2022/4/26 - 読み終える時間: ~1 分

HCL Software recognized by Gartner as a Leader in the April 2022 Magic Quadrant for Application Security Testing の翻訳版です。

HCL Software、Gartner社から2022年4月のアプリケーション・セキュリティ・テストのマジック・クアドラントのリーダーとして認定される

2022年4月25日

著者: Nabeel Jaitapker / Product Marketing Lead, HCL Software

HCL AppScanは、Gartner社のアプリケーション・セキュリティ・テストのマジック・クアドラントにおいて、2年連続でリーダーに位置づけられました。

AppScanがGartner社のマジック・クアドラントでリーダーとして位置づけられたことは、HCL SoftwareがHCL AppScanにもたらす投資、イノベーション、リーダーシップについて、顧客やビジネスパートナーが自信を持つべきことをさらに立証しています。

Gartner社のアナリストであるMark Horvath氏とDale Gardner氏は、そのレポートの中で、「HCL AppScan は 高速で機敏、より正確なスキャンを提供し、テストとコンプライアンスのレポート機能を拡張してユーザーに提供する」と書いています。

有機的に連携する HCL Software の DevOps 製品、およびセキュリティテスト機能のカバー範囲の広さへの注力とともに、同社は世界クラスの継続的テストポートフォリオを顧客に提供しているのです。

HCL AppScan は、企業とその顧客をサイバー脅威から守る、高速、正確、かつ機敏なセキュリティ・テスト・プラットフォームを提供します。DAST、SAST、IAST、SCA を含む包括的なセキュリティテスト機能を提供し、優れた設計とシンプルな操作性により DevOps のユースケースに適したスキャン技術を提供します。

自己相関的な発見、的を絞ったガイダンス、開発者支援サービスにより、全体的な修復時間を短縮することで開発者が修正に集中できるようにするとともに、組織が制御、可視化、およびガバナンスを備えた大規模なセキュリティプログラムを管理できるようにします。

レポートをダウンロードする

2022/4/26 - 読み終える時間: ~1 分

IDC Ranks HCL AppScan Among Leaders for Worldwide Application Security Quality/Testing の翻訳版です。

IDC が HCL AppScan を世界のアプリケーションセキュリティ品質/テストのリーダーとしてランク付け

2022年4月25日

著者: Nabeel Jaitapker / Product Marketing Lead, HCL Software

HCL AppScan が IDC Marketscape レポートにおいて、世界のアプリケーションテスト、セキュリティ、および品質に関するリーダーとしてランク付けされました。

アプリケーションの攻撃対象がかつてないほど脆弱になり、ほとんどの企業で品質とセキュリティが最重要視されている現在、HCL AppScan は市場でその存在感を示しています。

IDC のアプリケーションライフサイクル管理、品質、およびポートフォリオ戦略サービスのリサーチディレクターである Melinda Ballou 氏は、次のように述べています。

• 「ソフトウェアは競争上の優位性と革新を促進し、品質とセキュリティは、展開速度の増加、開発期間の短縮、およびアプリケーション攻撃面が主要なリスク領域（脆弱なコードを容易に見つけることができるためより脆弱になっている）においてビジネスに不可欠な緊急課題です」

• 「HCL Software は、顧客に品質とセキュリティテストの幅広い範囲を提供し、製品を到達可能かつ消費可能なものにすることで、その能力を実証しました」

IDC のあるレポートによると、HCL Software の顧客は、同社が提供する強力な製品サポートを強調し、経験や提案に関する製品管理との一貫したミーティングが製品のロードマップに影響を与えたことを示唆しています。

顧客はまた、HCL Software の製品を採用した後の大きな影響についても IDC に報告しています。あるお客様は、1,400 以上のアプリケーションの 50%以上が自動的にスキャンされるようになったことで、DAST（動的アプリケーション・セキュリティ・テスト）にかかる時間が数日から 1時間に短縮されたことを挙げています。

IDC Marketscape レポートのダウンロード

2022/4/25 - 読み終える時間: 2 分

HCL named a Leader in the 2022 IDC MarketScape for Worldwide Enterprise Automated Software Quality and Continuous Testing for Digital Execution の翻訳版です。

HCL OneTest: 2022年 IDC MarketScape for Worldwide Enterprise Automated Software Quality and Continuous Testing for Digital Execution においてリーダーに選出される

2022年4月22日

著者: Ragasudha Mardhaniyogan / Product Marketing Manager, OneTest

HCL は、IDC MarketScape for Worldwide Enterprise Automated Software Quality and Continuous Testing for Digital Execution 2022 Vendor Assessment (Doc #US47097621, March 2022) で Leader に位置づけられたことを発表します！これは、HCL Software にとって大きな評価です。HCL Software は、HCL Technologies（HCL）の一部門であり、主要なソフトウェア事業を展開しています。IDC のリサーチの一環として評価された製品には、HCL OneTest Studio と HCL OneTest Embedded、そして HCL AppScan、HCL Launch、HCL Accelerate が含まれます。

このレポートでは、24 のベンダーが評価され、複数の基準と 2 つの軸（現在の能力、つまりベンダーがどれだけ顧客のニーズに合致しているか、将来の戦略、つまりベンダーの将来の戦略がどれだけ 3-5 年後に顧客が必要とするものと合致しているか）で位置づけられました。HCLのリーダーとしての地位は、これらの製品を推進し、DevOps市場空間のニーズを満たすという我々のコミットメントをしっかりと反映しています。

IDC MarketScapeレポートは、ASQ市場における購入の意思決定のガイダンスを提供しています。HCL がなぜリーダーに選ばれたのか、レポートの抜粋をお読みください。また、レポートをお読みになった後は、当社のソリューションがどのようにお役に立てるかのご相談があればお問い合わせください。

この図について: IDC MarketScape のベンダー分析モデルは、特定市場における ICT サプライヤーの競争力強化の概要を提供するために設計されています。調査方法は、定性的および定量的な基準に基づいた厳密なスコアリング方法を採用しており、その結果、所定の市場内における各ベンダーのポジションを一枚の図に示すことができます。Capabilities スコアは、ベンダーの製品、Go-to-Market、短期的なビジネス遂行能力を測定するものです。戦略スコアは、3-5 年の時間枠で、ベンダーの戦略と顧客要求の整合性を測定するものです。ベンダーの市場シェアは、アイコンの大きさで示されています。

IDC MarketScape では、ソフトウェア開発におけるスキル不足に言及し、このギャップを埋める潜在的な手段の1つとして、堅牢なテスト機能を組み込んだローコードおよびノーコードソリューションの利点を強調しています。特に、ビジネスの専門知識を持ち、コーディングの経験がほとんどないにもかかわらず、消費するためのアプリケーションを構築する「市民開発者」の出現は、このことを物語っています。

HCL OneTest は、ノーコードのテスト開発を提供することで、この課題に対する解決策を提供できると考えています。

調査中、IDC は、顧客が高品質のソフトウェア開発を推進する上で、継続的なテスト、アジャイルプラクティス、および継続的な統合の必要性を繰り返し強調するのを目の当たりにしました。これらのニーズは、エンドツーエンドのDevOpsおよびソフトウェア品質ソリューションに関する評価基準を後押しするものでした。

ここでは、IDC MarketScape が HCL について述べたすべての良い点を紹介することはできません。

要約すると、もしあなたがセキュアな DevOps プラットフォームでこれらの機能のいずれかを探しているのであれば、ぜひご連絡をください。

• DevOpsのライフサイクル全般を網羅する、緊密に統合された幅広いポートフォリオ
• ローコード/ノーコード機能による容易な利用
• 使いやすいオープンソース統合を備えたオープンアーキテクチャ
• HCL 独自の HCL Now を含む、選択したクラウドでホスト可能なクラウド・ネイティブ・ソリューション

進化し続ける DevOps の世界において、IDC MarketScape はレポート作成時点におけるHCLの能力を評価したものです。しかし、私たちはこの評価に甘んじることなく、お客様や市場の拡大し続ける要求に応えるべく、ソリューションの構築を続けています。このレポート以降、私たちがどのような製品を提供してきたかについては、デモを予約していただくか、お気軽にお問い合わせください。

レポートの抜粋をダウンロードするには、ここ をクリックしてください。

2022/4/19 - 読み終える時間: ~1 分

アプリケーションを静的 (ソース)、動的 (アプリ動作) の両面から解析して脆弱性を検出する HCL AppScan の概要について 4 分にまとめた動画を公開しました。

• HCL AppScan 製品ページ
• HCL AppScan メディアリソース

2022/4/6 - 読み終える時間: 2 分

SpringShell Vulnerability Detected の翻訳版です。

SpringShell の脆弱性の検出

2022年4月4日

著者: Rob Cuddy / Global Application Security Evangelist

先週、新たに2件のSpring Frameworkの脆弱性が表面化し、いずれもクリティカルとされています。 最初のものは、Spring Cloud Functionにおける未認証のリモートコード実行（RCE）の問題で、CVE-2022-22963 という識別名で脆弱性としてリストアップされています。もう1つは、同じく未認証のRCE問題ですが、こちらはSpring Frameworkのコアにあり、識別子は CVE-2022-22965 です。3月31日現在、両方の問題に対してパッチが提供されています。

Spring4Shell または SpringShell としても知られている CVE-2022-22965

根本的な原因解析の結果、Spring Frameworkの関数がパラメータバインディング時にクラスオブジェクトを公開することが原因であると判明しました。このパラメータバインディングにより、HTTPリクエストのパラメータをアプリケーションレベルのオブジェクトにバインドできます。

クラスオブジェクトが公開されると、HTTPリクエストにURLパラメータを追加するだけで、クラスオブジェクトを操作できるようになり、リモートでコードを実行される可能性があります。Proof of Conceptでは、ログパスを変更することでTomcatサーバー上にWebシェルをドロップし、Webシェルの内容をJSPファイルに書き込めます。攻撃者は、その後、サーバー上で実行される任意のコマンドを発行できます。 Proof-of-concept Exploitが公開されて以来、活発な悪用が確認されています。 CVE-2022-22965 の深刻度は「Critical」であり、Spring Framework を使用する開発者は最優先で 5.3.18 または 5.2.20 にアップグレードする必要があります。 もし、自分のアプリケーションが危険かどうかわからない場合、アプリケーションが脆弱かどうかを特定する最も早い方法は、ソフトウェア構成分析技術（SCA）を利用することです。

SCAは、アプリケーションに脆弱なバージョンのSpring Frameworkが含まれているかどうか、また、その他の公に知られている脆弱性が含まれているかどうかを判断します。

この種のスキャンを行うツールが必要な場合、HCL AppScan on Cloud が利用可能で、これらの脆弱性やその他の脆弱性を特定する機能を備えています。

次の図は、spring-coreのjarファイルで見つかったCVE-2022-22965をハイライトしたものです。

次の図は、具体的な脆弱性の指摘を含むオープンソースレポートの一部です。

OSAのライセンスをお持ちのお客様は、オープンソースおよびサードパーティーライブラリーのスキャンを選択できます。 現在AppScan on Cloudをご利用でないお客様は、これらのSCA機能を30日間の無料トライアルで利用できます。

2022/3/31 - 読み終える時間: 3 分

Bytecode/Compiled vs Source Code Scanning の翻訳版です。

HCL AppScan: バイトコード/コンパイルとソースコードスキャニングの比較

2022年3月30日

著者: Florin Coada / HCL AppScan Product Management Team

AppScanのここ数回のリリースで、静的解析機能においてJava、.Net、C/C++のソースコードスキャニングのサポートを発表したことにお気づきでしょうか。この2つのアプローチには大きな違いがあり、それぞれ異なるユースケースに最適なものとなっています。

バイトコード/コンパイル済みコードとソースコード。

これまでAppScanは、Java、.Net、C/C++のデータフロー解析を行ってきました。この分析により、アプリケーションを通過するデータフローのマップが生成されます。エンジンは、Javaバイトコード、.NET MSILを読み込み、C/C++でのコンパイルをエミュレートすることによって、このマップを構築します。次に、マップを解析して、コードの制御不能な入口（ソース）と出口（シンク）を見つけます。解析の結果、シンクへの経路が存在するソースが見つかり、データを浄化するルーチンが見つからなければ、その発見が行われる。

精度

バイトコード/コンパイルスキャン

このようなバイトコード/コンパイルスキャンアプローチの主な利点は、著しく高い精度の結果を得られることです。発見された内容は、ソースコード自体の中にある実際のデータフローを表しています。不正確な経路とは、ファイアウォールがリモートアクセスをブロックしているなど、他の緩和要因により、コードベース内の悪用可能な攻撃ベクトルを表していない経路や、多段攻撃の中間段階を表している経路が一般的です。さらにバイトコード解析は、より正確なソースからシンクへのルックアップを実現するため、非常に正確なクラス識別を提供します。

例えば、ユーザーの入力を取得し、そのデータをSQLデータベースのクエリに送信するアプリケーションを考えてみましょう。これは、ハッカーがSQLインジェクション攻撃に使用できるフローであり、攻撃対象であるWebが非常に悪用されやすいことがわかります。バイトコード/コンパイルスキャナは、この例のように、ユーザー入力をSQLクエリで安全に使用できるようにする既知のサニタイザやバリデーターを探せます。サニタイザーがない場合、この例では、開発者が修正する必要のある非常に現実的な問題を示す発見が生成されます。発見内容は、修正グループにまとめられ、最適な修正箇所が示されることもある。これは、コード内のこの場所に修正を実装することで、複数の問題を一度に解決できることを意味する。

ソースコードスキャン

ソースコードスキャン側では、やっていることが少し違います。データフロー解析は行いませんし、データがアプリケーション全体をどのように通過しているかを見ようとすることもありません。データフローを実行するのは、非常に計算コストがかかります。その代わりに、ソースコードやソースコードの断片を直接見て、そのコードが既知の危険なパターンを使っているかどうかを理解しようとします。上の例では、特定のSQLステートメントを含む文字列変数を見て、SQLクエリにデータを変数で連結していないかどうかを確認します。ユーザー入力を連結したSQLクエリの生成は常に避けた方がよいでしょう。これはSQLインジェクションのレシピです。ソースコードスキャナーは、これを脆弱性として強調します。この例における2つのアプローチの主な違いは、データフローエンジンが、連結された変数がソースから来たものか、あるいはユーザーが提供したデータである可能性があるかを判断し、そうでなければ発見を行わないということです。ソースコードスキャンでは、そのような能力はありません。発見された場合、開発者は、連結された変数が潜在的に危険なソースからのものであるかどうかをソースコードを通して確認する必要があります。ソースに対するチェックがないため、ノイズとなる発見が増える可能性がありますが、ソースコードスキャナーにも多くのチェックがあり、既知のサニタイザーが使用されていれば、発見を取り除けます。ノイズの発見があったとしても、多くの場合、危険な慣行や脆弱性が示されるため、パラメータ化されたクエリなど、別のアプローチが必要になる可能性があります。

このアプローチの利点は、ここから得られるすべての発見が、非常にAPIやパターンに特化したものになることです。を説明するために、より的を絞った情報を提示することができることです。

このアプローチの利点は、ここから得られるすべての知見が、非常にAPIやパターンに特化したものになることです。その結果、問題を説明し、より安全な代替アプローチを推奨するための、より的を射た情報を提示できます。これは、セキュリティ欠陥を処理しようとする開発者に、即座に消費可能な価値を提供します。

フィルタリング結果

バイトコード/コンパイルスキャン

このスキャンタイプはより正確ですが、誤検出の数をさらに減らすために、追加のルールを作成できます。すべての静的解析ツールは、標準的なフレームワークについては知っていますが、自社で構築した独自のフレームワークについては知らないはずです。そのため、独自のフレームワークを扱う場合、データのソースが何であるかは分からない。あるいは、潜在的なシンクについて知らないかもしれない。ソースとシンクに関する知識がないため、偽陰性が生まれるのです。これらはスキャナーでは検出できない本当の脆弱性です。データフローについては、これらを検出する自動化された方法がありますが、手動でルールを作成することで、非常に正確で脆弱性の検出率を向上させるられます。同時に、独自のサニタイザーやバリデーターを定義することで、スキャンの精度を向上させられます。

さらに、取得した結果にはDataFlowが含まれ、アプリケーションの様々な部分がデータに触れていることが分かります。結果を調査し、サニタイザーやバリデーターを特定したら、この特定のパスは攻撃に対して脆弱ではない、と言うことができるのです。結果を見ると、ソースからシンクまでたどったデータとそのステップを分析できるため、高度なフィルターを作成できます。このトレースのプロパティに基づいて、特定の問題を隠したり、削除したりすることができるのです。また、異なるソース、シンク、APIによって物事をグループ化することも可能です。ひいては、アプリケーションが特定の攻撃に対して脆弱であるかどうかを迅速に分析する方法を提供します。

ソースコードスキャン

ソースコードスキャンの否定的な点、あるいは好ましくない点の1つは、フィルタリングが比較的基本的なものであることだ。トレースに関することはできませんし、アプリケーションのどの部分がコードをサニタイズしているかを理解するのに役立つような高度なフィルタリングを行うこともできません。そのようなフィルタを作成するために必要なデータを持っていないのです。深刻度、異なる脆弱性タイプ、ファイルなどの項目でフィルタリングできます。また、カスタムルールのオプションもありません。自社開発のフレームワークを使用している場合、そのフレームワークに対するセキュリティの判断は行いません。しかし、あなたのコードで危険な使われ方をしている一般的なフレームワークについては、お伝えできます。

このようにソースからシンクまでのデータ分析を行うオプションがなければ、このような技術は誤検出を起こしやすくなります。例えば、SQL文の中で何かが連結されているのを見たら、SQLインジェクションの可能性があるとして警告を出します。しかし、この何かのデータがどこから来たのか分からないため、危険ではないことを伝えている可能性があります。

使用例

バイトコード/コンパイルスキャン

ソースコードスキャンと比較すると、動作が遅くなるというマイナス面もあります。この種の解析は、多くの計算能力を必要とします。また、コードを効率的に解析できるように、コードがバイトコード形式かコンパイル可能な状態であることが必要です。

ソースコードスキャンよりも時間がかかるので、大規模なアプリケーションの夜間スキャンや手動コードレビューに適しています。この技術は、サイズが小さい最新のマイクロサービスベースのアプリケーションのDevOpsパイプラインの一部として使用できます。

また、DataFlowは、できるだけ多くの脆弱性を早期に正確に発見するために、重要なアプリケーションに推奨されています。

以下のような用途に向いています。

• 大規模プロジェクトでの一晩のスキャン
• マイクロサービス向け自動化パイプライン
• 手動コードレビュー

ソースコードスキャン

ここまで列挙した内容からすると、バイトコード/コンパイルスキャンに軍配が上がりそうな気がしますが、そうではありません。ソースコード・スキャンは、特定のユースケースにおいて非常に強力な効果を発揮することができる。ソースコードスキャンを使うのに最適な場所は、リリースサイクルが非常に速いアプリケーションです。非常に速いリリースを行っていて、素早くスキャンして情報を得たい場合は、ソースコード・スキャンの方が良い選択肢となります。コードのスニペットや最近触ったファイルまでスキャンしてくれるんだ。バイトコードやコンパイル済みのスキャンよりもはるかに速く、検出した内容をすべて教えてくれる。あまり重要でないアプリケーションに使用するとよいでしょう。設定せずにクイックスキャンを実行し、重要な問題を見て、仕事を続けられます。

また、バイトコードがなければ、アプリケーションをコンパイルすることができませんが、これも良いシナリオの一つです。世の中にはたくさんのフレームワークがあり、コードを構築する方法もさまざまです。私たちは最も一般的なものをサポートしていますが、特定のフレームワークをスキャンできないエッジケースは常に存在します。ソースコードスキャンを使えば、コードを読み込むだけで、データフロー解析に必要なグラフの作成を気にすることなく、取り組むことができるようになります。

このような場合に有効です。

• リリースサイクルが非常に速いアプリケーション
• アプリケーションの迅速なチェック
• コンパイルできないアプリケーションやバイトコードがない場合など

共通点

両者に共通するのは、同じ種類の脆弱性を発見することです。問題の数、場所、全体的な情報などは異なるかもしれませんが、どちらのスキャナーも同じ種類の問題を特定し、多くの場合、まったく同じ問題を特定します。注意すべき点は、両者が同じものを見つけるとはいえ、同じものを見つけるということです。結果は同じではありません。データフローでSQLインジェクションを発見し、ソースコードスキャナーで同じSQLインジェクションを発見した場合、ツールによって異なる所見として扱われることになります。一度、一つのスキャナー・タイプで始めたら、同じものを使い続けることをお勧めします。

同じ一般的な修正アドバイザーを利用することができるようになります。具体的な問題への取り組み方、潜在的な影響、適用すべき改善策を読むことができます。両方のスキャナーの結果から、これらの情報を得られます。ソースコードは、ほとんどの場合、特定の API をどのように扱うかについて直接的な情報を与えてくれる。

2022/3/9 - 読み終える時間: ~1 分

ビジネス向けソフトウェア・クラウドサービスのレビューサイト ITreview にて、HCL Software の4つの製品のレビュー投稿キャンペーンを実施しています。最大1,500円分の Amazon ギフト券をプレゼント(先着順) です。

HCL BigFix、HCL Unica、HCL AppScan、Notes/Domino をお使いのお客様が対象となります。奮ってご参加ください。

2022/3/2 - 読み終える時間: 5 分

Achieve DevSecOps in Microsoft Azure DevOps Using HCL AppScan Enterprise の翻訳版です。

HCL AppScan Enterprise を使用した Microsoft Azure DevOps における DevSecOps の実現

2022年2月28日

著者: Parimal Sureshagarkhed / Lead Software Engineering

すべてのWebアプリケーションプロジェクトは、クライアントサーバーアーキテクチャを採用しており、コラボレーションを容易にするために、コードはオンラインリポジトリにプッシュされています。この方法は、アプリとサーバーの継続的インテグレーションとデリバリー（CI/CD）を可能にするためにも重宝されています。Azure DevOpsは、アプリケーションの構築からデプロイ、CI/CDパイプラインの管理までの完全なパッケージを提供する、そのようなプラットフォームの1つです。新しくデプロイされたアプリケーションの安全性はどうなのか、セキュリティテストをCI/CDパイプラインに統合する方法はないのか、考えたことはありますか？その答えは「Yes」です。HCL AppScanエクステンションを使用して、これを実現する方法を探ってみましょう。

インストールと設定

この拡張機能は、Azure DevOps marketplace から自由にダウンロードできます。

拡張機能をインストールしたら、AppScan Enterprise（ASE）のクレデンシャルを KeyID で設定し、Azure DevOpsのService Connectionを使用して設定する必要があります。

ASEサーバーのURL（URLの形式は、https://<ホスト名>:<ポート>/aseのようなものです）を入力し、キーとシークレットを提供します。ASEのkeyIdとSecretを生成するには、このリンクの内容に従ってください。

パイプラインの設定

新しいパイプラインを作成し、以下のようにHCL AppScan Enterpriseという種類のタスクを追加します。

パイプラインに追加されたタスクの関連する詳細を入力します。ASE REST API を使用して、フォルダー ID、テンプレートID、テストポリシーID、アプリケーションIDを取得できます。開始URL」フィールドは、セキュリティスキャンされるアプリケーションのURLです。以下にそのサンプルを示します。

YAML スクリプトの使用

スキャンの設定には、以下のようなyamlスクリプトを使用できます。

以下に例を示します。

ステップ

-task:HCLTechnologies.ApplicationSecurity-VSTS.custom-ase-task.HCLAppScan Enterprise@2

displayName: ‘Run HCL AppScan Enterprise Security Test’

inputs:

ServiceEndPointAse: ‘ASE_227’

jobName: ‘MyFirst_Azure_Scan’

folderId: 4

templateId: 7

testPolicyId: 8

startingURL: ‘https://demo.testfire.net’

loginMethod: None

optimization: Fastest

suspend: false

yamlスクリプトがデプロイメントに使用されている場合、上記のステップを追加できます。そうでない場合は、前の図にあるようなタスクを追加できます。

これで、HCL AppScanエクステンションは、あなたのプロジェクトのCI/CDパイプラインに組み込む準備ができました。

主な機能

• 新しくデプロイされたWebサイトや、ローカルでホストされているサイト、公開サイトをスキャンし、セキュリティタスクを追加して、セキュリティスキャンを行えます。
• タスクは、アクティビティレコーダーを使用して、Webサイトの特定のフロー（新しくデプロイされたもの、ローカルでホストされているもの、公開サイト）をスキャンできます。この小さなユーティリティーを使用すると、Webサイトのトラフィックとアクションを記録し、それらの記録を選択したAppScan Dynamic分析ツール（HCL AppScan EnterpriseまたはHCL AppScan StandardまたはHCL AppScan On Cloud）にアップロードできます。記録したファイルは、「Azure Repos Git」「GitHub」「GitHub Enterprise Server」「Bitbucket Cloud」に格納でき、記録ファイルのパスをパイプライン構成で指定して同様に使用できるようにすることが可能です。
• HCL AppScan Enterpriseタイプのタスクを複数追加することで、1つのパイプラインで多くのサイトをスキャンできます。セキュリティテストレポートとともに、各サイトの問題点のセキュリティサマリーが表示されます。このレポートには、スキャンの問題点と、報告された問題点に対する対処法が記載されています。
• ビルドをトリガーする前に、設定とメールアラートの有効化および構成をサポートする。
• セキュリティ結果に基づいてビルドが失敗するように設定することができる。例えば、セキュリティの高い脆弱性が5つ以上ある場合、ビルドを失敗させることができる。

以下のように設定できます。

上記の条件を満たした場合、Azure のビルドは失敗し、Azure のコンソールに適切なメッセージが表示されます。コンソールメッセージのサンプルは以下の通りです。

• 速度と課題のカバレッジのバランスを選択することで、スキャン時間を短縮できます。最適化されたスキャンでは、継続的な統計分析に基づいて、深刻度が低い、または可能性が低い脆弱性については、テストポリシーで定義されたテストが省略されます。テストの最適化について詳しくは、こちらをご覧ください。

• スキャンレポートを JSON および PDF 形式でダウンロードするオプションがあります。PDF レポートは、スキャン実行後のパイプライン ログからパイプライン タスク構成中にアプリケーション ID (オプション フィールド) を選択した場合にのみ生成できます。

• ビルドサマリー情報には、スキャンが正常に完了すると、深刻度に基づいた問題数が表示され ます。

他の不具合追跡システムとの統合

パイプラインタスクの構成中にアプリケーションID（オプションフィールド）を選択すると、AppScan Enterprise Interfaceで指定したアプリケーションの下にセキュリティ問題を表示できます。AppScan Issue Management Gatewaysサービスにより、課題をAppScan EnterpriseからJira、Azure、Rational Team Concertなどの課題管理アプリケーションに移行できます。