したSAST（Static Application Security Testing）スキャンを実行でき、すべてのスキャン結果は、リスクレベルを示す単一のダッシュボードビューに集約でき、迅速な修復が可能になります。

Docker Container Imageの場合、スキャンに利用できるコンテナがなければ、HCL AppScanがカスタムコンテナを作成します。これらはすべて、HCL AppScan on Cloud CLI（コマンドラインインターフェース）を使用した簡単なコマンドで実行されます。コンテナは決して実行されず、不要になり次第削除されるため、開発者には元の作業だけが残ります。

この革新的なコンテナ・スキャン機能およびその他のHCL AppScanアプリケーション・セキュリティ・テスト・ソリューションの詳細については、www.hcltechsw.com/AppScan をご覧ください。HCL AppScan on Cloud の無料トライアルで、この技術をご自身で体験してください。

2023/1/6 - 読み終える時間: ~1 分

AppScan Innovation December 2022 Workshop Recap の翻訳版です。

HCL AppScan Innovation 2022年12月ワークショップのまとめ

2023年1月4日

著者: Courtney Coleman

今回のワークショップでは、開発サイクルの早い段階で AppScan によるセキュリティテストを統合すること、すなわちシフトレフトセキュリティが、いかにリスク露出を減らし、修復コストを削減するかについて議論しました。このハンズオンワークショップでは、以下のような内容を共有しました。

• SAST スキャンのセットアップ方法の紹介
• AppScan SASTツールの主な機能と使用上のヒントとコツ
• SASTスキャンのベストプラクティス
• ビルトインAIを使用したトリアージのための所見の解釈と時間短縮の方法についての理解
• AppScan on CloudでSASTとOSAスキャンをセットアップする方法の紹介
• コードをクラウドに安全にインポートするためのさまざまな方法
• AppScan on Cloudを使用するための主な機能と?ヒントとコツ?
• AppScan on CloudのSASTとOSAのソリューションがCI/CDにどのようにフィットするのか？
• AppScan SASTとCloud SASTソリューションの開発ライフサイクルへの適合性

次回のワークショップは1月24日に開催されます。お申し込みはこちらからお願いします。

2023/1/5 - 読み終える時間: 3 分

Application Issue Triage Has Never Been Easier in HCL AppScan Standard の翻訳版です。

HCL AppScan Standard でアプリケーションの問題のトリアージがかつてないほど簡単になりました

2023年1月4日

著者: Asaf Yogev / Experienced UX Leader, Researcher, and Designer, HCLSoftware

アプリケーション開発の世界では、セキュリティ専門家はしばしばアプリケーションセキュリティのトリアージ（修正すべき重要な問題の選別、開発チームによる優先順位付け、レポート作成）を任される専門家です。このプロセスでは正確さが重要であり、優れたツールが本当に役に立ちます。

HCL AppScan Standard は、トリアージプロセスをアップグレードした新しいユーザーインターフェースを備えており、ユーザーがソフトウェアの多数の動的アプリケーションセキュリティテスト（DAST）機能を活用できるようになっています。これにより、必要な脆弱性テストの結果にこれまで以上に簡単にアクセスできるようになり、問題の確認、優先順位付け、および対処が必要な担当者への迅速な引き渡しが可能になりました。

以下は、HCL AppScan Standardチームによってまとめられたこれらのトリアージ機能の簡単な紹介です。HCL AppScan Standardのユーザーでない場合、あるいはまだ最新バージョンをお持ちでない場合は、こちらで詳細をご覧ください。

最初に検索するもの

探しているものがわかっている場合、課題の種類やURLからテストされた要素や修正タスクまで、課題テーブルの任意のパラメーターで検索できます。

"search-issues" アニメーションGIF（このテキストを含めないでください）

課題タイプによる課題のグループ化

すべての課題の種類を上位表示したいときや、課題の種類ごとにトリアージしたいときは、課題をグループ化すれば、より短いリストで確認できます。

「課題グループ-変更-深刻度」のアニメーションGIF（このテキストは含まないでください。）

修正タスクによる課題のグループ化

同じ修正方法に従って課題を整理することで、開発者とのコミュニケーションが容易になります。問題を改善タスクごとにグループ化することで、開発者が作業の優先順位をつけやすくなります。

"issues-remediation-report" アニメーションGIF (このテキストは入れないでください)

表示内容をカスタマイズ

このプラットフォームでは、ノイズとしてマークされた課題を非表示にしたり、深刻度の高いものから低いものへ、URLごとに課題を整理したりと、何をどのような順番で見るかを決めることができます。また、日々の業務に関係のないカラムは非表示にし、必要なときだけ表示させることもできます。

"filter-sort-columns" アニメーションGIF (このテキストは入れないでください)

追加アクション

課題の整理にさらにカスタマイズが必要な場合、課題の一部または全部を選択してCSVファイルに書き出すことができます。また、開発者と共有する課題を選択し、レポートにエクスポートすることもできます。

「マルチセレクト・エクスポート" アニメーションGIF（このテキストを含まない）

私たちはあなたの声に耳を傾けています

HCL AppScan Standardの機能強化の多くは、お客様との多大なる協力関係のおかげで実現しました。HCL AppScan Standardのフィードバックボタンを使ってフィードバックを共有することもできますし、このリンク を使ってコメントや考えを追加することもできます。

トリアージをお楽しみください。

HCL AppScan チーム

2022/12/25 - 読み終える時間: ~1 分

Podcast Guest André König Discusses Quantum Computing in a New Episode of “Application Paranoia" の翻訳版です。

ポッドキャストのゲスト Andre Konig が "Application Paranoia" の新エピソードで量子コンピューティングについて議論します

2022年12月16日

著者: Rob Cuddy / Global Application Security Evangelist

Application Paranoiaの最新エピソードが、お気に入りのポッドキャスト・プラットフォームすべてで視聴可能になりました。このたび、量子コンピューティングの専門家であるアンドレ・コーニグをゲストに迎え、幅広い議論を展開します。

量子コンピュータに少しでも興味があるなら、このエピソードを見逃す手はありません。量子とは何なのか、そしてその未来はどうなるのか、この機会にぜひご覧ください。また、アンドレとホストは、量子コンピューティングに内在するセキュリティの課題についても議論しています。

アンドレ・コーニグは、フォーチュン500、投資、スタートアップで25年の経験を持つ、出版作家、講演者、DeepTechの専門家です。量子テクノロジーに関するビジネスインテリジェンスを提供するInterference Advisorsの最高経営責任者、3万5000人以上のメンバーを抱える世界有数の量子テクノロジーコミュニティOneQuantumの会長、量子テクノロジー投資ファンドおよびスタートアップアクセラレータであるEntanglement Capitalのマネージングパートナーを務めています。

Andre Konig

マサチューセッツ工科大学で量子コンピューティングを学び、シカゴ大学ブース・ビジネス・スクールで経済学修士、ICNビジネススクールで経営学修士を取得。英語、ドイツ語、フランス語、イタリア語を話し、ヨットの国内選手権に出場した経験があり、特殊部隊の戦闘訓練にも取り組んでいます。

今すぐシーズン3/エピソード7を聴く

Spotify、Google Podcasts、Apple Podcasts、Overcast、またはお気に入りのPodcastプラットフォームでApplication ParanoiaのPodcastを購読してください。また、Colin、Kris、Robはappscan.buzzsprout.comまたはハンドルネーム@AppParanoiaでTwitterで見つけることができます。

HCL AppScanのアプリケーション・セキュリティ・テクノロジーとプラットフォームに関する詳細については、hcltechsw.com/AppScan をご覧ください。

2022/12/6 - 読み終える時間: 2 分

Leveraging HCL AppScan on Cloud for More Secure Coding in Jenkins の翻訳版です。

HCL AppScan on Cloud の活用による Jenkins でのより安全なコーディングの実現

2022年12月1日

著者: Parimal Sureshagarkhed / Lead Software Engineering

Jenkins は、継続的インテグレーション/継続的デリバリー（CI/CD）パイプラインでアプリケーションを構築しようとする開発者向けの主要なオープンソースの自動化サーバーです。もしあなたがJenkinsを使用している開発者で、アプリケーションのセキュリティにも気を配っているのであれば、次のような疑問があるかもしれません。私がオンライン・リポジトリにプッシュしたコードは、どの程度安全なのでしょうか？開発ツール間を行き来することなく、それを確認する方法はあるのだろうか？この種のセキュリティをJenkinsのパイプラインに統合することは可能なのだろうか？

答えは、"Yes "です。Jenkins用のHCL AppScanプラグインを使えば、このすべてが実現でき、セキュリティをCI/CDパイプラインに効果的に統合することができるのです。プラグインをダウンロードし、インストールし、AppScan on Cloud（ASoC）で構成すると、アプリケーション・セキュリティは簡単に管理できる優先事項になります。

まず、このプラグインは、開発者がプロジェクトのコーディングやビルド中にセキュリティ脆弱性のチェックを実行するためのツールを提供し、JenkinsとASoCを行き来する必要がありません。また、AppScan on Cloudは、SAST（Static Application Security Test）スキャンを実行するために使用する場合、さまざまな言語をサポートしており、プラグインを使用する場合、この機能を活用できます。

また、プラグインを使用することで、Intelligent Finding Analytics（IFA）やIntelligent Code Analytics（ICA）といったAppScanの機械学習機能（実行可能な問題やFixグループに基づく結果を提供）を利用できます。

IFAは強力な機械学習技術で、特に誤検出をフィルタリングし、修正によって改善できる発見を1つのコードポイントにグループ化することによって、トリアージ作業の大部分を代行します。IFAについては、こちらの記事で詳しく紹介しています。

さらに、静的解析スキャンでは、Intelligent Code Analytics (ICA) を使用します。ICAは、新しいアプリケーション・プログラミング・インターフェース（API）を自動的に検出し、セキュリティへの影響を評価します。ICAを通じて、すべてのサードパーティのAPIとフレームワークがレビューされ、適切なセキュリティ影響が割り当てられます。これにより、より完全なスキャン結果を得られます。ICAの詳細については、この記事をお読みください。

スキャンの設定時に、見つかった深刻度の高い脆弱性の数など、指定したセキュリティ結果に基づいてビルドが失敗するように設定できます。また、速度と問題の網羅性のバランスを選択することで、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づいて、深刻度の低い脆弱性や可能性の低い脆弱性については、テストポリシーで定義されたテストを省略します。テストの最適化について詳しくは、こちらをご覧ください。

HCL AppScan On Cloudのデモについては、このビデオ (Jenkinsとの統合) をご覧ください。

HCL AppScanプラグインを使用して、Jenkinsで「DevOps」を「DevSecOps」に変えてください。詳細については、HCL AppScan のウェブサイトをご覧いただくか、このリンクからHCL AppScan On Cloudの30日間無料トライアルを開始してください。