2024/10/21 - 読み終える時間: ~1 分

Securing Your Software Supply Chain: Key Strategies from Our New Whitepaper の翻訳版です。

ソフトウェアサプライチェーンのセキュリティ保護: 主要戦略の新しいホワイト ペーパー

2024年10月8日

著者: Ryley Robinson / Project Marketing Manager

ソフトウェア サプライ チェーンの複雑さは急速に高まっています。組織がサプライ チェーンへの依存度を高めるにつれて、新たなサイバー セキュリティの課題に直面します。これらのサプライ チェーンを保護することは、ソフトウェア製品の整合性と信頼性を維持するために不可欠です。

当社の最新のホワイトペーパー「ソフトウェア サプライ チェーンのセキュリティ: ソフトウェア開発における整合性と信頼性の確保」では、これらの差し迫った懸念についての洞察を提供し、急速に進化するこの環境で組織がリスクを軽減するためのロードマップを提供しています。

リスクの理解

現代のソフトウェア サプライ チェーンは、サードパーティコンポーネント、推移的な依存関係、オープン ソース ツールの複雑なネットワークです。これらの要素は開発を加速し、コストを削減しますが、重大な脆弱性ももたらします。2024 年の米国技術動向レポートによると、過去 1 年間に米国企業の 61% がソフトウェア サプライ チェーンの脅威による直接的な影響を受けています。

これらのリスクと戦うために、包括的なセキュリティ戦略は、ソフトウェア開発ライフサイクル（SDLC）全体に及ぶ必要があります。この戦略には、厳密なコードレビュー、自動テスト、およびサプライチェーン内のすべてのコンポーネントを検証および認証するための継続的な監視が含まれます。国立標準技術研究所（NIST）ガイドラインやソフトウェア材料法案（SBOM）などの確立された基準とフレームワークを順守し、セキュリティプロトコルをさらに強化し、組織が新たな脅威よりも先を行くのを支援します。

ただし、技術的な対策だけでは十分ではありません。組織内で積極的なセキュリティ文化を育むことが不可欠です。これには、すべての関係者間での責任の共有を促進し、継続的な改善に取り組むことが含まれます。セキュリティを組織文化に組み込むことで、企業はソフトウェア サプライ チェーンをより適切に保護し、財務資産と評判資産の両方に対するリスクを最小限に抑えられます。

ホワイト ペーパーの全文

複雑なソフトウェア サプライ チェーンへの依存度が高まり続けるにつれて、包括的かつ積極的なセキュリティ アプローチの必要性も高まります。当社のホワイト ペーパーは、サプライ チェーンの脅威に対する防御を強化したい組織にとって貴重な洞察と実用的な推奨事項を提供します。

詳細については、ホワイト ペーパーの全文をダウンロードして、今すぐソフトウェア サプライ チェーンのセキュリティ保護を開始してください。

2024/10/16 - 読み終える時間: 2 分

New Licensing for HCL AppScan: Migrate to 10.7.0+ の翻訳版です。

重要なお知らせ: HCL AppScan は 2025 年 6 月にライセンス変更を実施します

2024年10月8日

著者: Ayan Som / Senior Product Manager, HCL AppScan

HCL AppScan は、アプリケーションセキュリティテストの業界リーダーとして広く認められています。HCLSoftware のプラットフォームとソリューションは、DAST、SAST、IAST、SCA、SSCS などの強力なテクノロジスイートを使用して開発者、DevOps、セキュリティチームを支援し、アプリケーションと API の脆弱性を特定して、ソフトウェア開発ライフサイクルのあらゆる段階で迅速に修復できるようにします。

当社の製品とサービスを強化する継続的な取り組みの一環として、新しいバージョンの更新、新しい配布およびライセンス管理プラットフォーム、および現在のライセンス システム (バージョン 10.0.0?10.6.0*) を使用したバージョンのサポート終了のリリースにより、すべてのソリューションで機能強化を図る 12 か月のロードマップを発表できることを嬉しく思います。

オンプレミス製品の新しいライセンス ロードマップ

(HCL AppScan Standard、HCL AppScan Enterprise、HCL AppScan Source)

HCL AppScan は、お客様が最新のライセンスを選択し、不正使用のリスクを軽減し、最新のセキュリティ コンプライアンスを確保できる新しいプラットフォームで、配布とライセンス管理を更新しています。

お客様を新しい My HCLSoftware (MHS) プラットフォームにスムーズに移行できるように、機能のバージョンアップと新しいライセンス モデルを含むバージョン アップデートを多数提供します。現在の配布およびライセンス管理プラットフォームは、2025 年 6 月 30 日にサポートが終了します。

お客様は、次の 2 つのフェーズのいずれかでこの移行を利用できます。

中間フェーズ

バージョン 10.7.0 リリース (2024 年 10 月に予定) にアップグレードするお客様には、2025 年 6 月 30 日までサポートが保証される暫定ライセンス機能が組み込まれます。この中間フェーズ オプションを選択するお客様は、このバージョンのサポート終了日までに、長期ライセンス機能を組み込んだ後のバージョンに再度アップグレードする必要があります。

長期フェーズ

配布およびライセンス管理用の新しい My HCLSoftware (MHS) プラットフォームは、HCL AppScan Standard、HCL AppScan Enterprise、および HCL AppScan Source の後のバージョンで更新されます。これらのバージョンには、MHS プラットフォームを通じて有効になる長期ライセンス機能が組み込まれ、2025 年 6 月 30 日までにリリースされ、利用可能になります。

HCLSoftware は、この移行期間中、必要に応じて追加情報と手順を提供します。

オンプレミスのお客様の次のステップ

お客様は、2025 年 6 月 29 日までに HCL AppScan 10.7.0 以降に移行する必要があります。

中間ソリューション (バージョン 10.7.0 以降) にアップグレードするか、配布とライセンス管理用の新しい MHS プラットフォームを含むバージョンが 2025 年 6 月より前にリリースされるまで待つことができます。移行に十分な時間を確保するために、バージョン 10.7.0 以降が利用可能になり次第、移行を計画することをお勧めします。

ローカル ライセンス サーバー (LLS) を使用しているお客様は、2025 年 6 月末までに将来のバージョンにアップグレードするときに、新しい LLS サーバーをインストールする必要があります。

HCL AppScan バージョン 10.0.0?10.6.0 のサポートは、2025 年 6 月 30 日に終了します。詳細については、HCLSoftware 製品ライフサイクル ページをご覧ください。

クラウドおよびクラウドネイティブ製品に対する新しいライセンスの影響

HCL AppScan on Cloud (ASoC) および HCL AppScan 360° を使用しているお客様も、配布およびライセンス管理のために新しい MHS プラットフォームに移行されます。

マネージド SaaS サービスである ASoC の場合、移行はサービスの中断なしに継続的デリバリー サイクルの一環として行われます。

既存のライセンスで HCL AppScan 360° を現在使用しているユーザーに対しても、サービスが終了することはありません。2025 年第 2 四半期から、新しいライセンスまたは資格を要求するお客様は、MHS プラットフォームをサポートするバージョンの HCL AppScan 360° に移行されます。

HCL AppScan は、これらの変更を可能な限りスムーズに行うことに尽力しています。当社の製品とサービスに対するお客様の継続的な信頼に感謝いたします。

• 2025 年 6 月 30 日にサポートが終了するすべてのバージョンのリスト: 10.0.1、10.0.2、10.0.3、10.0.4、10.0.5、10.0.6、10.0.7、10.0.8、10.1.x、10.2.x、10.3.x、10.4.x、10.5.x、10.6.x

2024/10/15 - 読み終える時間: 2 分

The Evolving Role of GenAI in Software Development and Application Security の翻訳版です。

進化するGenAI - ソフトウェアの開発とセキュリティにおける役割

2024年9月27日

著者: Ryley Robinson / Project Marketing Manager

ジェネレーティブ AI (GenAI) は、現代の組織で最も話題になっている最先端のテクノロジの 1 つです。医療、エンターテイメント、金融、ソフトウェア開発など、さまざまな分野で適用されています。

ソフトウェア開発の具体的なケースでは、GenAI はコードの作成を支援するために開発者に急速に採用されています。しかし、セキュリティソフトウェア開発ライフサイクル (SDLC) の組み込みに対する関心が高まるにつれて、GenAI はアプリケーションセキュリティのテスト、トリアージ、修復の分野でもますます重要な役割を果たし始めています。

ソフトウェア開発における GenAI の重要性

GenAI は、既存のデータ セットから学習して新しいコンテンツを作成する、人工知能の高度な分野です。高度なニューラル ネットワークとアルゴリズムを利用して、GenAI は人間の創造性をエミュレートし、多様な出力を生成します。パターン マッチングに優れており、大規模なデータ コレクションの共通点を識別できます。組織は GenAI と基盤となる大規模言語モデル (LLM) を活用して膨大な量のデータを合理化し、人間にとってよりアクセスしやすく理解しやすいものにしています。

ソフトウェア エンジニアと開発者は、アプリケーション コードの作成に GenAI コード アシスタントを使用するケースが増えています。これらのツールのユーザーは、必要なコードの種類をプロンプト (要求) するだけで、GenAI が応答を生成します。GenAI は、一般的な定型コードとより複雑な関数の両方を作成できることが実証されており、開発者はより高度な設計と問題解決に集中できます。

GenAI とアプリケーションセキュリティ

アプリケーションセキュリティ テストに関しては、大量のデータ (この場合はコード) を精査する GenAI の機能により、パターンと異常を識別できます。セキュリティにおけるより効果的な用途の 1 つは、ノイズ (誤検知) を減らし、人間のセキュリティ専門家が時間と注意を集中すべきコードの問題を優先することです。

GenAI には、人間のプロンプトに基づいてテスト ケースを自動的に生成して実行する機能があります。また、人間のテスターが見落としがちなエッジケースを含む幅広い Web トラフィック シナリオをシミュレートし、開発サイクルの早い段階でバグや脆弱性を特定することもできます。

さらに、GenAI は複数のソースからのデータを統合してデバッグを支援し、開発者が懸念事項に集中できるようにします。これらすべてにより、ソフトウェアの信頼性が向上し、手動テストと修復に関連するコストと時間が削減されます。

その他のユースケースには、GenAI を使用してシステムの疑わしいアクティビティを継続的に監視することで強化された脅威検出と対応が含まれます。過去のセキュリティ インシデントから学習する機能により、検出アルゴリズムを改良し、潜在的な脅威をより正確に予測できます。GenAI は監査の自動化にも使用でき、ソフトウェアが規制基準に準拠していることを保証し、非準拠とそれに伴う罰則のリスクを最小限に抑えます。

GenAI に関する注意事項

GenAI は多くの強みを持っていますが、ソフトウェア開発やアプリケーションセキュリティでの使用には無視できない懸念事項が伴い、人間がコードや GenAI が作成する修正推奨事項を監査する必要性が依然としてあります。コードの作成やセキュリティ修正の推奨を行う際、GenAI は十分な情報がない場合でも、基盤となる LLM を使用して回答を生成します。このため、不正確または意味不明な「幻覚 (ハルシネーション) 」の応答が返されることがあります。

監視がなければ、提供されたコードが安全であることや、修正推奨事項によって脆弱性が修正されることも保証されません。結果が意図したとおりに機能しない可能性があり、新しい脆弱性が生じる可能性があります。GenAI の結果も一貫性がない場合があります。これは、使用されるプロンプトや Gen AI モデルのトレーニングに使用されたデータの品質に依存するためです。

結論

GenAI が進化し続けるにつれて、ソフトウェア配信とセキュリティにおけるその役割はますます重要になります。 GenAI とセキュリティ ツールの統合により、よりインテリジェントで自動化されたセキュリティ対策が可能になり、ますます複雑化するデジタル環境におけるアプリケーションを強力に保護できるようになります。これにより、組織はより自信を持って安全なソフトウェアを構築および導入できるようになり、リスクを軽減しながらイノベーションを促進できます。

HCL AppScan がアプリケーションのセキュリティをどのように向上させるか、また当社の革新的なソリューションについて詳しくは、HCLSoftware の Web サイトをご覧ください。

2024/9/2 - 読み終える時間: ~1 分

AppScan on Cloud (ASoC) の 北米データセンター、および、EUデータセンター において、IP アドレスの変更と計画停止が予定されておりますのでご注意ください。

北米データセンターのメンテナンスのための計画停止が予定されています。(2024年9月14～15日)
→ Announcement: ASoC scheduled downtime on September 14 to September 15, 2024

北米データセンター、EUデータセンターの IP アドレスが変更されました。
ファイヤーウォールでの IP アドレスの制限などを実施しているお客様は変更をお願いいたします。
→ Announcement: AppScan on Cloud IP ranges and EU domain changes

2024/8/22 - 読み終える時間: 2 分

HCL AppScan Revolutionizes Software Supply Chain Security の翻訳版です。

HCL AppScan がソフトウェア サプライ チェーンのセキュリティを変革

2024年5月6日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

イノベーションと俊敏性が成功の鍵となる今日のDigital+ Economyでは、ソフトウェア サプライ チェーン全体のセキュリティを確保することがこれまで以上に重要になっています。多大な損失をもたらす、深刻なソフトウェア サプライ チェーン攻撃に対応すべく、組織はリスク管理へのアプローチ全体の再検討を迫られています。ビジネス戦略が継続的なエンドツーエンドのアプリケーションセキュリティに移行する中、HCLSoftware は OX Security と提携して HCL AppScan Supply Chain Security をリリースし、お客様にさらなる価値を提供します。

アクティブ アプリケーションセキュリティ ポスチャ管理

HCL AppScan Supply Chain Security のお客様は、アクティブ アプリケーションセキュリティ ポスチャ管理 (Active ASPM) のメリットを享受できるようになりました。これは、組織がソフトウェア ランドスケープ全体でプロアクティブなセキュリティ ポスチャを維持できるようにする先進的なアプローチです。Active ASPM は、業界トップレベルのアプリケーションセキュリティ テストをポスチャ管理およびソフトウェア サプライ チェーン セキュリティと統合します。この完全なパッケージで、すべてのリスク要因を完全に可視化し、記録的な速さで脆弱性をトリアージして修復できる詳細な評価ツールが提供されます。

パイプライン部品表 (PBOM) の導入

この新しいサービスの基盤の 1 つは、OX Security 独自のパイプライン部品表 (PBOM) テクノロジーです。このテクノロジーは、コードからクラウドまでの史上最高の可視性と、クラウドからコードまでの追跡可能性を提供します。PBOM は、すべてのバージョン系統、SLSA.dev、SaasBOM、セキュリティ ツールの結果、ビルド ハッシュなど、ソフトウェアが経たもの全ての動的リストです。コードの最初の行から始まり、リリースまでずっと続き、その過程で脆弱性を特定します。

PBOM は、すべてのビルド コンポーネントのインベントリを提供する、より従来型のソフトウェア部品表 (SBOM) と併せて提供されます。これらのデータ収集手段を組み合わせることで、組織は開発ライフサイクルの早い段階でセキュリティ リスクを特定して軽減し、下流の運用への潜在的な影響を最小限に抑えられます。

単一の画面

HCL AppScan Supply Chain Security では、継続的なアプリケーションセキュリティ カバレッジを単一の画面で提供する集中型プラットフォームをご利用いただけます。すべてのスキャンとデータ収集は、この中央地点からオーケストレーションすることができ、すべての結果を相関させ、まとめて評価できます。

HCL AppScan Supply Chain Security は、アプリケーションの構築に関係するリポジトリ、チーム、パッケージの検出も自動化し、組織にソフトウェア パイプライン全体にわたって資産を完全に可視化し、リスクを追跡できるようにします。

統合ソリューションは、環境、ビジネスの重要性や攻撃ベクトルなど、問題に寄与した、または問題によって影響を受けるすべての関連要因に基づいて各脆弱性のリスクを優先順位付けし、より迅速で効率的なトリアージを促進します。これにより、「重要」の定義に合う問題 (通常は問題全体の平均 3%) に集中でき、現在の負荷とセキュリティ負債を最大 97% まで大幅削減できます。

セキュリティのインサイトを単一ダッシュボードに統合することで、組織は意思決定プロセスを合理化し、新たな脅威に迅速に対応できます。

スキャン テクノロジーの完全なスイート

Active ASPM は、HCL AppScan on Cloud (SaaS ソリューション) が提供する正確で実用的なテスト結果を基盤としています。業界トップレベルのスキャン テクノロジースイート (SAST、DAST、SCA、IAST) が、ソースコードの詳細な分析、Web アプリケーションと API のテスト、オープンソースの検出、コンテナ スキャン、シークレット スキャンなどを提供します。

これらのツールは、幅広いセキュリティ カバレッジを提供し、ノイズや誤検出を減らして脆弱性を正確に特定するのに役立つ組み込み AI などの革新的な機能を備えています。すべての検出結果を一元化されたダッシュボードで管理することで、組織はトリアージと修復のプロセスを迅速化し、潜在的な脅威への露出を最小限に抑えられます。

自動化されたサプライ チェーンのセキュリティと修復

HCL AppScan Supply Chain Security は、結果を Open Software Supply Chain Attack Reference (OSC&R) フレームワークに自動的にマッピングします。これは、ソフトウェア サプライ チェーンのセキュリティを侵害するために敵が使用する攻撃手法、戦術、手順を理解するための初の且つ唯一のオープン フレームワークです。

「ノーコード ワークフロー自動化」により大幅に改善された修復支援も、組織に価値をもたらします。この機能により、DevOps チームと DevSecOps チームは、直感的なドラッグ アンド ドロップ インターフェイスを使って、直感的でカスタマイズ可能な対応計画をすばやく作成できます。コンテナ カバレッジにも拡張されるこのコード不要のワークフロー自動化により、カスタマイズされたワークフローの作成を簡素化し、チケット発行と通知を自動化し、セキュリティ問題が本番環境に及ぶのを防ぐためのきめ細かなポリシーを適用できます。

まとめ

HCL AppScan Supply Chain Security はソフトウェア セキュリティのパラダイム シフトを象徴し、今日のDigital+ Economyでの成功に必要な最先端のツールと機能を組織に提供します。HCL AppScan Supply Chain Security は、OX Security との提携により、テスト、評価、トリアージ、修復を既存の開発ワークフローとシームレスに統合して自動化し、組織にエンドツーエンドのアプリケーションセキュリティの可視性を提供、組織がリスクを効果的に管理し自信を持ってソフトウェアをリリースできるようにします。

HCL AppScan に問い合わせるか、Active ASPM のデモをご依頼ください。詳細については、HCLSoftware の Web サイトにアクセスしてください。

HCL AppScan について

HCL AppScan は、ソフトウェア開発ライフサイクル (SDLC) 全体を通じて組織が脆弱性を検出して修復するのに役立つ、アプリケーションセキュリティ テスト プラットフォーム、テクノロジー、およびサービスのスイートです。強力な静的、動的、インタラクティブ、オープンソースのスキャン エンジン (DAST、SAST、IAST、SCA、API) は、AI と機械学習機能を利用して、コード、Web アプリケーション、API、モバイル アプリケーション、コンテナ、オープンソース コンポーネントを迅速かつ正確にテストします。一元化されたダッシュボードが、可視性、監視、コンプライアンス ポリシー、レポートを提供します。HCL AppScan のスキャン エンジンは、セキュリティの専門研究者によって保守されており、最新のテクノロジ、脆弱性、攻撃ベクトルに合わせて継続的に更新されます。

OX Security について

OX Security は、初の Active ASPM プラットフォームでアプリケーションセキュリティ (AppSec) を再定義しています。このプラットフォームは、AppSec プラクティスを統合し、コードからクラウド、クラウドからコードまでのシームレスな可視性と追跡可能性を保証します。OX は、独自の Pipeline Bill of Material (PBOM) テクノロジと OSC&R フレームワークを活用して、ソフトウェア開発ライフサイクル全体にわたって包括的なセキュリティ カバレッジ、コンテキストに応じた優先順位付け、自動応答と修復を提供します。最近 Gartner Cool Vendor および SINET 16 Innovator として認められた OX は、数十のグローバル企業やテクノロジー先進企業から信頼されています。Checkpoint、McAfee、Microsoft、Salt Security、Capsule8 などのセキュリティ組織の業界ベテランのチームによって設立され、主導されている OX の Active ASPM プラットフォームは、単なる AppSec ソリューションではありません。組織が手動のアプリケーションセキュリティ プラクティスを排除するための第一歩を踏み出すことを可能にし、スケーラブルで安全な開発を可能にします。

2024/8/22 - 読み終える時間: 2 分

A Day of Speed and Indulgence: HCL AppScan : Ferrari Track Laps Experience の翻訳版です。

スピードと特別な喜びに満ちた1日: HCL AppScan フェラーリ トラックラップ エクスペリエンス

2024年8月21日

著者: Courtney Coleman / HCL

HCLSoftware は、フェラーリと提携できることを誇りに思っています。HCLSoftwareは、最も大切なクライアントの厳選されたグループをイタリアの中心部に派遣し、他にはない 1 日を体験する機会を得ました。それは、F1 のスリル、本格的なイタリア料理の豊かな味わい、そして当社の熟練した専門家による魅力的なプレゼンテーションを組み合わせた 1 日でした。マラネッロで企画されたイベントは、アドレナリン、優雅さ、そして忘れられない思い出がシームレスに融合したものでした。

フェラーリ エクスペリエンス: スピードと特別な喜び

HCLSoftwareの冒険は、マラネッロの絵のように美しい田園地帯にひっそりと佇むプライベート トラックから始まりました。クライアントが到着すると、本当に特別な体験が待っていることを知り、空気中に期待感が漂っていました。彼らを待っていたのは、ただのトラック デイではなく、フェラーリの最も象徴的なマシンを運転する一生に一度の体験でした。

興奮をさらに盛り上げるために、ゲストにはフェラーリのフォーミュラ 1 ドライバーも参加しました。スピードと精度の達人たちは、ヒントやストーリーを語るだけでなく、自らハンドルを握り、お客様に最高のドライブを体験してもらいました。F1 ドライバーは、これらの素晴らしい車の真のパワーと敏捷性を実証し、お客様一人ひとりを胸が高鳴るラップに導きました。

フェラーリの F1 カーでプロのレーサーに運転してもらうという純粋な爽快感は、言葉ではとても言い表せません。スピード、重力加速度、ドライバーがカーブを巧みに操る精度。誰もが満面の笑みを浮かべ、エンジンが冷めてからもずっとアドレナリンが湧き上がる、直感的な体験でした。

卓越した専門性と素晴らしい料理で彩られた夜

その日の興奮が最高潮に達した後、ゲストはマーケティング担当社長のダリオ デバルビエリから HCLSoftware についてさらに詳しく知るために参加しました。続いて、CIO の Colin Bell が HCL AppScan についてプレゼンテーションを行いました。アプリケーションセキュリティの重要性に関する情報が満載です。現在の市場統計や業界知識の豊富な歴史など、HCL AppScan の機能について、当社のチームは考えさせられる質問に喜んで答えました。HCL AppScan の最新開発には、拡張性とカスタマイズ性を考慮して設計された集中型ダッシュボードが含まれており、お客様と 1 対 1 でつながり、お客様の特定のニーズを理解できます。

その後、お客様は、マラネッロの料理の伝統の最高のものを紹介する 1 回ではなく 2 回の素晴らしい食事体験を楽しみました。

最初のディナーは、魅力的な Ristorante Cavallino で行われました。このレストランは、1950 年にエンツォ フェラーリが設立したオリジナルのレストランの壁の中でフェラーリの精神を模倣しています。このレストランは、フェラーリの価値観、つまりテクノロジーと職人技、品質とパフォーマンスの融合にインスピレーションを受けています。ゲストは、この地域の伝統的な味を祝うメニューを楽しみました。手打ちパスタからじっくり煮込んだ肉まで、すべての料理に温かいイタリアのおもてなしが添えられていました。親密な雰囲気と料理の豊かで素朴な風味が組み合わさり、その日の忙しさに見事に調和しました。

リストランテ ラ ガッツェッラでの 2 回目のディナーは、革新と洗練さが詰まったエレガントな体験でした。お客様は、最高のエミリア料理の伝統の味と香りを生かした本物の料理を堪能しました。各料理は五感を喜ばせるよう細心の注意を払って作られていました。厳選された上質なイタリアワインとともに、その夜はイタリアが誇る料理の芸術性を真に称えるものでした。

忘れられない 1 日

体験が終わりに近づくにつれ、このイベントは単なる催しに留まらない、綿密に企画されたお客様の記憶に今後何年も残る特別な喜びに満ちた1日であったことが明らかになりました。トラックのスリルからマラネッロの素晴らしい料理まで、すべての瞬間が、業界のトップ プロフェッショナルに囲まれた非日常を味わえるように設計されていました。

HCLSoftware は、お客様をフェラーリの世界に近づけるだけでなく、パートナーシップから得られる価値に対するお客様の理解を深める体験を創出できたことを誇りに思います。HCL AppScan は、迅速なイノベーションと業界をリードするテクノロジーを目指しています。HCLSoftware は、特別な喜びと冒険が完璧に調和する、このような忘れられない瞬間を今後も作り出していきたいと考えています。

参加に興味がありますか? HCL AppScan が 1 ラップずつビジネスの成功を加速させる方法について、ぜひお話ししましょう。今すぐデモをスケジュールしてください。

2024/8/21 - 読み終える時間: 4 分

Streamlining Security: Integrating HCL AppScan with Maven and Gradle の翻訳版です。

Maven、GradleとAppScanを統合：効率的なセキュリティ

2024年8月20日

著者: Parimal Sureshagarkhed / Lead Software Engineering

ソフトウェア開発のペースが速い世界では、常に先頭に立つということは、新たな課題に対応するために常に進化し続けることを意味します。そのため、HCL AppScan は、開発プロセスを強化し、セキュリティ体制を強化するために設計された 2 つの新しいプラグインを導入できることを嬉しく思っています。これらのプラグインは、既存のワークフローにシームレスに統合され、セキュリティを最優先にしながら、チームがより効率的に作業できるようにします。

HCL AppScan Maven および Gradle プラグインは、開発者が日常的に使用するツールと統合するように調整されており、ワークフローに完全に一致するシームレスなセキュリティスキャンを提供します。Maven を使用して Java アプリケーションを構築する場合でも、Gradle を使用して複雑なプロジェクト依存関係を管理する場合でも、これらのプラグインにより、セキュリティが開発パイプラインの不可欠な部分になります。

両方のプラグインは、HCL AppScan on Cloud および HCL AppScan 360° で利用でき、アプリケーションのセキュリティを大幅に強化できる豊富なリリースを備えています。

HCL AppScan Maven プラグイン

HCL AppScan Maven プラグインは、Maven ベースのプロジェクトとスムーズに統合できるように作成されており、開発者はセキュリティテストをビルドプロセスに簡単に組み込めます。Java エコシステムで広く使用されているビルド自動化ツールである Maven は、標準ビルドライフサイクルにセキュリティチェックを組み込むことで、この統合のメリットを享受しています。

主な機能

1. シームレスな統合: プラグインは最小限の構成で Maven プロジェクトに簡単に組み込むことができ、セットアップと使用のプロセスが簡素化されます。

2. 自動スキャン: ビルドプロセス中にコードの脆弱性を自動的にスキャンし、潜在的な問題に関するフィードバックを即座に提供します。

3. カスタマイズ可能: スキャンパラメータは、プロジェクトの特定のニーズに合わせて調整できます。

使い始めるには

• プラグインを使用するための前提条件については、こちらを参照してください。
• プラグインの使用方法については、このリンクを参照してください。
• プラグインで使用できる構成可能なオプションは次のとおりです。

プラグインを追加すると、通常どおり Maven ビルドを実行できます。 AppScan プラグインは、セキュリティスキャンを自動的に実行し、AppScan on Cloud (または AppScan 360?) でレポートを生成します。

HCL AppScan Gradle プラグイン

HCL AppScan Gradle プラグインは、ビルド自動化ツールとして Gradle を使用するプロジェクトに同等の機能を提供します。柔軟性に定評のある Gradle は、現代のソフトウェア開発で広く採用されています。HCL AppScan を Gradle と統合することで、セキュリティがビルドプロセスの不可欠な要素になります。

主な機能

1. シームレスな統合: Gradle ビルド スクリプトと簡単に統合できるため、セキュリティテストが開発ワークフローの自然な一部になります。

2. 自動セキュリティチェック: ビルドプロセス中にコードベースを自動的にスキャンして脆弱性を検出し、タイムリーなフィードバックを提供します。

3. 構成可能: プロジェクトの要件に合わせて構成可能なスキャン オプションを提供します。

使い始めるには

• プラグインを使用するための前提条件については、こちらを参照してください。
• プラグインの使用方法については、このリンクを参照してください。
• これらは構成可能なオプションです。

この構成では、AppScan プラグインはプロジェクトのビルド タスクの後に実行され、ビルドプロセスの一環としてコードの脆弱性がスキャンされます。

HCL AppScan との統合のメリット

• AI による時間の節約: これらのプラグインを使用すると、誤検知を減らす Intelligent Finding Analytics (IFA) やスキャン範囲を自動的に拡大する Intelligent Code Analytics (ICA) など、HCL AppScan の実証済みの AI/機械学習機能を活用できます。

• 実用的な洞察: HCL AppScan は、スキャンの問題と報告された問題に対する修復ガイダンスを含む包括的で詳細なセキュリティテストレポートを提供します。html、pdf、xml、csv などのさまざまなレポート形式を生成できます (サンプルレポートはこちら)。

• 早期検出: セキュリティテストをビルドプロセスに統合することで、脆弱性を早期に検出し、修正に必要なコストと労力を削減できます。

• 継続的なセキュリティ: セキュリティ チェックが一貫して実行されるようにすることで、脆弱性が抜け落ちにくくなります。

• コード品質の向上: 定期的なセキュリティスキャンにより、開発者が潜在的なセキュリティ問題に気付くようになるため、コード品質が向上します。

• コンプライアンス: コードベースが定期的にスキャンされ、保護されるようにすることで、コンプライアンス要件を満たすのに役立ちます。

CI/CD パイプラインにセキュリティテストを統合することは、アプリケーションのセキュリティと整合性を維持するために不可欠です。HCL AppScan Maven プラグインと HCL AppScan Gradle プラグインは、セキュリティ チェックを自動化し、コードが最初から安全であることを保証する強力なツールを提供します。これらのプラグインをビルドプロセスに組み込むことで、アプリケーションのセキュリティ体制を強化し、自信を持ってソフトウェアをリリースできます。

この統合は、Visual Studio、Jenkins、GitHub、GitLab など、需要の高いツールとのマーケットプレイスベースのコラボレーションの広範なリストの一部です (完全なリストはこちらをご覧ください)。

HCL AppScan アプリケーションセキュリティテストソリューションの詳細については、こちらをご覧ください。

HCL AppScan on Cloud または AppScan 360 の顧客ではありませんか? 上記のビルド プラグインで使用する Application Security on Cloud の無料トライアルについては、こちらをクリックしてください。または、今すぐ HCL AppScan 360° の旅を始めるには、HCLSoftware にお問い合わせください。

2024/8/21 - 読み終える時間: 3 分

DAST for Developers: Enhanced Application Security from HCL AppScan の翻訳版です。

*開発者のためのDAST：HCL AppScanがアプリケーションセキュリティを強化

2024年8月20日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

今日のペースの速い開発環境では、開発者はソフトウェア セキュリティに対する責任をさらに負うことが求められています。誤った構文、マージ エラー、統合の問題を特定するのに役立つツールが多数あるにもかかわらず、開発者は自分が書いたコードに脆弱性を持ち込んでいるかどうかに気付いていないことがよくあります。これがセキュリティチームに届くとボトルネックになる可能性があるため、組織は開発ライフサイクルのかなり早い段階で開発者にセキュリティ ツールを強化することで時間とリソースを節約しています。

静的アプリケーションセキュリティテスト (SAST) は、従来、開発者が書いたコードをテストするための最も重要なツールでした。動的アプリケーションセキュリティテスト (DAST) は、セキュリティチームによってサイクルの後半で使用されてきました。しかし、開発者にとっても使いやすい DAST ツールの需要が高まっており、開発プロセスの一環としてより安全なコードを作成するチェックとバランスのシステムを開発者に提供します。

開発者向け DAST と呼んでも、開発者中心の DAST と呼んでも、HCL AppScan には、HCL AppScan on Cloud (ASoC)、HCL AppScan 360° (AS360)、HCL AppScan Standard (ASD)、または HCL AppScan Enterprise (ASE) をサイクルの早い段階で使用しているかどうかに関係なく、開発者が DAST スキャン、修復、検証をワークフローにシームレスに統合するために必要なツールがあります。

ワークフローへのシームレスな統合

• 使い慣れたツールとの統合: Jenkins、Azure DevOps、GitHub、欠陥追跡システム統合のプラグイン、またはコミュニティ プラグインを活用して、既存の CI/CD パイプライン内で直接スキャンを開始します。(ASoC、AS360、ASE)。

• プロモーション前の個人スキャン: 変更をプロモーションする前にコードをクイックスキャンし、脆弱性を早期に検出してメインブランチに侵入するのを防ぎます (ASoC、AS360)。

• AppScan CMD/ソフトウェア開発キット (SDK): AppScan CMD/SDK を使用すると、独自の統合を構築して、コードに導入された変更のみに焦点を当てた、ユニット テストに似た超高速テストを開発者 IDE 内で実行できます。

効率性を高めるプリセットとワークフロー

• 初心者向けのシンプルなスキャン: AppScan は、基本的なスキャン用に事前構成されたワークフローを提供します。これは、DAST を初めて使用する開発者に最適です。すぐに開始して、一般的な脆弱性を特定します。

• 高度な構成が必要なスキャン: 複雑なセキュリティテストの場合、AppScan は、AppSec 専門家の専門知識に対応する詳細な構成オプションを提供します。

効率性を高める自動化

• セキュリティ タスクの自動化: API、SDK、CLI、Webhook との DAST 統合により、反復的なセキュリティ タスクを自動化して、貴重な開発時間を節約できます。

• 増分スキャン: 増分スキャンを使用して、コードベースで変更された部分のみに DAST スキャンを集中させます。これにより、徹底したセキュリティテストを維持しながら、時間とリソースを節約できます。

• 記録されたトラフィックによるターゲット スキャン: AppScan トラフィック レコーダーまたはアクティビティ レコーダーを使用して、特定のユーザーインタラクションまたはアプリケーションアクティビティをキャプチャします。これにより、コードが変更された領域のみをターゲットとする集中的な DAST スキャンを作成できるため、より迅速に結果が得られます。

効率性を高めるためにスキャンを最適化

• テストの最適化とポリシー: テストの最適化機能と定義済みのセキュリティポリシーを使用して、DAST スキャンをカスタマイズします。これにより、特定のアプリケーションに最も関連性の高いセキュリティ チェックに焦点を絞ることができます。

• 除外と例外: 除外機能と例外機能を使用して、コードベースの無関係な領域をスキャンから除外します。これにより、スキャンが効率化され、ノイズが削減されます。

• スキャンの深さの制御: スキャンの深さを定義して、包括性と速度の適切なバランスを実現します。

DAST と IAST を組み合わせることによる可視性と洞察力の向上

• リアルタイムの洞察のための IAST エージェント: Interactive Application Security Testing (IAST) エージェントは、IDE とプロアクティブに統合され、コーディング/テスト時に脆弱性を正確に特定します。問題をすぐに修正し、後で大きな問題になるのを防ぎます。詳細はこちらをご覧ください。

• コールスタックの可視性: IAST エージェントは DAST の問題のコールスタックを提供するため、コードベース内の脆弱性の正確な場所を特定して、より迅速に修復できます。

基本的な DAST を超えて

• 修復が簡単: HCL AppScan は、脆弱性を特定するだけではありません。詳細な説明、優先順位付け、自動クローズ検証を提供し、修復を効率化します。さらに、ASoC のロードマップには、GenAI を利用した魅力的な自動修正推奨事項が含まれています。

• 脆弱性コンポーネントの検出: HCL AppScan は、アプリケーションで使用されるサードパーティコンポーネント内の脆弱性を特定することで、従来の DAST を超えています。これにより、アプリケーションのセキュリティ体制 (ASE、ASD) をより包括的に把握できます。

• 豊富なコンプライアンスとレポート: 業界標準とコンプライアンス要件に準拠した詳細なレポートを生成します。これにより、セキュリティ監査が簡素化され、安全なコーディングプラクティスへの取り組みが実証されます。

結論

アプリケーションセキュリティ戦略が「シフトレフト」であっても「シフトエニウェア」であっても、開発者はますます多くの責任を負うことになり、実用的な調査結果を提供して効率を最大化する使いやすいツールが必要になります。HCL AppScan は、セキュリティを重視する開発者に最高のソリューションを提供することに注力しています。複数の製品とプラットフォームに搭載されているHCLSoftware の DAST ソリューションにより、開発者はアプリケーションセキュリティで積極的な役割を果たせます。合理化された統合、実用的な洞察、自動化機能を備えたHCLSoftwareのツールは、セキュリティのボトルネックを回避し、開発コストを削減し、自信を持ってソフトウェアをリリースするのに役立ちます。

HCL AppScan DAST のパワーを体験する準備はできましたか? 今すぐ無料トライアルをダウンロードしてください!