2024/2/19 - 読み終える時間: ~1 分

Trends in Application Security Testing の翻訳版です。

アプリケーション・セキュリティ・テストの動向

2024/02/12

著者: Cristina Suchland / Integrated Marketing Manager, Secure DevOps

アプリケーション・セキュリティ・テストは、DevSecOps の実践において、ウェブ上での大規模なデータ共有に伴うリスクを軽減するために、ますます重要な役割を果たしています。アプリケーション・セキュリティ・テスト技術の使用（または不使用）について、専門家が経験した成功と課題をよりよく理解するために、HCLSoftwareは2023年秋に45,000人以上の専門家にアンケートを実施しました。

本レポートの調査結果は、企業によってセキュアなソフトウェア開発に対するニーズや戦略がいかに異なるか、また、ベンダーの統合、人工知能、最新のデプロイメント・モデルの問題については、かなりのコンセンサスが得られていることを浮き彫りにする鋭い洞察を提供しています。

本調査の主なハイライトをいくつか紹介しよう。

ベンダーの統合

ベンダーの嗜好について質問した企業のうち、かなりの 85 パーセントが、使用しているアプリケーション・セキュリティ・テスト・ベンダーの数の統合をすでに完了している。より一元的なセキュリティ戦略を実現するための単一プラットフォーム・ソリューションに対する選好が、最善のスタンドアローン・テクノロジを購入したいという希望を大きく上回った。

人工知能（AI）

回答者の大多数（38％）は、AIが、異常検知やカバレッジの拡大など、アプリケーションセキュリティの他の分野よりも、テストの自動化に影響を及ぼすと考えている。興味深いことに、この調査結果によると、自動修復は、アプリケーション・セキュリティにおいて影響が少ない分野の1つになりつつある。

展開モデル

今年の調査における明確な傾向は、アプリケーション・セキュリティ・テストにおけるクラウドおよびクラウドネイティブのデプロイメント・モデルへの移行である。自社のソフトウェアが完全にオンプレミス（自己管理型）にデプロイされていると回答したのは31パーセントにとどまったが、一般的なハイブリッドデプロイメント戦略の一環として、セキュリティの側面は依然としてオンプレミスで処理されている。このような戦略には、プライベート・クラウドで異なるセグメントのデータをテストし、パブリック・クラウドで他のデータをテストすることが含まれます。

本調査の全結果と主な調査結果をご覧いただき、変化の激しいデジタル環境で起こっているアプリケーション・セキュリティのトレンドについて理解を深めてください。

2023 Application Security Testing Trends Report を今すぐ入手してみてください。

2024/2/19 - 読み終える時間: ~1 分

Mobile Application Security Testing Continues Upward Trajectory の翻訳版です。

モバイルアプリのセキュリティテストは上昇の一途をたどる

2024/02/12

著者: Nabeel Jaitapker / Product Marketing Lead, HCLSoftware

モバイル・デバイスの存在感の増大とサイバー脅威の複雑化により、モバイル・アプリケーション・セキュリティ・テスティング・ソリューションに特化した成長が促進されている。

最近のレポートによると、モバイルアプリケーションの使用量の増加、安全なアプリケーションを義務付ける規制遵守、迅速な開発サイクルにより、世界のモバイルアプリケーションセキュリティテスト市場は2028年までに32億ドルに達すると推定されている。

MarketsandMarketsが発行したこのレポートは、セキュリティテストソリューションに対する需要の背景には、サイバー脅威と攻撃手法の絶え間ない進化があるとしている。また、技術の進歩に伴い、採用される悪意のある手口も高度化しており、モバイル・アプリケーションや機密データへのアクセスを危険にさらしている。

このような状況に対処するため、本レポートでは、脆弱性が悪用される前に脆弱性を特定し対処することで、新たな脅威の一歩先を行く定期的なセキュリティテストを推奨しています。このアプローチは、（マルウェア、フィッシング、コードインジェクションなどの攻撃がますます巧妙化する中で）ダイナミックに変化し続けるサイバーセキュリティの状況において、組織を支援します。

モバイルアプのセキュリティテスト

モバイルアプリケーションのセキュリティテストは、アプリケーションのセキュリティコントロールが期待通りに機能することを確実にするための、本番前のチェックと考えることができ、同時に、実装上のエラーから保護します。このテストは、開発チームが予期していなかったエッジケース（セキュリティバグになる）を発見するのに役立ちます。

このプロセスは、市場に導入する前にアプリケーションの堅牢性を確保することを目的とする企業にとって不可欠です。

効果的なセキュリティテストは、アプリの意図された目的と扱うデータの性質を包括的に理解することから始まります。静的解析（SAST）、動的解析（DAST）、対話型解析（IAST）の組み合わせを採用することで、組織は、単独のテスト手法では容易に特定できない脆弱性を明らかにする全体的な評価を得ることができます。

HCL AppScanは、ソフトウェア開発ライフサイクルの各段階において、アプリケーションの脆弱性をピンポイントで特定し、迅速な修復を可能にする一連の技術により、開発者、DevOps、セキュリティチームを支援します。さらに、クラス最高のテストツール、一元化された可視性と監視機能、オンプレミス、オンクラウド、クラウドネイティブを含む複数の導入オプションによりアプリケーションを保護することで、企業と顧客の保護を支援します。

HCL AppScan のアプリケーション・セキュリティ・テスト・ソリューション・ポートフォリオは、SAST分野のトップベンダーの中で、強力なパフォーマーとして評価されています。この評価は、今日の速いペースのデジタル+エコノミーにおいて、開発者に力を与え、コードセキュリティを強化するトップレベルのソリューションを提供することへの揺るぎないコミットメントを強調するものです。

HCLSoftwareの強力なパフォーマーとしてのランキングの詳細については、最近発表された Static Applications Security Testing (SAST) の Forrester Wave をご覧ください。

2024/2/19 - 読み終える時間: 2 分

Secure Application Code Against Vulnerabilities Faster with HCL AppScan Fix Groups の翻訳版です。

HCL AppScan Fix Groups でアプリケーションコードをより早く脆弱性から守る

2023/12/20

著者: Itay Levin / Design Lead for HCL AppScan

静的アプリケーション・セキュリティ・テスト（SAST）は、ウェブ・アプリケーションとAPIのソースコードをスキャンし、セキュリティ・リスクになり得る脆弱性を探します。この種のコードスキャンに関する根強い課題の1つは、これらのツールが膨大な数の発見をもたらす可能性があることです。これらの発見のうち、どれが修正が必要な重大な脆弱性であるかを見極めるのは、困難で時間のかかる作業になりかねません。

HCL AppScanには、スキャン結果の数を劇的に減らし（数千件から数百件に）、誤検出を実質的に排除する内蔵AIをはじめ、こうした課題を解決するためのソリューションが多数用意されています。

HCLSoftwareのクラウドおよびクラウドネイティブプラットフォーム（HCL AppScan on CloudおよびHCL AppScan 360°）の両方にFix Groupsが追加されたことで、トリアージと修復の時間が大幅に改善されました。

HCL AppScan がサポートする 3 種類の修正グループ

• 共通修正ポイント - この修正グループは、.NetやJavaのようなコンパイル済みの言語で、静的スキャナがデータ・フロー解析を実行してトレース結果を生成する場合に適用されます。この修正グループは、トレースが共通のノードを介して流れる同じ脆弱性タイプのすべての発見を組み合わせます。その共通ノードの問題を修正することで、この修正グループ内のすべての発見が解決される。

• 共通 API - 共通APIグループは、プロジェクト全体で使用されている特定のAPIに関連するすべての発見を集める。これらの問題は、別のAPIを使用するか、元のAPIの使用方法を変更することで、グループとしてまとめて解決できます。

• 共通オープンソース - オープンソースグループは、脆弱性のあるライブラリに関連するすべての問題を表示します。ライブラリの脆弱性が特定されると、関連するすべての問題は、ライブラリを更新するか変更することで、グループとして修正できます。

異なる修正グループの使用方法

修正グループのメインビュー

新しい「修正グループ」ビューには、優先順位付けプロセスにおいて修正グループの作業がどの程度効率的になるかを理解するための 2 つの KPI があります。実行される修復タスクの総数、およびそれらのタスクに関連するグループで見つかった問題の総数です。

新しい修正グループのデザインでは、UIが改善され、グリッドが表示されるようになりました。列は、修正グループのタイプ、重大度、ポリシーなどで並べ替えられます。

このレビューで行を選択すると、修正グループの詳細ドロワーが開き、複数のコメントを追加したり、各修正グループの監査を表示したりできます。

修正グループの課題

修正グループの課題ビューが更新され、各グループに関連する課題を確認できるようになりました。詳細は画面上部に表示され、コメントを表示または追加できます。修正グループのissueの表は、各修正グループのタイプに関連する列で再編成されました。例えば、共通修正ポイントではソース、シンク、ファイル名が、共通APIではコンテキストとファイル名が、オープンソースCVEでは場所が表示されます。

すでにHCL AppScan on CloudまたはHCL AppScan 360°を静的解析に使用している場合は、Fix Groupsを試してみてください。

HCL AppScan SASTをまだご利用でない場合は、無料トライアルをご利用いただき、この強力なテクノロジーがお客様のアプリケーション・セキュリティをどのように変革できるかをご確認ください。

• HCL AppScan on Cloud の詳細
• HCL AppScan 360°の詳細

2023/12/28 - 読み終える時間: ~1 分

HCLSoftware の各種製品を紹介する日経 XTECH Special のページを公開しました。HCL Notes/Domino、HCL AppScan、HCL BigFix、HCL Volt MX など各種製品や事例などがまとめられています。

Fueling the Digital+ Economy Digitalを超えて、「Digital +」 へ - 日経クロステック Special

2023/12/27 - 読み終える時間: 2 分

HCL AppScan 10.4.0 Delivers Greater Speed, Accuracy, and Automation for Customers の翻訳版です。

HCL AppScan 10.4.0: より高速、高精度、自動化をお客様に提供

2023年12月13日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

アプリケーション・セキュリティ・テストの自動化、スキャン速度、精度の向上は、HCL AppScan 10.4.0 のハイライトのほんの一部に過ぎません。

HCL AppScan Standard、Enterprise、Source向けのこの新リリースは、ソフトウェア開発ライフサイクルのあらゆる段階において、アプリケーションの脆弱性をピンポイントで特定し、迅速に修復するための一連のテクノロジー（SAST、DAST、IAST、SCA、API）により、開発者、DevOps、セキュリティチームに力を与えます。

バージョン10.4.0 のリリースにより、オンプレミスのアプリケーション・セキュリティ・テスト・ソリューションを使用している顧客は、脆弱性のあるサードパーティ・コンポーネントの最新のCVEアップデート、複数のシークレット・スキャン設定オプション、コンプライアンス・レポートの増加リストにアクセスできるようになります。

スキャン時間の短縮、修復の迅速化、精度の向上

HCL AppScan StandardとEnterprise のバージョン10.4.0 では、IAST Total による DAST スキャンが強化され、スキャンと修復が高速化され、より正確な結果が得られるようになりました。

• スキャン時間 - IAST サブスクリプションをご契約のお客様は、OS、フレームワーク、プラットフォーム、サーバーなどを特定することで、DAST スキャン設定を改善し、スキャン範囲を縮小し、不要なテストを排除して時間を節約することができます。

• 修復 - HCL AppScan DAST は IAST Total を活用して、検出された脆弱性のコールスタックを提供することもできます。この情報により、アプリケーション・コンポーネント、パラメータ、エンドポイントなどに対するより深い洞察が可能になり、より迅速なトリアージと修復に役立つ正確な脆弱性の場所を検出します。

• 正確性 - HCL AppScan IAST Total は、お客様のランタイム環境内で実行され、スキャン・コンポーネントに関するより深い知識を提供します。アプリケーションのバックエンドだけでなく、使用されているコンポーネントに対する洞察が深まり、その結果、スキャン範囲が広がり、より正確な結果が得られます。

脆弱なサードパーティコンポーネントの検出

Digital+ Economy が急速に進む今日、ソフトウェアのセキュリティを完全に確保するには、どのサードパーティ製コンポーネントに対処すべき脆弱性があるかを把握する必要があります。HCL AppScan のお客様は、サードパーティ製コンポーネントに関連する最新の CVE アップデートにアクセスするために、四半期ごとのリリースを待つ必要がなくなりました。バージョン10.4.0 では、このリストは継続的に更新されるため、パッチが利用可能になり次第、中央サーバーからアップロードすることができます。

HCL AppScan Enterprise および Standard におけるレポートの改善

HCL AppScan Enterpriseバージョン10.4.0 では、スキャンされたすべてのURLを一覧表示するレポートが追加され、スキャンカバレッジを測定する機能が改善されました。さらに、HCL AppScan Enterprise と HCL AppScan Standard の両方に、新規および更新された規制コンプライアンスレポートが含まれます。

新しいレポート

• [SA] Protection of Personal Information Act (PoPIA)

更新されたレポート

• [US] The Federal Risk and Authorization Management Program (FedRAMP)
• [US] DISA's Application Security and Development STIG, V5R2
• [US] Federal Information Security Modernization Act (FISMA)

HCL AppScan Source における機密スキャンの機能強化

進化し続けるサイバーセキュリティの世界では、常に先を行くためには継続的なイノベーションが求められます。HCL AppScan Source バージョン 10.4.0 では、自動化プロセスを合理化しながら、企業が防御を強化できるようにすることを目的としたさまざまなアップグレードが導入されています。

主なハイライトの1つに、強化されたシークレットスキャナーがあり、HCL AppScan on Cloudで利用可能なオプションと同様のオプションをユーザーに提供します。特に、ユーザーはシークレットスキャンを単独で、またはSASTスキャンと並行して同時処理の一部として実行できるようになりました。

GitLabとGitHubにおける自動化の改善

HCL AppScan Sourceバージョン10.4.0 では、自動化機能も改善され、使いやすさと効率性の新たな基準を打ち立てました。ユーザーはGitLabとGitHubのスキャンワークフローの例にアクセスできるようになり、開発パイプラインへのセキュリティチェックの統合が簡素化されました。Source CLI も大幅に強化され、よりスムーズな自動化を実現した。スキャンを開始する前にライセンスが利用可能になるのを待つ機能を導入することで、CLIは利用できないライセンスによる潜在的な障害を排除し、より信頼性が高く、手間のかからない自動化プロセスを提供する。

HCL AppScan 10.4.0 に含まれる幅広いアップデートはすべて、業界最高のセキュリティテストおよび管理ツールの構築に重点を置き、お客様を第一に考えた積極的な技術革新ロードマップの重要な構成要素です。

オンプレミスのアプリケーション・セキュリティ・ソリューションや、HCLSoftware の主力クラウド製品である HCL AppScan on Cloud（無料トライアルあり）、クラウドネイティブ製品であるHCL AppScan 360の詳細については、HCL AppScanのオンラインサイトをご覧ください。

2023/12/9 - 読み終える時間: 2 分

HCLSoftware Named a Strong Performer in The Forrester Wave™ - Static Application Security Testing, Q3 2023 の翻訳版です。

HCLSoftware が The Forrester Wave™ - Static Application Security Testing, Q3 2023 において強力なパフォーマーに選出

2023年12月5日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

2021年以降のスタティック・アプリケーション・セキュリティ・テスト（SAST）に関する最新のForrester Wave（フォレスター・ウェーブ）レポートにおいて、HCL AppScanのアプリケーション・セキュリティ・テスト・ソリューションのポートフォリオは、SAST分野のトップベンダーの中で強力なパフォーマーとして評価されました。この評価は、今日のペースの速いデジタル＋エコノミーにおいて、開発者に力を与え、コードセキュリティを強化するトップレベルのソリューションを提供するというHCLSoftwareの揺るぎないコミットメントを強調するものだと考えています。

Forrester Wave レポートは、静的アプリケーション・セキュリティ・テストの重要なガイドとして、市場のトップ・ベンダーの包括的な評価を提供します。今年のレポートでは、コード開発と配備を加速させている多くの業界トレンドに焦点を当てています。

• クラウド、コンテナ、マイクロサービス、DevOps、ローコードプラットフォームなど、新しく出現した技術の普及
• 開発ワークフローへのセキュリティの統合
• 修復プロセスの自動化

HCL AppScanのポートフォリオには、SASTだけでなく、DAST、IAST、SCAソリューションも含まれています。これらはすべてForrester社のレポートに引用されており、開発者のワークフローにシームレスに統合する堅牢なツール群を提供するというHCLSoftwareの貢献を反映しています。HCLSoftwareは、開発者のベロシティを優先し、コードリポジトリ、ビルドツール、CI/CDパイプライン、IDEとのネイティブな統合を通じて、迅速で実用的な結果を提供することに誇りを持っています。

Forrester社のレポートによると、「HCL AppScanは、Rust、Dart、ABAPを含む言語とフレームワークを最も多くカバーしています。さらに、HCL AppScanの "独自言語の持ち込み "機能は、顧客のあらゆるニーズに対応します。

HCL AppScanは、SASTのトップベンダーにランクインしたことに加え、多くの特定の基準で最高得点を獲得しました。

• DevSecOpsワークフロー（評価対象の全ベンダーの中で最高スコア）
• ルールとポリシーの管理（上位2ベンダーのスコア）
• カバレッジの広さ（上位3社のスコア）
• パートナーエコシステム（ベンダースコア上位3社）
• サポートサービスとオファリング（上位3社のスコア）

この詳細なレポートでは、HCL AppScanを際立たせる重要な要素を取り上げています。HCL AppScanは、グローバルに展開し、クラウドネイティブの統一された導入モデルに関する経験を有しているため、グローバルに事業を展開する企業にとって戦略的な選択肢となります。特にアジア太平洋地域の企業にとって、評価においてHCL AppScanを考慮することは単なる選択ではなく、デジタル資産の将来性を見据えた戦略的な動きです。

HCL AppScanは、単なるセキュリティ上の弱点の特定にとどまらず、コード例を提供し、自動修正にジェネレーティブAIを活用することで、迅速な解決を促進します。

HCL AppScanは、HCLSoftwareがストロングパフォーマーに指定されたことを誇りに思います。HCLSoftwareのロードマップは業界のベンチマークに沿ったものであり、スピード、カバレッジ、精度、レポート、結果の相関性において継続的な改善をお約束します。

レポート全文をダウンロードして、すべての調査結果をご覧ください。

HCL AppScanのアプリケーション・セキュリティ・テスト・ソリューション・スイート全体の詳細については、HCLSoftware のウェブサイトをご覧ください。また、フリートライアルもお試しください。

2023/12/6 - 読み終える時間: ~1 分

Achieve Enhanced DAST Scan Coverage and Accuracy with IAST の翻訳版です。

HCL AppScan: IAST による DAST スキャンの網羅性と精度の向上

2023年12月5日

著者: Ayan Som / Senior Product Manager, HCL AppScan

今日のペースの速いデジタル環境では、堅牢なウェブ・アプリケーション・セキュリティ・テストの役割がこれまで以上に重要になっています。HCL AppScan DAST（Dynamic Application Security Testing）は、ウェブアプリケーション内の脆弱性を特定するための主要なツールとして広く認知されています。

ほとんどの最新アプリケーションは、修正されなければ重大なセキュリティ・リスクとなり得る様々な形態の脆弱性にさらされています。エンジニアリング・チームがこれらの問題を認識すると、多くの場合、その根本原因を突き止め、修正するために多くの時間を費やさなければなりません。さらに、業界全体のDASTユーザーは、ツールが脆弱性を検索する際のスキャン時間の長さに悩まされています。

IAST Total（Interactive Application Security testing）によるDASTスキャンの強化は、このような課題に大きく役立ち、スキャンと修復の時間を改善し、さらに多くの脆弱性を発見する新機能です。この新機能は、HCL AppScanバージョン10.4.0とHCL AppScan on Cloudの両方に搭載されています。

IAST のサブスクリプションを契約しているチームであれば、API Discovery や Auto Issue Correlation のような多数の IAST 機能とともに、この新機能を有効にできます。

どのように IAST Total が AppScan DAST の機能を強化するか

• スキャン時間の短縮
• より迅速な修復
• より多くの脆弱性を発見

スキャン時間の短縮

HCL AppScan は、DAST スキャンの様々な側面を自動的に構成する様々な方法を提供します。

IAST Total は、OS、フレームワーク、プラットフォーム、サーバーなどを特定するためのより包括的な機能を提供するようになり、自動設定をさらに改善し、不要なテストを排除することでスキャン範囲を縮小します。その結果、より正確で迅速なスキャンが可能になりました。

HCL AppScanの調査によると、HCL AppScan DASTにIAST Totalを搭載した場合、スキャンの実行が20%速くなることがわかりました。

より迅速なトリアージと修復

HCL AppScan DASTはIAST Totalを活用して、検出された脆弱性のコールスタックを提供することもできます。この機能は、以前はIASTまたはSAST（静的アプリケーション・セキュリティ・テスト）の結果でのみ利用可能でした。

この情報により、アプリケーション・コンポーネント、パラメータ、エンドポイントなどに対するより深い洞察が可能になり、より迅速なトリアージと修復に役立つ正確な脆弱性の位置を検出します。

より多くの脆弱性を検出

AppScan IAST Totalはお客様のランタイム環境内で実行され、スキャン・コンポーネントに関するより深い知識を提供します。使用されているコンポーネントだけでなく、アプリケーションのバックエンドに対するより深い洞察を提供し、その結果、より深いスキャンカバレッジとより正確な結果が得られます。

今後の展望

HCL AppScan は常に業界をリードする製品の改善に取り組んでいます。IAST Total の将来的な機能は、スキャン範囲と精度をさらに向上させます。今後のリリースで予定されている機能の中には、パス・パラメータと隠しパラメータの自動検出があります。この機能により、不要なテストが排除されると同時に、DASTエンジンにテストすべき関連性の高いパラメータが供給されるようになります。

アプリケーション・セキュリティ・テスト・ソリューションのHCL AppScanスイート全体に関する詳細情報を入手し、今すぐ無料トライアルにお申し込みください。

2023/11/29 - 読み終える時間: 3 分

Strengthen Your AWS Security with a Comprehensive Application Scanning Integration from HCL AppScan の翻訳版です。

HCL AppScan の包括的なアプリケーションスキャン統合による AWS セキュリティの強化

2023年11月28日

著者: Parimal Sureshagarkhed / Lead Software Engineering

Equifax（米国3大信用情報機関のひとつ）で最近起きた大規模なデータ流出事件では、1億4700万人の米国人の氏名、社会保障番号、生年月日、住所、運転免許証番号などの個人情報が漏洩した。これは米国人口のほぼ半分に相当する。この情報漏えい事件やそれに類する事件は広範囲に影響を及ぼし、ウェブ・アプリケーションの開発にセキュリティを組み込むことの重要性を明確に示している。

デジタルトランスフォーメーションの時代には、このような開発の多くがクラウドに移行し、クラウドコンピューティングは急速にすべてのビジネス運営に欠かせないものとなっている。Amazon Web Services（AWS）は、主要なクラウドサービスプロバイダーの1つであり、アプリケーションやサービスをホスティングするための堅牢なインフラを提供しています。

AWS（Amazon Web Services）を使用している人向けに、HCL AppScanは現在、プラットフォームを離れることなく包括的なテストをDevOpsサイクルに統合できるソリューションを提供しています。Jenkins、Azure DevOps、Bambooなどとの統合と同様に、AWSとの統合は、Webアプリケーションの脆弱性を特定して緩和する際に効率的なワークストリームを提供します。

HCL AppScanとAWSを統合するメリット

* 継続的なセキュリティ

• AWSは動的なスケーリングと頻繁なアップデートを可能にするため、継続的なセキュリティテストを維持することが不可欠です。HCL AppScanは、AWS CodeBuild/CodePipelineに統合することができ、デプロイされるすべての変更がセキュリティスキャンを受けることを保証し、脆弱性が隙間をすり抜けるリスクを低減します。

* カスタマイズ可能なポリシー

• HCL AppScanでは、組織固有の義務やコンプライアンス基準に基づいてカスタムセキュリティポリシーを定義できます。これらのポリシーは、AWSのベストプラクティスに合わせて調整することができ、全体的なセキュリティ体制を強化します。

* カスタマイズ可能なポリシー

• HCL AppScanでは、組織固有の義務やコンプライアンス基準に基づいてカスタムセキュリティポリシーを定義できます。これらのポリシーは、AWSのベストプラクティスに合わせて調整することができ、全体的なセキュリティ体制を強化します。

* 実用的な洞察

• HCL AppScanは、報告された問題に対する改善ガイダンスとともにスキャン問題を含む包括的で詳細なセキュリティテストレポートを提供します。サンプルレポートをご覧いただけます。html、pdf、xml、csvなど、さまざまなレポート形式を構成できます。

* 失敗したビルド

• 多くの組織には、満たす必要のあるセキュリティ・コンプライアンス基準があります。ビルド失敗基準は、アプリケーションがこれらの標準に準拠していることを保証し、セキュリティリスクと潜在的な法的影響を低減します。発見されたセキュリティ問題によって、アプリケーションを本番環境に条件付きで配備するという要件がある場合、 脆弱性の深刻度のカウントに基づいて、ビルドを失敗するように構成できます。失敗条件が満たされた場合、以下のメッセージが表示されます： The number of security results exceeds the specified threshold. (セキュリティ結果の数が指定されたしきい値を超えました)。

• オプションで、コンプライアンスポリシーが満たされていない場合にビルドを失敗させ、以下のメッセージを表示されます： Scan result contains non-compliant issues with respect to the policies associated with the selected application. (スキャン結果には、選択したアプリケーションに関連するポリシーに準拠していない問題が含まれています)。

• 明確なルールと閾値を定義することで、Web アプリケーションの完全性を維持し、潜在的なセキュリティ侵害から保護できます。そうすることで、脆弱性に積極的に対処し、アプリケーションのセキュリティ体制を強化することができるようになります。

* テストの最適化

• HCL AppScanは、問題カバレッジの損失を最小限に抑えつつ、高速スキャンを実現するインテリジェントなテスト・フィルタリングを提供します。これは統計的分析に基づいており、特定のテスト（または特定のテストバリアント） をフィルタリングして、より一般的で深刻な、あるいは重要な脆弱性だけを特定する短いスキャンを実行します。スピードと問題カバレッジのバランスを選択することで、スキャン時間を短縮できます。テストの最適化についてはこちらをご覧ください。

* プライベートサイトスキャン

• HCL AppScan Presence を使用して、インターネットからアクセスできないサイトをスキャンできます。手順については AppScan Presence を参照してください。また、プライベート・サイト・スキャンの under the hood (中身の詳細の意味) での動作の詳細については、プライベート・サイト・スキャンを理解するを参照してください。

* 問題のマイグレーション

• HCL AppScan Issue Management Gateway Serviceを使用して、セキュリティ・スキャン中に作成された課題をHCL AppScan on CloudからJira、Azure、Rational Team Concertなどの他の課題管理アプリケーションに移行できます。

統合方法

新しく開発されたHCL AppScanコマンドラインユーティリティ（CLI）を使えば統合は簡単です。CLIはHCL OpenSource GitHub Repositoryで入手可能で、AWS CodebuildやCode Pipeline、その他のサードパーティツールとの統合にも活用できます (詳細はこちら)。1.0リリースでは、CLIツールを使用してDAST（Dynamic Application Security Testing）スキャンのみがサポートされています。CLIの今後のリリースでは、より多くの機能が追加される予定です。統合は非常に簡単でシームレスであり、CLIは広範なDASTテストに使用できる複数の機能をサポートしています。

アプリケーション・セキュリティ・テスト・ソリューションのHCL AppScanスイート全体の詳細情報を入手するか、HCL AppScan On Cloudの30日間無料トライアルを今すぐ開始してください。