HCL AppScan Cloud SAST+SCA イノベーションワークショップ - 学べること
2022/12/6 - 読み終える時間: ~1 分
HCL AppScan Cloud SAST+SCA Innovation Workshop - What You’ll Learn の翻訳版です。
HCL AppScan Cloud SAST+SCA イノベーションワークショップ - 学べること
2022年11月30日
著者: Peter Lee / Senior Manager
12月8日に開催されるワークショップでは、AppScan on Cloud の一連のセキュリティテストツール(ウェブ、モバイル、オープンソースソフトウェアの静的、動的、対話的テストなど)が、どのように広範なセキュリティ脆弱性を検出し修復を促進するかをご覧いただけます。
AppScan on Cloudは、ソフトウェアがデプロイされる前の開発段階で脆弱性を排除することにより、シフト・レフト・セキュリティを実現します。包括的な管理機能により、セキュリティ専門家、開発者、DevOps、コンプライアンス担当者は、アプリケーションのセキュリティ状況を継続的に監視し、規制要件へのコンプライアンスを維持することができます。
主な特長、機能、ベストプラクティス
- AppScan on Cloudにおける SAST およびOSAスキャンのセットアップの紹介
- コードをクラウドに安全にインポートするためのさまざまな方法
- AppScan on Cloudを使用するための重要な機能およびヒントとトリック
- AppScan on CloudのSASTおよびSCAソリューションがCI/CDによるソフトウェア開発ライフサイクルにどのように適合するのか。
HCL AppScan Source SAST + ASoC SAST イノベーションワークショップ - ここで学べること
2022/11/11 - 読み終える時間: ~1 分
HCL AppScan Source SAST + ASoC SAST Innovation Workshop - What You’ll Learn の翻訳版です。
HCL AppScan Source SAST + ASoC SAST イノベーションワークショップ - ここで学べること
2022年11月9日
著者: Peter Lee / Senior Manager
AppScan Sourceは、企業がより安全なソフトウェアを開発し、開発ライフサイクルの後半に表面化するコストのかかる脆弱性を回避することを支援します。開発サイクルの早い段階でセキュリティテストを統合することで、つまりシフトレフトセキュリティにより、AppScanはリスク露出を減らし、修復コストを削減します。AppScan Sourceは、機械学習ベースのIntelligent Finding Analytics(IFA)技術を活用し、お客様が重要なセキュリティ脆弱性と是正のための最適な手段を迅速に特定できるよう支援します。その結果、開発サイクルの後半や本番稼動時にコストのかかる修復を回避することができます。
2022年11月10日のセミナー では、AppScan on CloudがWeb、モバイル、オープンソースソフトウェア向けに静的、動的、対話型のテストを含む一連のセキュリティテストツールをどのように提供しているかをご紹介します。広範なセキュリティ脆弱性を検出し、修復を促進します。AppScan on Cloudは、ソフトウェアがデプロイされる前の開発段階で脆弱性を排除することにより、シフト・レフト・セキュリティを実現します。包括的な管理機能により、セキュリティ専門家、開発者、DevOps、コンプライアンス担当者は、アプリケーションのセキュリティ状況を継続的に監視し、規制要件へのコンプライアンスを維持することができます。主な機能は以下の通りです。
- SASTスキャンのセットアップ方法の紹介
- AppScan SASTツールの主な機能と使用上のヒントとコツ
- SASTスキャンのベストプラクティス
- 内蔵のA.I.を使用したトリアージのための所見の解釈と時間短縮の方法について理解する。
- AppScan on CloudでSASTとOSAのスキャンをセットアップする方法を紹介します。
- コードをクラウドに安全にインポートするためのさまざまな方法
- AppScan on Cloudを使用するための主な機能とTips&Tricks
- AppScan on CloudのSASTとOSAのソリューションがCI/CDにどのようにフィットするのか?
- AppScan SASTとCloud SASTソリューションの開発ライフサイクルへの適合性
HCL AppScan: Jenkinsパイプラインにセキュリティスキャンを簡単に統合
2022/11/7 - 読み終える時間: 3 分
HCL AppScan Integrates Security Scanning Easily into the Jenkins Pipeline の翻訳版です。
HCL AppScan: Jenkinsパイプラインにセキュリティスキャンを簡単に統合
2022年10月31日
著者: Parimal Sureshagarkhed / Lead Software Engineering
オープンソースの自動化サーバーである Jenkins でアプリケーションを構築している(または構築に興味がある)世界中の多くの開発者の一人であるあなたに、お知らせがあります。Jenkins用のHCL AppScanプラグインを使用すると、Jenkinsの継続的インテグレーション/継続的(CI/CD)デリバリーパイプラインにダイナミックアプリケーションセキュリティテスト(DAST)をそのままシームレスに統合することができるようになります。
アプリケーション・セキュリティに関しては、脆弱性を早期に捕捉することが重要です。HCLプラグインを使用すると、アプリケーションのビルド後、本番稼動前のステージングプロセスでDASTスキャンを実行できます。さらに、AppScanはアプリケーション全体を再テストする代わりに、変更されたアプリケーションの部分のみを自動的にスキャンすることで、さらに時間を節約できます。
注目すべき機能
-
Jenkinsが様々なスレーブマシンに異なるジョブを割り当てるJenkinsマスタースレーブ構成を使用して、分散ビルドを管理できます。このアプローチでは、新しくビルドされた複数のプロジェクトや新しくデプロイされたWebサイトに対してDASTおよびSAST(静的アプリケーションセキュリティテスト)スキャンを効率的に適用することが可能です。セキュリティテストレポートと一緒に、それぞれのセキュリティ問題の概要が表示されます。このレポートには、スキャンの問題点と、報告された問題点に対する対処法が記載されています。HCL AppScanのレポートは膨大かつ詳細であり、開発者やセキュリティアナリストなど複数の関係者が利用することができる。
-
このタスクは、[Activity Recorder]() を使用して、Webサイトの特定のフロー(新しく導入されたもの、ローカルでホストされているもの、公開サイト)をスキャンできます。この小さなユーティリティを使用すると、Webサイトのトラフィックとアクションを記録し、それらの記録を選択したAppScan Dynamic分析ツール(HCL AppScan Enterprise または HCL AppScan Standard または HCL AppScan On Cloud)にアップロードできます。
-
HCL AppScanプラグインは、ビルドをトリガーする前に、設定の有効化および構成だけでなく、メールアラートもサポートします。
-
HCL AppScanプラグインは、ビルドをトリガーする前に、設定の有効化およびメールアラートの設定をサポートします。
-
スキャン速度と問題範囲のバランスを選択することにより、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づき、深刻度の低い脆弱性や可能性の低い脆弱性については、テストポリシーで定義されたテストを省略できます。
-
テストレポートはJSONフォーマットで提供されます。
-
AppScan Issue Management Gateway サービスを使用して、AppScan EnterpriseからJira、Azure、Rational Team Concertなどの他の課題管理アプリケーションに課題を移行することが可能です。
HCL AppScan Enterpriseのデモはこちらの Jenkins との統合のビデオをご覧ください。
HCL AppScanプラグインを使用してJenkinsパイプラインに直接セキュリティテストを追加することで、より高い信頼性と時間のロスなしにアプリケーションを本番稼動させることができます。HCL AppScanのウェブサイトで詳細をご覧になるか、このリンクからHCL AppScan Enterpriseの30日間無料トライアルを開始し、ご自身でアプリケーション・セキュリティをテストしてください。
HCL AppScan: お客様からの評価です!
2022/11/7 - 読み終える時間: 2 分
The Customers have spoken! の翻訳版です。
HCL AppScan: お客様からの評価です!
2022年11月2日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
HCL Technologies は、2022年 Gartner Peer Insights? アプリケーション・セキュリティ・テストのCustomers' Choiceに認定されました。
HCL Technologies は、Gartner Peer Insightsのアプリケーション・セキュリティ・テスト部門において、2022年のCustomers' Choiceベンダーとして認定されたことを発表します。この認定は、2022年7月31日現在、当社のアプリケーション・セキュリティ・テスト製品である HCL AppScan スイートの約60名の検証済みエンドユーザーからのフィードバックと評価に基づいています。全体として、HCL AppScanのレビュアーは5点満点中4.6点を与え、89%の回答者が当社の製品を推奨すると回答しています。
この評価の詳細については、Gartner Peer Insights をダウンロードしてください。'顧客の声': アプリケーション・セキュリティ・テスト
Gartner Peer Insights Customers' Choice は、検証済みのエンドユーザー専門家によるレビューに基づいて、この市場のベンダーを評価するものです。Customers' Choiceは、レビューの数と総合的なユーザー評価の両方を考慮しています。公正な評価を行うため、ガートナーでは顧客満足度の高いベンダーを認定するための厳格な基準を設けています。
今回の受賞に貢献した、あるお客様のコメントをご紹介します。
HCL AppScanは、アプリケーションを脆弱性に対してスキャンして結果を出し、それらの問題をできるだけ早く修正するために優先順位をつけることで、Webアプリケーション、Webサービス、モバイルバックエンドを確実にするのに役立っています。" - ソフトウェア、シニアテストエンジニア
HCL AppScanのレビューをもっと読むには、こちらをクリックしてください。
この賞の詳細や、当社製品を使用するITプロフェッショナルによって書かれたレビューを読むには、Gartner Peer Insightsの Application Security Testing のページをご覧ください。
レビューをお寄せいただいたお客様、ありがとうございました。お客様のフィードバックは、お客様のニーズに合ったより良い製品の開発に役立ちます。
GARTNERは、PEER INSIGHTSおよびPEER INSIGHTSの登録商標およびサービスマークです。Customers' Choiceバッジは、米国および海外におけるGartner, Inc.および/またはその関連会社の商標およびサービスマークであり、本書では許可を得て使用しています。無断転載を禁じます。Gartner Peer InsightsTMのコンテンツは、個々のエンドユーザーの経験に基づく意見で構成されており、事実の記述として解釈されるべきものではなく、またガートナーやその関連会社の見解を示すものではありません。ガートナーは、本コンテンツに掲載されているいかなるベンダー、製品またはサービスも推奨するものではなく、本コンテンツに関して、商品性または特定目的への適合性を含め、その正確性や完全性について、明示または黙示の保証をするものではありません。
DevOps: STARWEST 2022 の様子をご紹介します!
2022/10/28 - 読み終える時間: 2 分
Here’s what happened at STARWEST 2022! の翻訳版です。
STARWEST 2022 の様子をご紹介します!
2022年10月28日
著者: Ragasudha Mardhaniyogan / Product Marketing Manager, OneTest
HCLは、2022年10月5日と6日に開催されたSTARWEST 2022のカンファレンスにスポンサーとして参加しました! この機会に、私たちは業界をリードする2つの製品、HCL OneTest と HCL AppScan を展示しました。
この展示会では、エンドツーエンドテストの欠如、サイロ化したテストチーム、ローコード/ノーコードの必要性など、テストに関する苦悩を共有する素晴らしい機会を提供することができました。この展示会では、市場のトレンドや、私たちの製品を通じてどのような支援ができるのかについて、洞察を得る機会を提供しました。
HCLは、このイベントで技術プレゼンテーションも行い、従来のDevOpsパイプラインにセキュリティテストを追加することで、テスターがセキュリティ問題をより深く理解できるようになることを説明しました。HCLソフトウェアのセキュリティエバンジェリスト兼ソリューションアーキテクトであるRob Cuddyがこのセッションを主催し、品質プロセスの早い段階でセキュリティを構築し、これにより全体的なサイクルタイムを短縮する方法について説明しました。
HCL OneTest は、UIやAPIの機能テスト、パフォーマンステスト、サービスの仮想化、テストデータ生成などをカバーする、業界をリードするテスト自動化プラットフォームです。HCL OneTestを使えば、より速く自動化し、より早く、より頻繁にテストを実行し、より早くエラーを発見することができます。
HCL AppScan は、企業やその顧客をサイバー脅威から守る、高速かつ正確で、機敏なセキュリティ・テスト・プラットフォームを提供します。DAST、SAST、IAST、SCAを含む包括的なセキュリティテスト機能を提供し、優れたデザインとシンプルな操作性により、DevOpsのユースケースに適したスキャン技術を提供します。
STARWEST 2022に来られなかった方は、2022年11月9日と10日にフロリダ州オーランドで開催されるAgile + DevOps Eastにもスポンサーとして参加しています。カンファレンスパスはこちらで入手できます。その時にお会いできるのを楽しみにしています。
HCL AppScanまたはHCL OneTestのデモをご覧になりたい場合は、このフォームにご記入ください。
アプリケーションセキュリティ技術の強みと弱み
2022/9/26 - 読み終える時間: 2 分
Strengths and Weaknesses in Application Security Technologies の翻訳版です。
アプリケーションセキュリティ技術の強みと弱み
2022年9月26日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
今日の世界では、アプリケーションのセキュリティ テストはもはやオプションではありません。それは必需品です。フォーチュン 500 企業であろうと、スタートアップ企業であろうと、Web アプリケーションに対する脅威に事欠きません。リモートワークやクラウドベースのサービスなどのトレンドの台頭に伴い、潜在的なセキュリティの脆弱性は指数関数的に増加し続けています.
製品が市場に出た後にセキュリティ違反が発生すると、費用、時間、評判の面でコストがかかる可能性があります。そのため、脆弱性を軽減するために高度なアプリケーション セキュリティ テスト ツールを利用する企業が増えています。ただし、各テクノロジには長所と短所があり、特定のビジネス モデルと開発サイクルに異なる方法で適合します。
Dynamic Application Security Testing (DAST) は、スキャン ツールを使用して Web アプリケーションを自動的にクロールし、セキュリティの脆弱性をテストします。主にセキュリティの専門家や侵入テスト担当者が使用する DAST は、実行中のアプリケーションの脆弱性を調査するブラック ボックス ツールです。このアプローチの主な強みは正確さです。 DAST が問題を検出した場合、それが誤検知であることはめったにありません。 DAST スキャンは、脆弱性が修正された後に修正を検証することもできます。
DAST の弱点には、長いスキャン時間と、問題の修正方法に関する詳細がほとんどないことが含まれます (DAST は基になるコードを認識できません)。このタイプのテストには、安定したビルドも必要であり、開発ライフサイクルの早い段階で実装することはできません。
すぐに開始してコードを直接スキャンするには、静的アプリケーション セキュリティ テスト (SAST) ツールが必要です。 SAST はスペル チェッカーのように機能し、開発者がコードを記述しているときに潜在的な脆弱性を見つけます。スキャンは自動的かつ継続的に行われるため、ダウンタイムはなく、コードのあらゆる側面が検査されていることを確信できます。
この完全なカバレッジは、圧倒的な数の調査結果につながる可能性があり、そのうちのいくつかは偽陰性である可能性があります.また、実行中の環境でアプリケーション全体をさらにスキャンしない限り、修正を検証する方法はありません。
Interactive Application Security Testing (IAST) は、独自の長所と短所を持つ 3 番目のテスト オプションです。 IAST ツールは、アプリケーションの実行中にトラフィックを監視します。 DAST とは異なり、それらは受動的です。それらを使用して侵入テストを作成することはできません。ただし、DAST とは異なり、IAST はアプリケーションの実行中に基になるコードを見ることができます。これは、IAST スキャンが正確 (DAST スキャンのように) かつ詳細 (SAST のように) であることを意味します。
開発者、セキュリティ アナリスト、CISO のいずれであっても、自分と自分の会社にとってどのテクノロジが最も有益かを判断するには、これらの各テクノロジのさまざまな長所を理解することが重要です。各テクノロジーには弱点がありますが、3 つのテクノロジーすべてを auto-issue corelation と組み合わせて使用すると、これらの弱点を大幅に減らすことができます。
アプリケーション セキュリティにおけるこの画期的な新開発と、修正する脆弱性に優先順位を付けて修正時間を節約する方法について詳しくは、ここをクリックするか、hcltechsw.com/AppScan にアクセスしてください。
HCL AppScan と Auto Correlation による修正の優先順位付け
2022/9/26 - 読み終える時間: 2 分
Prioritizing the Fix with HCL AppScan and Auto Correlation の翻訳版です。
HCL AppScan と Auto Correlation による修正の優先順位付け
2022年9月26日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
Webアプリケーションは、日々増加するセキュリティの脅威に直面しています。幸い、HCL AppScanのようなアプリケーション・セキュリティ・テスト・プラットフォームは、新しい脆弱性を認識できるように常に進化しています。しかし、DevOpsチームがどんどん速いスピードでコードをリリースしていく中で、問題を修正するのにかかる時間は重要な痛手となり得ます。時には圧倒的なテスト結果に直面する中で、どの問題を修正すべきかの優先順位付けがますます重要になってきています。
HCL AppScanは、AppScan Enterprise と AppScan on Cloudの両方で利用できる IAST ソリューション(Interactive Application Security Testing)を活用した Auto Issue Correlation アルゴリズムにより、このプロセスをより簡単かつ効率的にしています。これらのセキュリティソリューションには、DAST(動的アプリケーションセキュリティテスト)、SAST(静的アプリケーションセキュリティテスト)ツールも含まれており、Auto Issue Correlation はこれらすべてをフルに活用しています。
各テストエンジンにはそれぞれ異なる長所と短所がありますが、Auto Issue Correlationはすべてのデータをまとめて表示することで、長所を引き出します。例えば、DASTは非常に正確な結果を出しますが、SASTやIASTのスキャンのようにコードを見たり、詳細な情報を提供したりすることはできません。しかし、相関関係があれば、SASTとIASTのスキャンを使用して、DASTの結果を確認し、より充実させることができます。
同様に、SAST は圧倒的な数の発見をもたらし、何を優先的に改善すべきかを判断するのが難しくなります。しかし、IAST と DAST のスキャンの精度を SAST の結果と重ね合わせると、明らかに重要な問題のサブセットが生成され、一度に修正することが容易になります。
さらに、SASTによる修正は、DASTやIASTとは異なり、開発者が「箱の中」にいてコードしか見ていないため、検証することができません。これらの追加エンジンからの相関関係によって問題が解決されたことをステータスアップデートの形で確認できれば、ユーザーはSASTに固有の完全なカバレッジと短いスキャン時間に加えて、修正の妥当性を確認することができるようになります。
Auto Issue Correlationは、各IAST、DAST、SASTの問題からデータを抽出し、さまざまなヒューリスティックを使用して相関関係を特定します。これにより、迅速かつ完全に対処できるように問題をグループ化することで、脆弱性と修正タスクの全体数を効果的に削減します。IAST、DAST、SASTの3つのテストエンジンすべてで関連する問題が見つかった場合、その問題は改善するためのリストの最上位に移動します。次に、IASTとDAST、またはIASTとSASTから相関のある問題が見つかります。その後、IASTまたはDASTによって発見された問題が優先されます。そして、これらの修正がすべて完了すると、開発者はSASTのみで見つかった残りの問題に移行することができます。
IAST と Auto Issue Correlation は、セキュリティ問題を修正するための効率的で組織的なアプローチを提供し、開発者とセキュリティチームの両方に、アップデートがどんなに速くても、出荷された製品に大きな信頼を与えることができるのです。
hcltechsw.com/AppScan で詳細をご覧になり、デモを予約してください。
Forresterの最新レポート、HCL AppScan 採用企業はコスト削減と大きな利益実現を紹介
2022/9/21 - 読み終える時間: ~1 分
Latest Forrester Report Shows Cost Savings Equals Big Benefits for Company Using HCL AppScan の翻訳版です。
Forresterの最新レポート、HCL AppScan 採用企業はコスト削減と大きな利益実現を紹介
2022年9月20日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
151%の投資収益率?
これは、ビジネスリーダーなら誰でも真剣に受け止めるべき数字です。
最近の Forrester の Total Economic Impact Report によると、アプリケーションセキュリティテストのすべてのニーズを処理するためにHCL AppScanに切り替えたある企業にとって、このROIは3年間で200万ドル近くに相当します。
HCL AppScanを購入する前、ブラジルの大手金融機関は、サードパーティーベンダーの協力を得て、すべてのセキュリティ脆弱性を手作業でテストしていました。これはリソース集約型のプロセスであり、問題の修正に1アプリケーションあたり120時間(5日)もの時間を要することが判明していました。
HCL AppScanは、一連のセキュリティテスト技術(DAST、SAST、IAST、SCA)、機械学習、および簡単なオンボーディングツールによって、このプロセスを自動化しました。
レポートの主要な調査結果の中には、印象的で定量化された利点がいくつかあります。インタビューに応じた企業は、セキュリティ評価の生産性を大幅に向上させ、レガシーアプリケーションセキュリティソリューションの膨大なコストを回避することを実証しました。
その他の主な調査結果は以下のとおりです。
- アプリケーションポートフォリオのリスク低減
- 欠陥や脆弱性を修正するためのコストの削減
- レポーティングの洞察力が強化された
- セキュリティ脆弱性に対する可視性の向上
- 規制要件に準拠した
セキュリティ・テストのニーズで、このような結果を求めていますか?Forresterのレポートをダウンロードし、ご自身のケースとの比較や、HCL AppScanが提供する高速、正確、かつ機敏なアプリケーションテストソリューションがお客様に適しているかどうかをご確認ください。