2022/8/3 - 読み終える時間: 6 分

HCL AppScan V10.0.8 Release Updates の翻訳版です。

HCL AppScanR Source 10.0.8 の新機能

2022年7月29日

著者: Ryley Robinson / Project Marketing Manager

HCL AppScanは先日、HCL AppScan Source 10.0.8をリリースしました。このブログでは、AppScan V.10.0.8の新リリースを製品群別に紹介します。

HCL AppScanR Source 10.0.8での新機能

AppScan Sourceのコマンドラインインターフェース（CLI）がコンテナ化されたため、アプリケーションとセキュリティのスキャンをより効率的に、より堅牢に行うことができるようになりました。一度インストールして設定すれば、テスト環境をオンデマンドで迅速に作成し、スキャンを同時に実行できます。

AppScan Sourceは、クライアントマシンのライセンス情報の読み込みと更新に使用するライセンスマネージャーユーティリティを提供します。

AppScan SourceのV10.0.8の機能強化は以下の通りです。

• AppScan SourceはTerraformをサポートしています。
• 以下のレポートをサポートします。
  • OWASP Top 10 API Security 2019 レポート
  • CWE 2021 Top 25 レポート
• 以下のレポートフィルターをサポートします
  • OWASP Top 10 API Security 2019 レポートフィルター
  • CWE 2021 Top 25 レポートフィルター
  • OWASP Top 10 2017 および 2021 レポートフィルター
• 新しい製品ロゴを使用するためにアイコンとスプラッシュ画面を更新しました。

AppScan Source バージョン10.0.8におけるAPARの修正点

• セキュリティプロファイルレポートは、複数プロジェクトの評価で最初のプロジェクトからのメトリックだけを使用する、CQPAR00237855
• DFAスキャンでAppScan Source for Analysisが一時フォルダーに.dmpファイルを作成する、 KB0096327
• AppScan delta.sh は、Linux でスペースが含まれている場合、ファイルシステム パスを認識しない、 KB0097634
• Visual Studio がマシンにインストールされていない場合、Net Assembly プロジェクトが失敗する KB0097692

削除された機能

• OWASP Top 10 2013 レポート

HCL AppScan Standard 10.0.8での新機能

インポートしたPostman Collectionファイルを使用した自動APIスキャン。HCL AppScanはコレクションを使用して独自のExploreステージを実行し、結果のデータをDashboardおよびDataビューに表示します。AppScanは自動的にTestステージに進み、スキャンを完了させるか、またはTestステージを後で開始するかを選択できます。

AppScan StandardのV10.0.8の機能強化は以下の通りです。

• 新規 OWASP API Security Top 10 2019 業界標準レポート。
• 自動アップデート機能の改善。
• セキュリティアップデート。
  • attSpringRemoteCommandExecution - Spring Frameworkでのリモートコマンド実行（CVE-2022-22965）。
  • probeSpring - Probe Spring RCE (CVE-2022-22965)。

AppScan Standard version 10.0.8におけるAPARの修正事項

このFix Packに含まれる解決されたAPARとセキュリティアップデートは、こちらで一覧

HCL AppScan Enterprise 10.0.8での新機能

AppScan EnterpriseのV10.0.8の機能強化は以下の通りです。

• Postman Collectionを使用した自動APIスキャン。Postman Collectionを使ったスキャン方法を参照してください。
• 新しいOWASP API Security Top 10 2019 Industry Standard Report。
• Severity値やCVSS属性の変更を制限するためのきめ細かいアクセスコントロール。
• AppScan Enterpriseの設定と実行には、db_owner権限は必須ではありません。最低限必要なddladmin、datawriter、datareaderの権限のみです。
• 管理コンソールのアクティビティログは、技術プレビューコードとして利用可能です。
• Microsoft Edge ブラウザに対応しました。

AppScan Enterprise version 10.0.8における修正とセキュリティアップデート。

このリリースでは、新しいセキュリティルールが含まれています。

• attSpringRemoteCommandExecution - Spring Frameworkでのリモートコマンド実行（CVE-2022-22965）。
• probeSpring - Spring RCE を調査する (CVE-2022-22965)

その他の修正

• SQL Server DatabaseのSimple Recovery Modeを無効にするオプションが設定ウィザードで提供されました。
• AppScan Enterpriseが低バージョンのTLSを使用する場合がある。すべての内部通信にTLS 1.2（システムで有効な場合）を使用するように修正が適用されました。

このリリースにおける修正、更新、およびRFEの完全なリストはこちらにあります。

このリリースで削除されたもの

• Internet Explorer (IE) ブラウザー v8.0 と v9.0 のサポート。

今後の変更点

次の項目は、将来のリリースで削除される予定です。

• Web Services、The Vital Few、Developer Essentials のテストポリシーは、他のポリシーを使用して同様の結果を得ることができるため、削除される予定です。詳細は、「定義済みテスト ポリシー」を参照してください。
• Internet Explorer (IE) ブラウザの v10.0 および v11.0 のサポートは削除される予定です。
• CVSS 2.0 のスコアリングが削除され、CVSS 3.1 に置き換えられます。
• 課題のCVSS評価を編集できます。
• モバイルアナライザーレポートからの課題のインポート

詳細については、カスタマーサポートページをご覧ください。今すぐ始めたいけど、何から始めたらいいかわからない場合は HCL AppScanチームからご連絡させていただきます。こちらに記入してください。

• また、次回のウェビナーにもご招待いたします。8月2日には、HCL AppScanの一部となったAutomatic Issue Correlationをご覧いただけます。各アプローチの長所を伸ばし、短所を減らす方法、自動相関が各ASTアプローチをどのように強化するか、そして優先順位付けプロセスを改善する方法について学びます。今すぐ登録を。

2022/6/7 - 読み終える時間: 3 分

Guide To Reliable Application Security Testing Software の翻訳版です。

HCL AppScan: 信頼性の高いアプリケーションセキュリティテストソフトウェアへのガイド

2022年6月6日

著者: Unnati Ghosh / Senior Associate

迅速、正確、かつ機敏なアプリケーション・セキュリティ・テストのための安全なソリューションをお探しですか？システムの脆弱性を迅速に検出する、市場をリードする信頼性の高いWebアプリケーション・セキュリティ・テストの仕組みはいかがでしょうか。アプリケーション開発者が開発サイクルの各段階で不具合を修正できるよう支援するこのプログラムは、お客様のビジネスと顧客を包括的に保護するクラス最高の動的ツールを提供するよう設計されています。

洗練された技術と最先端のツールは、開発者が脆弱性を制限したコードを書くことを可能にします。また、アプリケーション開発チームは、リソースを効率的に活用し、コラボレーションを強化し、高度な技術を活用して安全なソリューションを開発できます。

また、複数の脅威から組織を保護し、セキュリティチームによる脆弱性の可視性を向上させることができます。さらに、開発チームは、同じ助けを借りて、実用的な発見に基づいて行動できます。

2022/5月/24 - 読み終える時間: ~1 分

2022年6月1日 (水) から3日 (金) に開催されます『第3回 Japan IT Week オンライン ソフトウェア&アプリ開発展』に、HCL ブースを出展し、HCL Secure DevOps 製品群をご紹介いたします。また、1日目 (6月1日 (水)) 16:00よりセミナーを実施いたします。

セミナーの参加登録、オンライン相談のスケジュール依頼は、すでに開始しております。まずは参加登録をいただき、HCL ブースをご覧ください。

ブース

リアルのイベントを模した作りになっており、お気軽にお立ち寄り、質問などのやりとりができます。

• 製品のご紹介 (資料ダウンロード、動画、他)
• チャットでのご質問への対応
• オンライン相談 (時間予約制、後日別途も承ります)

セミナー

『次なるステージへ!! HCLが考える次世代DevOps - Next Generation DevOps -』

• 日程: 6月1日(水) 16:00 - 16:30
• 会場: オンライン形式
• 費用: 無料(事前登録制)
• お申し込み -> Japan IT Week オンライン - HCL ブース

Japan IT Week オンライン - HCL ブース

2022/5月/24 - 読み終える時間: 2 分

New Vulnerability in Spring Framework Detected の翻訳版です。

Spring Framework における脆弱性を検出

HCL AppScanチームにより、Spring FrameworkのSpringShellと呼ばれる脆弱性が最近発見されました。

SpringShellは、CVE IDがCVE-2022-22965であり、悪用に成功するとリモートコード実行（RCE）となり、Webサーバーが危険にさらされ、攻撃者の制御下に置かれることになります。Spring Frameworkバージョン5.3.17/5.2.19以下に影響します（バージョン5.3.18/5.2.20でパッチが適用されました）。

AppScanのユーザーは、AppScanのSCAサービス、およびAppScanのDASTエンジンの最新バージョンの両方を通じて、この脆弱性を検出できます。

2022/5月/2 - 読み終える時間: 4 分

Latest Version of AppScan Standard Now Available の翻訳版です。

HCL AppScan Standard の最新バージョン 10.0.7 をリリースしました

2022年4月28日

著者: Asaf Yogev / Experienced UX Leader, Researcher, and Designer, HCL Software

訳者注: HCL AppScan 各エディションの 10.0.7 は 2022年3月21日にリリースされました</>

AppScan standard は、過去20年にわたり市場をリードするDASTソリューションとして、長年にわたり機能を進化させてきました。

過去2年間、私たちのチームは、HCL AppScan standardを再構築し、全く新しいユーザー体験を提供するために、同じ優れたDASTスキャンエンジンを使って、ダークモードを含む全く新しい外観から始まり、改善されたワークフロー、より良いガイダンス、より容易な自己トラブルシューティングを実現するために、たゆまない努力を行ってきました。

2021年11月に技術プレビューを公開した後、多くの素晴らしいフィードバックをいただき、引き続き製品に耳を傾け、改善していきたいと考えています。ここでは、新しいAppScan Standardで見られるようになるものの一部をご紹介します。

2022/4/27 - 読み終える時間: ~1 分

以下のニュースをリリースしました。

2022年4月21日: HCL Software、2022 Gartner Magic Quadrant for Application Security Testing 部門に選出される - ビジョンの完成度と実行力が評価される -

2022/4/26 - 読み終える時間: ~1 分

HCL Software recognized by Gartner as a Leader in the April 2022 Magic Quadrant for Application Security Testing の翻訳版です。

HCL Software、Gartner社から2022年4月のアプリケーション・セキュリティ・テストのマジック・クアドラントのリーダーとして認定される

2022年4月25日

著者: Nabeel Jaitapker / Product Marketing Lead, HCL Software

HCL AppScanは、Gartner社のアプリケーション・セキュリティ・テストのマジック・クアドラントにおいて、2年連続でリーダーに位置づけられました。

AppScanがGartner社のマジック・クアドラントでリーダーとして位置づけられたことは、HCL SoftwareがHCL AppScanにもたらす投資、イノベーション、リーダーシップについて、顧客やビジネスパートナーが自信を持つべきことをさらに立証しています。

Gartner社のアナリストであるMark Horvath氏とDale Gardner氏は、そのレポートの中で、「HCL AppScan は 高速で機敏、より正確なスキャンを提供し、テストとコンプライアンスのレポート機能を拡張してユーザーに提供する」と書いています。

有機的に連携する HCL Software の DevOps 製品、およびセキュリティテスト機能のカバー範囲の広さへの注力とともに、同社は世界クラスの継続的テストポートフォリオを顧客に提供しているのです。

HCL AppScan は、企業とその顧客をサイバー脅威から守る、高速、正確、かつ機敏なセキュリティ・テスト・プラットフォームを提供します。DAST、SAST、IAST、SCA を含む包括的なセキュリティテスト機能を提供し、優れた設計とシンプルな操作性により DevOps のユースケースに適したスキャン技術を提供します。

自己相関的な発見、的を絞ったガイダンス、開発者支援サービスにより、全体的な修復時間を短縮することで開発者が修正に集中できるようにするとともに、組織が制御、可視化、およびガバナンスを備えた大規模なセキュリティプログラムを管理できるようにします。

レポートをダウンロードする

2022/4/26 - 読み終える時間: ~1 分

IDC Ranks HCL AppScan Among Leaders for Worldwide Application Security Quality/Testing の翻訳版です。

IDC が HCL AppScan を世界のアプリケーションセキュリティ品質/テストのリーダーとしてランク付け

2022年4月25日

著者: Nabeel Jaitapker / Product Marketing Lead, HCL Software

HCL AppScan が IDC Marketscape レポートにおいて、世界のアプリケーションテスト、セキュリティ、および品質に関するリーダーとしてランク付けされました。

アプリケーションの攻撃対象がかつてないほど脆弱になり、ほとんどの企業で品質とセキュリティが最重要視されている現在、HCL AppScan は市場でその存在感を示しています。

IDC のアプリケーションライフサイクル管理、品質、およびポートフォリオ戦略サービスのリサーチディレクターである Melinda Ballou 氏は、次のように述べています。

• 「ソフトウェアは競争上の優位性と革新を促進し、品質とセキュリティは、展開速度の増加、開発期間の短縮、およびアプリケーション攻撃面が主要なリスク領域（脆弱なコードを容易に見つけることができるためより脆弱になっている）においてビジネスに不可欠な緊急課題です」

• 「HCL Software は、顧客に品質とセキュリティテストの幅広い範囲を提供し、製品を到達可能かつ消費可能なものにすることで、その能力を実証しました」

IDC のあるレポートによると、HCL Software の顧客は、同社が提供する強力な製品サポートを強調し、経験や提案に関する製品管理との一貫したミーティングが製品のロードマップに影響を与えたことを示唆しています。

顧客はまた、HCL Software の製品を採用した後の大きな影響についても IDC に報告しています。あるお客様は、1,400 以上のアプリケーションの 50%以上が自動的にスキャンされるようになったことで、DAST（動的アプリケーション・セキュリティ・テスト）にかかる時間が数日から 1時間に短縮されたことを挙げています。

IDC Marketscape レポートのダウンロード