2022/2/16 - 読み終える時間: 3 分

What’s New in AppScan on Cloud? の翻訳版です。

HCL AppScan on Cloud の新機能とは?

2022年2月15日

著者: Rob Cuddy / Global Application Security Evangelist

最近AppScan on Cloudをご覧になっていない方は、スキャンをより簡単に、より有意義にするいくつかの素晴らしい新機能を見逃されています。 2021年の終わりには、いくつかの新しい革新と改善が追加され、ユーザーに大きな利益をもたらすと思います。 それでは、追加された機能のいくつかを見てみましょう。

Log4j固有のテスト

Log4jの脆弱性をめぐる様々なニュースから、AppScan on CloudがLog4jの検出と改善ガイダンスを提供するテスト機能を追加することは自然な流れでした。 具体的には、DASTテスト用に新しいセキュリティ・ルールが追加され、このルールはすべてのテスト最適化タイプに自動的に含まれるため、スピードの最適化を行っている場合でもLog4jの問題を見逃す心配がありません。 ASoC の OSA テストは、Log4j で特定された 4 つの CVEs すべてに関連する脆弱性を検出します。 以下の図 1 は、新しいテスト結果が潜在的なリモートコマンド実行の脆弱性を発見した簡単な例を示しています。 また、この DAST テストの例は、YouTube の例で見られます。

図1：AppScan on CloudでのLog4jの脆弱性発見

新しいシングルスキャンレポート

ASoCに追加された非常にクールな新機能の1つが、シングルスキャンビューです。 以下の図2は、この新しいビューがどのように見えるかの例を示しています。 これはスキャンに関する詳細なレポートであり、スキャンの実行中にも見ることができる。 訪問したページの数、テストした要素、発見された問題を確認できます。 スキャンが完了すると、問題を表示したりフィルタリングしたり、レポートをダウンロードできます。 スキャンレポートの列はクリックすることもでき、issueタブのフィルタリングリストにつながります。 また、スキャンで発見された新しい課題をスキャンカードに表示し、そのスキャンで最初に発見された課題まで具体的に掘り下げることができるようになりました。

もう一つの大きな特長は、issueタブで個々のissueに簡単にコメントを追加できることです。 課題をクリックし、"コメント "を選択するだけです。 この機能は、チームメンバーとフィードバックを迅速かつ容易に共有するために使用できます。

図2：AppScan on Cloudの新しいSingle Scan View

新しい対応言語

ASoCは最近、主にIBM IやOS/400システムで使用されるビジネスアプリケーション用のプログラミング言語であるRPG（Report Program Generator）をサポートすることを発表しました。 RPGの詳細については、programmer.ioのサイトを参照してください。 これはASoCユーザーにとって、.rpg, .rpgl, .rpgleのファイルタイプが静的解析に含まれるようになったことを意味します。 この記事を書いている時点で、AppScan on Cloudは30以上の異なる言語をサポートしています。

より高い柔軟性と制御性

AppScan on Cloudが常に注力しているのは、有意義で効果的な脆弱性修正につながるスキャンをより簡単に実行できるようにすることです。 この取り組みの一環として、2021年版OWASP Top 10の新しいレポートタイプを追加し、ASoCユーザーがスキャンを制御するための柔軟性を高めるためのいくつかの新機能を追加しました。

具体的には、以下のものが追加されました。

• .NETネームスペースを含む、含まないの両方をサポートします。

• Java並列処理時のキャッシュ位置の指定が可能になりました。

• 新しい Rider プラグイン

• アプリケーションで初めて発見された問題を表示するためのサポートが強化されました。

• 設定されたスケジュールのスケジュールと編集をより簡単に行えるようになりました。

• スキャンの "Scheduled "と "Repeat "の状態を示す新しいアイコンが追加されました。

• 最後に、30分間操作がない場合の自動ログアウトを割り当て、ビジネスユニットの管理方法について2つの変更を追加しました。

• また、ビジネスユニットの管理方法に2つの変更を加えました。

IASTに特有のもの

そしてもちろん、ASoCに関する議論は、インタラクティブ・アプリケーション・セキュリティ・テスト（IAST）のために追加された新機能を強調することなしには完了しません。 今回は、IASTエージェントの設定を更新する機能を追加し、全体的なパフォーマンスの向上、Java 17のサポート、Javaプロパティでプロキシが設定されている環境でのAppScan Enterpriseとの通信のサポートを強化するための変更を加えました。 また、IASTにいくつかの新しいセキュリティ機能を追加しました。 これには、JaxBクラスのXXEを識別できるようになったことが含まれます。 この特定の脆弱なクラスに関する詳細情報は、OWASP XXE サイトで確認できます。 また、JSON XSS 情報の問題（脆弱なデータが JSON としてレスポンスに書き込まれる XSS の亜種）の検出も追加されました。

まとめ

すでにAppScan on Cloudのユーザーであれば、これらの新しい追加機能の利点を享受できると確信しています。 また、そうでない場合は、AppScan on Cloudのサイトにアクセスし、無料トライアルに登録してご自分の目で確認されることをお勧めします。

2022/2/1 - 読み終える時間: 2 分

Secure DeFi Applications with HCL AppScan の翻訳版です。

HCL AppScan で DeFi アプリケーションを保護する

2022年1月28日

著者: Orlando Villanueva / Product Marketing Manager, AppScan

ここ数カ月で分散型金融（DeFi）市場が爆発的に拡大する中、アプリケーション・セキュリティは企業だけでなく、多くの企業にとってますます重要なものとなっています。DeFiの人気の高まりは、暗号通貨市場におけるその支配力を見ればわかります。coinmarketcap.comによると、上位100の暗号通貨のうち約50%が、ユーティリティー構造の一部としてDecentralized Financeプロトコルを搭載しているとのことです。

最近の記念碑的な成長にもかかわらず、DeFiは完璧ではありません。取引所に保管されている資金の安全性に関する懸念は絶えません。cryptosec.info によると、"2021年12月現在、DeFi市場内で発生したDeFiエクスプロイトは合計?75件あり、失われた資金はこれらのエクスプロイトの時点で合計?約17億ドルに達しています。" 分散型取引所がユーザーデータを適切に保護しない場合、機密情報は漏洩し、ユーザーは広範な個人情報の盗難に遭い、投資家は大きな資金喪失を経験することになるのです。

このブログでは、DeFiとは何か、開発者がコードを保護する際に活用すべきベストプラクティスとは何か、そしてHCL AppScanの柔軟な展開と複数のスキャンソリューションが、アプリケーションを継続的に保護し、あらゆる脆弱性を迅速にスキャンするためにどのように役立つかを探っていきます。

分散型金融（DeFi）とは？

DeFiは、ユーザーが中央集権的な機関の外でサービスにアクセスできるようにする新しいタイプの金融システムです。公平性と平等性を約束し、中間マージンを取らずにお金、投資、ローン、保険などを約束することで投資家を惹きつけています。

2014年に初めて登場したDeFiは、従来の銀行システムの透明性の欠如と規制管理の制限をめぐる懸念から開発されました。投資家は、ビットコインのブロックチェーンとイーサリアムのスマートコントラクトを通じてDeFiの代替プラットフォームを構築し、資金を直接受け取ることでこれらの問題を回避し、安価な取引、銀行の救済措置に対する保険、および透明性の向上を実現しました。DeFiは、政府の検閲を受けることなく、極めて低い手数料で極めて速い速度を提供します。

DeFiアプリケーションのセキュリティを確保するには？

従来の銀行業界と同様に、ほとんどのアプリケーションにはアプリケーション・セキュリティ・アセスメントで同じ脆弱性とリスクが含まれているため、DeFiサービスではアプリケーション・セキュリティ・テスト（AST）が重要です。

プロジェクトの安全性を高めるには、まず、アプリケーションのスキャンを行い、Webの脆弱性を確認します。アプリのビジネスロジックの欠陥を可視化したら、自動化されたWeb脆弱性テストを設定し、OWASPトップ10 の脆弱性 がカバーされているかどうかを確認します。最後に、DeFiプロジェクトを安全かつセキュアに維持するために、以下の3つのステップを実行する必要があります。

• 静的解析ツール（SAST）を利用して、バグを早期に検出する。このツールは、スマートコントラクトを自動的にスキャンして、潜在的な脆弱性を探します。

• ソリューションの自動テストスイートを有効にする。従業員は素晴らしいですが、脆弱性を継続的に監視するために従業員に依存すると、コードカバレッジの欠如やデプロイの遅れにつながる可能性があります。

• ソフトウェアライフサイクル全体にセキュリティファーストのアプローチを取り入れる。本番稼動前に安全で信頼できるスマートコントラクトを構築するために常に最善を尽くすべきですが、ブロックチェーンとDeFi技術の現実は常に変化しているため、プロジェクトが攻撃のリスクにさらされる可能性があることを意味します。常に発展し続けるDeFiの性質に対応するために、セキュリティは全チームで共有する責任にしましょう。適切なASTツールを提供し、エンタープライズレベルの可視性を取り入れて、SDLCプロセスの各ステップで継続的にプロジェクトを保護することができます。

HCL AppScanでDeFiアプリケーションのセキュリティを維持する

HCL AppScanでアプリケーションのセキュリティを継続的に確保します。潜在的な脆弱性をオンザフライでスキャンする場合でも、継続的な自動テストソリューションを有効にする場合でも、AppScanは以下の機能でお客様をカバーします。

• クラウド、オンプレミス、またはその両方のハイブリッドでの柔軟な展開。
• SAST、DAST、IAST、OSAを含む複数のセキュリティテストツール。
• お客様のアプリケーションセキュリティプログラムの健全性と成功のために、さまざまなサポートサービスを提供します。

すべてのDeFiプロジェクトにおいて、ソフトウェア開発ライフサイクル（SDLC）の早い段階で脆弱性に対処し、安全なプロトコルをより速く、より大規模に提供します。

AppScanの一連のセキュリティテストツールの詳細については、こちら をご覧ください。

2022/1/12 - 読み終える時間: 4 分

2022 Robservations on Application Security の翻訳版です。

2022年 アプリケーションセキュリティに関する個人的考察

2022年1月11日

著者: Rob Cuddy / Global Application Security Evangelist

2021年は、情報セキュリティ分野に限らず、サイバーセキュリティが大きなトピックであったことは周知の通りです。年初、注目を集めたのは、スーパーボウルの時期に小さな浄水場で起きたサプライズ寸前の攻撃でした。年が明けると、ランサムウェアやサプライチェーンの事故が大量に発生しました。5月には大統領令がニュースになるほどの盛り上がりだった。そしてもちろん、ここ数週間は、Log4j の脆弱性についても耳にしたことでしょう。これらのことが、サイバーセキュリティを前面に押し出しました。

そして、2021年の始まりを思い返すと、当時の私の個人的考察はこうなっていました。

• QAがセキュリティ・パーティに参加（IASTに感謝）
• 開発者に優しい脅威のモデル化
• ベストプラクティスの出現 - 特にオープンソースについて
• 真のエントリーレベルと明確なキャリアパス

ほとんどの場合、この1年を通して、それぞれの進歩が見られました。セキュリティ活動への参加を求められる品質保証チームの数は増加し、IASTはそのための素晴らしい方法を提供してくれました。2020年後半に導入された新しい脅威モデリング・マニフェストが、2021年にはより多くの支持と議論を集めるのを見ました。また、ソフトウェア構成分析、強力なソフトウェア部品表の考え方に関する議論、推奨、実践が大幅に増加し、これらの議論が継続することを期待しています。そして最後に、職務内容の定義や、サイバーセキュリティの職務に新しい人材が流入する方法について、大きな前進が見られました。その好例が、VCISO の Naomi Buckwalter が設立した新しい組織 Cybergatebreakers や、BISO の Alyssa Miller によるこの新しい Cybersecurity Careers の書籍です。また、Alyssa の "From Barista to Cyber Security Pro"と題した素晴らしい講演を YouTube でぜひご覧ください。

さて、2021年が過ぎ、2022年が始まるにあたり、私が考えていること、期待していることは何でしょうか？ というご質問をいただきました。早速ですが、2022年の私、Rob なりの個人的考察 - Robservations - を紹介します。

アプリケーション・セキュリティは、すべての製品リリースで完全に現実のものとなる

もちろん、アプリケーション・セキュリティは常に重要ですが、歴史的に見ると、プロセスのどこかでより「ボルトオン」されるものでした。今日、リスクを減らすために、もはや後期のテスト（ペンテストを含む）だけに頼ることができないことは明らかです。セキュリティは、最初から「焼き込み」でなければならないのです。2022年には、2021年に大きな部分を占めていた脅威のモデル化の議論が、完全な設計の議論に拡大すると私は予想しています。組織の計画策定において、セキュリティはより積極的な役割を果たすようになると思います。特に、優れたセキュリティは、顧客の信頼と信用に最も重要だからです。

そして、なぜこれがそれほど重要なのでしょうか？ 私たちは、インターネットに接続される機器の数や種類が驚くほど増加していることをよく理解しています。特にヘルスケア分野では、フィットネス用ウェアラブルやペースメーカー、さらにはセンサーを搭載した錠剤を摂取してデータをモニターし、医師に送信するなどの大きな技術革新が起こっています。もし、これらのセンサーが危険にさらされた場合、どのような混乱が起こるか想像してみてください。もし誰かが診断データを変更し、まったく間違った治療法が処方されたらどうでしょう？あなたは今、そのようなものを飲み込む気になれますか？ 私は、あなたがどう思うか知りませんが、まずセキュリティについてもっと確実なものを求めます。

この点で、アプリケーション・セキュリティは大きな違いをもたらすことができます。今日のIoTの一部であることは確かですが（IoT の脆弱性に関するOWASPトップ10で証明されています）、改善の余地はたくさんあります。今日、セキュリティに関する話題の多くは、強力なパスワードやデフォルト設定などのデバイス管理項目に関するものです。IoTやアプリケーションの利用が一般的に拡大するにつれ、デバイスに常駐し動作するコードの安全性を確保することが最も重要になります。デバイス上で取得、処理、保存されるデータが常に適切に保護されていることを確認することに、より大きな焦点が当てられるようになることが予想されます。また、これらのデバイスに接続するインターフェースも、より強固なものになることが予想されます。また、この分野、特にAPIや、製造業、小売業、銀行業などの業界における脆弱性をテストするためのツールや手法も改善されることが予想されます。

データ・プライバシーに関する法律がアプリケーション・セキュリティの変更を促進し続ける

米国のコロラド州、バージニア州、カリフォルニア州と中国、ブラジルの共通点とは？ いずれも2021年に新たなデータプライバシー法を承認または制定している。データプライバシーが市民や消費者の大きな関心事であることは間違いない。そして、人々が最もデータに接するのはどこでしょうか？ アプリケーションです。データプライバシー規制には、アプリケーションとアプリケーションセキュリティに関するより強い文言が含まれるようになっています。その良い例として、ニューヨーク州金融サービス局（NYDFS）の NYDFS 23 CRR-NY 500 は、「堅牢な」セキュリティに関する文言を含んでおり、2020年に施行されたニューヨーク州 SHIELD ACT は、5575 条 B 項に「妥当なセキュリティ要件」の包括的概念を追加しています。また、Spirionのこの素晴らしいサイトが示すように、他の多くの州は、データ損失だけでなく、不正アクセスさえも報告するよう組織に要求しています。今後、機密データを適切に取り扱っていることを証明するよう、企業に対する圧力が高まることが予想される。また、データインシデントをめぐる詳細な報告についても、より厳格な変更が行われることが予想されます。

APIセキュリティの重要性

これは、アプリケーションセキュリティの実態に関する最初のロブセンスに関連しますが、特に API テストの重要性が高まっています。2019 年には OWASP API Top 10 が発表され、API に対する直接的なガイダンスやアドバイスが提供されるようになりました。そしてそれ以降、APIセキュリティテストに関する議論と改善が盛んに行われています。API テストを専門に行う団体も登場し、その必要性についてウェビナーシリーズを実施しました。

API はデータを誤用や損失にさらす可能性が非常に高いため、API には特別な注意を払う必要があり、特に API がしばしば運用する前提条件に注意を払う必要があります。例えば、認証（多くはログイン情報を要求せず、トークンに依存する）やリソースの使用（多くはリクエスト量を制限しない）に関する仮定は、テストと検証を行わない場合、意図しない結果を素早く導く可能性があります。実際、Mitre の att&ck データベースには、企業向けに呼び出された Native API テクニックの特定のセットが存在します。2022年には、APIのためのより具体的なツールやテスト手法が登場することを期待します。また、ベンダーのチェックリストやNISTサイバーセキュリティフレームワークのような場所で、APIの検証が特に呼びかけられるのを見ることもできるでしょう。

リスクをより明確にし、解明し、低減するためのデータの相関関係

最後の大きなトレンドは、セキュリティテストの相関性と、そのデータをより総合的に活用してアプリケーションのリスクを軽減することです。相関関係とはどういう意味でしょうか？ 今日、静的テスト（SAST）、動的テスト（DAST）、対話型テスト（IAST）、ランタイム保護（RASP）、ペンテストがあり、それぞれが独自の結果セットを生成し、アプリケーションのリスクの状態について1つのビューを提供します。しかし、セキュリティがシフトレフトされ、開発パイプラインと価値の流れに組み込まれ続けると、真の問題に優先順位を付け、最も影響力のある改善活動に的を絞る必要性が最も高くなります。誰も誤検出を追ったり、エクスプロイトできないものを修正したりして時間を無駄にしたくはないのです。今後は、脆弱性を効果的に特定し、検証し、ワンクリックで適用できるような、的を射た改善策を提供するための協調的な取り組みを期待します（コピー＆ペーストは不要です）。

以上、2022年のアプリケーションセキュリティロバーベーションを紹介しました。この1年を簡単に振り返り、次の1年を展望していただければ幸いです。このコーナーや Application Paranoia のポッドキャストでは、今年もさまざまなお話を伺っています。

2021/12/27 - 読み終える時間: ~1 分

HCL AppScanでは、開発中のWebアプリケーション、及びすでに稼働しているWebアプリケーションに於いても、Log4Jの脆弱性対策が必要なWebアプリケーションの特定を迅速かつ正確に実施できます。

HCL AppSan 動的解析 (DAST)ツール によるLog4Jの脆弱性の検出

WEBアプリケーション及びWEBサーバーに対しての擬似ハッキングによる動的な脆弱性検証により、Log4Jの脆弱性の有無を検出します。

対応製品

• HCL AppScan Standard
• HCL AppScan Enterprise
• HCL AppScan on Cloud (DAST)

検出できる脆弱性

• CVE-2021-44228

HCL AppScan 静的解析 (SAST)ツールとSCA によるLog4Jの脆弱性の検出と対策

SASTとSCAによって、ソースコードに含まれるオープンソースライブラリに於けるLog4J使用の有無、Log4Jのバージョンを特定します。それによって、Log4Jのバージョンアップの対策が必要なWebアプリケーションを明確にし、対策が実施できます。

対応製品

• HCL AppScan on Cloud (SAST + Open Source Analyzer)

検出できる脆弱性

• CVE-2021-44228
• CVE-2021-45046
• CVE-2021-45105

デモ動画

上記の動作をデモ動画でご覧になれます。

2021/12/21 - 読み終える時間: ~1 分

HCL AppScan はソースコードをスキャンしてさまざまな脆弱性を検出します。Log4j につても同様です。簡単なステップで実行できるデモビデオを作成しました。

HCL AppScan の無償トライアル もあります。

参考: HCL AppScan メディアリソース

2021/12/14 - 読み終える時間: 4 分

HCL AppScan Guide to Critical Log4j - CVE-2021-44228 の翻訳版です。

HCL AppScan による、重大な Log4j のセキュリティー脆弱性問題への対応 - CVE-2021-44228 の解説

12月9日（木）、世界で最も利用されているオープンソースのログシステムであるLog4jが、Apple、Amazon、Cloudflare、Steam、Tesla、Twitter、Baiduなど、世界中の大企業に影響を与える重大な脆弱性の明確な証拠を示したというニュースが流れました。

Microsoft Security Response Team によると、Apache Log4j 0-day 脆弱性は、認証されていないリモートコードの実行を可能にするもので、攻撃者がさまざまな異なる入力ベクターを通じて提供した特別に細工された文字列が、Log4j 2の脆弱なコンポーネントによって解析および処理されたときに発動します。この報告から1日も経たないうちにすでに攻撃が行われており、中国の大手ハイテク企業であるQihoo 360のネットワークセキュリティ部門である Netlab は、Mirai や Muhstik（別名：Tsunami）のような攻撃者が、悪用できる脆弱なサーバーを今も積極的に探していることを明らかにしました。

現在、CVE-2021-44228 として知られるこの脆弱性は、Oracle 社の勧告によると、リスクマトリックスのベーススコアが10で、最も高いリスクとなっており、GitHub 社の勧告では、深刻度レベルが「クリティカル」とされています。

影響を受けているかどうかの判別

お使いのアプリケーションがこの脆弱性の影響を受けているかどうかを判断するには、以下の手順を実行します。

• 現在のLog4jのバージョンを確認し、アップデートしてください。2.15.0 より前のすべてのバージョンが影響を受けています。
• 現在のJavaのバージョンを確認し、アップデートしてください。以下のバージョンより低いものはすべて脆弱です。
  • Java 6 - 6u212
  • Java 7 - 7u202
  • Java 8 - 8u192
  • Java 11 - 11.0.2

アプリケーションにJavaとLog4jの両方の問題がある場合、Certnz 社の勧告によれば、確実に影響を受けています。しかし、GitHub - log4shell-tester のようなオープンソースのテストツールを使用して、ドメインの脆弱性を確認することができます。

Log4jのソリューション

Log4j のバージョン2.15.0 をダウンロードしてください（アップグレードできない場合は、以下の手順に従ってください）。

• システムプロパティ formatMsgNoLookups または環境変数 LOG4J_FORMAT_MSG_NO_LOOKUPS を true に設定することで、動作を緩和することができます。

• バージョン >=2.0-beta9 かつ <=2.10.0 を使用している場合、zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class のように、Java のクラスパスから log4j の JndiLookup クラスを削除します。

AppScanはどのように役立つか

HCLのAppScanは、クラウドベースのAppScan on Cloudのオープンソース解析（OSA）機能を使って、どのバージョンのLog4Jを利用しているかを検出します。それによって該当のLog4Jを使用していることが分かり、バージョンアップ等の対策を取ることが出来るようになります。

AppScan on Cloud (ASoC) とは？

ASoCは、SAST、DAST、IAST、OSAなど、クラウド上で利用できる包括的なセキュリティ検査ツールの比類のないスイートを提供します。ソフトウェア開発ライフサイクル（SDLC）の早い段階で脆弱性に対処することができ、誤検知を減らし、書かれたコードを修正し、より正確な結果を出すための高度な相関関係を得ることで、安全でコンプライアンスの高いソフトウェアを迅速かつ大規模に提供することが可能になります。

AppScanのSCAツールと、SAST、DAST、Web用IAST、オープンソース・アプリケーションを含む一連のセキュリティ・テスト・ツールについてのお問い合わせ、購入のご相談はお問い合わせ窓口までお願いします。

HCL AppScanのデプロイメント・プラットフォームにおけるLog4jの脆弱性に関する追加情報は、AppScan の技術情報をご覧ください。

2021/11/15 - 読み終える時間: 3 分

AppScan is Re-imagining application security with V.10.0.6 の翻訳版です。

HCL AppScan V.10.0.6 による信頼性の高いアプリケーション・セキュリティ・テスト

2021年11月12日

著者: Orlando Villanueva / Product Marketing Manager, AppScan

HCL AppScan V10.0.6は、開発ライフサイクルの各段階でアプリケーション・セキュリティを提供することの意味を再考します。広範なサポート言語のポートフォリオや、SAST製品では複数のIDEプラットフォームをカバーすることで開発者を支援し、AppScan Standardソリューションではアップグレードによりユーザーエクスペリエンスを向上させます。さらに、この最新バージョンでは、新しいセキュリティアップデート、レポートオプション、法規制コンプライアンスレポート用の新しいサマリーセクションを提供します。

このブログでは、AppScan V.10.0.6の新機能と改良点を製品ライン別にご紹介します。また、スペシャルイベント「AppScan Lunch n' Learn」では、以下に紹介する多くの新機能についての詳細をご紹介していますので、ぜひご覧ください。

HCL AppScan Enterprise V10.0.6の機能強化について

AppScan Enterprise V10.0.6では、以下の点が強化されています。

• Subject Alternative Name (SAN)属性を持つクライアント証明書を使用したCommon Access Card (CAC)認証の改善がサポートされました。
• 法規制コンプライアンスレポートには、コンプライアンスと監査のニーズに役立つように設計された新しいサマリーセクションが追加されました。
• Microsoft Active Directory Federation Services (ADFS)によるSAML (Security Assertion Markup Language)シングルサインオンがサポートされました。
• ジョブズ検索APIは、管理者以外のユーザーでもアクセスできるようになりました。

AppScan Enterpriseの機能強化についての詳細は、カスタマーサポートページをご覧ください。

HCL AppScan Source V10.0.6の強化点

AppScan SourceのV10.0.6では、以下の点が強化されています。

• 新たに対応したIDEプラットフォームを提供します。IntelliJ、PHP Storm、WebStorm、PyCharm サポート。
• Dart言語のサポート
• Java、.Net、C/C++のソースコードスキャン（DevOpsのスピードに合わせたスキャン）。
• 業界標準のレポートによる修復情報の提供
• Visual Studioの修正グループ
• SASTの新しいアプローチのための技術プレビュー

AppScan Enterpriseの機能強化についての詳細は、カスタマーサポートページをご覧ください。

HCL AppScan Standard V10.0.6の強化点

AppScan StandardのV10.0.6では、以下のような機能強化が行われています。

• 新しいAppScanエクスペリエンスが登場します。新しいAppScan Standardの技術プレビューコード版を用意しました。大幅に改善されたユーザーエクスペリエンスと、同じ強力なDASTスキャンエンジンを備えています。これはまだ進化中のバージョンであり、今後のリリースを通じてゆっくりと段階的に進化していきます。詳細を知りたい方、今すぐ無料体験したい方は ここをクリック。
• レポート（XML、PDF、HTML、Word）は、ユーザーインターフェースと同じ一般的なコンテンツと構造を持つようになりました。
• 法規制コンプライアンスレポートでは、コンプライアンスや監査のニーズに役立つように設計された新しいサマリーセクションを提供しています。

AppScan Enterpriseの機能強化に関する詳細は、カスタマーサポートページをご覧ください。

特別イベント「AppScan Lunch n' Learn」のご案内と詳細について

上記の機能強化についての詳細は、「AppScan Lunch n' Learn」スペシャルイベントをご覧ください。

AppScanの最新の開発状況については、YouTubeの「This is AppScan」チャンネルをご覧ください。

2021/11/1 - 読み終える時間: 3 分

HCL AppScan Standard Re-Imagined の翻訳版です。

HCL AppScan Standard Re-Imagined (再び想像する)

2021年10月25日

著者: Asaf Yogev / Experienced UX Leader, Researcher, and Designer, HCL Software 共著: Orlando Villanueva / Product Marketing Manager, AppScan

HCL AppScan Standard は進化しており、より良いユーザー・エクスペリエンス、新機能、そして変わらず優れたDASTスキャン・エンジンを提供しています。この2年間、我々のチームはHCL AppScan Standard を再構築し、より優れたパフォーマンスと新機能を備えたご愛用の製品をお届けするために、たゆまぬ努力を続けてきました。

AppScan standard は過去20年間、市場をリードするDASTソリューションとして、膨大な数の機能を提供してきました。今回、メインビュー、アクション、メニューのデザインを一新することになりました。AppScan Standard の最終更新版に移行するにあたり、一部の画面は現在のレイアウトのままとなります。しかし、今後のリリースでは、この旅を見直していきます。

最高のバージョンをリリースするために、HCL AppScan の既存のお客様には、新しいAppScan Standard TechPreviewに参加していただくことをお勧めします。選ばれた既存のHCL AppScanユーザーは、これらの実験的な新機能をリリース前にテストし、貴重なフィードバックを提供することで、アプリの開発に重要な役割を果たすことができます。今すぐお試しください。

AppScan Standard の新しいアップグレードのプレビュー

AppScan Standard では、新しいホーム画面の体験を提供します!

新しいウェルカム画面では、以下のことができます。

• 新しいスキャンの開始
• 以前に保存した作業の継続
• 完全な設定でスキャンを開始するウィザードのオプションを含む
• スキャンのデモを開く
• 最近のスキャンとテンプレにアクセス
• 頻繁に使用するテンプレートの固定

Image

2/3のユーザーがダークモードを選択しています。あなたはどうしますか？

当社はアクセシビリティと快適性をAppScan の革新の最前線に置いています。AppScan Standard のユーザーは、ダークモードとライトモードの間でAppScan Standard の使用感を変更できるようになりました。ダークモードに切り替えるには、表示メニューから .... を選択してください。

新しいナビゲーションで複数の表示オプションを提供

AppScan Standard のナビゲーションが改善されたことで、異なるビュー間の切り替えが容易になり、各ビューのスペースがより広くなりました。各表示オプションのスペースを最大化するには、上部の矢印ボタンを使用します。

課題分析のサポート強化

課題分析はセキュリティ専門家にとって非常に重要であり、その結果をよりよく理解していただきたいと考えています。そのため、「課題」ビューに、検索、ソート、フィルタなどの新しいツールを追加し、トリアージプロセスをより効率的に行えるようにしました。

テックプレビュー版の起動方法は？

AppScan Standard Tech Previewを起動するには、インストールディレクトリ（デフォルトの場所はProgram Files (x86)\AppScan Standard）を開き、ファイルを起動します。AppScanGui.exe 皆様のご意見をお待ちしております。

What's Next?

• 改良された構成ビュー - DASTの構成を最大限に活用する新しい方法を体験してください。AppScan Standard の新しい構成ビューでは、アイテムを検索するオプションが提供され、ナビゲーションを強化するための新しいグループ化が可能となり、オリジナルの構成ファイルからの変更を表示する構成履歴が提供されます。
• HCL AppScan の新機能 - 「スキャンステータス」は、調査やテストの段階で情報を提供する新機能です。HCL AppScan の新機能は、透明性を高め、ボンネット内で何が起こっているか、スキャン中に問題がどのようにサポート・管理されているかについての洞察を提供します。
• スキャンログによる履歴記録の強化 - HCL AppScan Standard のユーザーとしては、スキャンプロセスや発生する可能性のあるトラブルシューティングを理解し、観察することが重要です。そのため、新しいログ体験では、すべてのログ入力をテーブルにまとめ、ソートしたり、ログデータを検索したりすることができます。