HCL AppScan on Cloud の新機能とは?
2022/2/16 - 読み終える時間: 3 分
What’s New in AppScan on Cloud? の翻訳版です。
HCL AppScan on Cloud の新機能とは?
2022年2月15日
著者: Rob Cuddy / Global Application Security Evangelist
最近AppScan on Cloudをご覧になっていない方は、スキャンをより簡単に、より有意義にするいくつかの素晴らしい新機能を見逃されています。 2021年の終わりには、いくつかの新しい革新と改善が追加され、ユーザーに大きな利益をもたらすと思います。 それでは、追加された機能のいくつかを見てみましょう。
Log4j固有のテスト
Log4jの脆弱性をめぐる様々なニュースから、AppScan on CloudがLog4jの検出と改善ガイダンスを提供するテスト機能を追加することは自然な流れでした。 具体的には、DASTテスト用に新しいセキュリティ・ルールが追加され、このルールはすべてのテスト最適化タイプに自動的に含まれるため、スピードの最適化を行っている場合でもLog4jの問題を見逃す心配がありません。 ASoC の OSA テストは、Log4j で特定された 4 つの CVEs すべてに関連する脆弱性を検出します。 以下の図 1 は、新しいテスト結果が潜在的なリモートコマンド実行の脆弱性を発見した簡単な例を示しています。 また、この DAST テストの例は、YouTube の例で見られます。
図1:AppScan on CloudでのLog4jの脆弱性発見
新しいシングルスキャンレポート
ASoCに追加された非常にクールな新機能の1つが、シングルスキャンビューです。 以下の図2は、この新しいビューがどのように見えるかの例を示しています。 これはスキャンに関する詳細なレポートであり、スキャンの実行中にも見ることができる。 訪問したページの数、テストした要素、発見された問題を確認できます。 スキャンが完了すると、問題を表示したりフィルタリングしたり、レポートをダウンロードできます。 スキャンレポートの列はクリックすることもでき、issueタブのフィルタリングリストにつながります。 また、スキャンで発見された新しい課題をスキャンカードに表示し、そのスキャンで最初に発見された課題まで具体的に掘り下げることができるようになりました。
もう一つの大きな特長は、issueタブで個々のissueに簡単にコメントを追加できることです。 課題をクリックし、"コメント "を選択するだけです。 この機能は、チームメンバーとフィードバックを迅速かつ容易に共有するために使用できます。
図2:AppScan on Cloudの新しいSingle Scan View
新しい対応言語
ASoCは最近、主にIBM IやOS/400システムで使用されるビジネスアプリケーション用のプログラミング言語であるRPG(Report Program Generator)をサポートすることを発表しました。 RPGの詳細については、programmer.ioのサイトを参照してください。 これはASoCユーザーにとって、.rpg, .rpgl, .rpgleのファイルタイプが静的解析に含まれるようになったことを意味します。 この記事を書いている時点で、AppScan on Cloudは30以上の異なる言語をサポートしています。
より高い柔軟性と制御性
AppScan on Cloudが常に注力しているのは、有意義で効果的な脆弱性修正につながるスキャンをより簡単に実行できるようにすることです。 この取り組みの一環として、2021年版OWASP Top 10の新しいレポートタイプを追加し、ASoCユーザーがスキャンを制御するための柔軟性を高めるためのいくつかの新機能を追加しました。
具体的には、以下のものが追加されました。
-
.NETネームスペースを含む、含まないの両方をサポートします。
-
Java並列処理時のキャッシュ位置の指定が可能になりました。
-
新しい Rider プラグイン
-
アプリケーションで初めて発見された問題を表示するためのサポートが強化されました。
-
設定されたスケジュールのスケジュールと編集をより簡単に行えるようになりました。
-
スキャンの "Scheduled "と "Repeat "の状態を示す新しいアイコンが追加されました。
-
最後に、30分間操作がない場合の自動ログアウトを割り当て、ビジネスユニットの管理方法について2つの変更を追加しました。
-
また、ビジネスユニットの管理方法に2つの変更を加えました。
IASTに特有のもの
そしてもちろん、ASoCに関する議論は、インタラクティブ・アプリケーション・セキュリティ・テスト(IAST)のために追加された新機能を強調することなしには完了しません。 今回は、IASTエージェントの設定を更新する機能を追加し、全体的なパフォーマンスの向上、Java 17のサポート、Javaプロパティでプロキシが設定されている環境でのAppScan Enterpriseとの通信のサポートを強化するための変更を加えました。 また、IASTにいくつかの新しいセキュリティ機能を追加しました。 これには、JaxBクラスのXXEを識別できるようになったことが含まれます。 この特定の脆弱なクラスに関する詳細情報は、OWASP XXE サイトで確認できます。 また、JSON XSS 情報の問題(脆弱なデータが JSON としてレスポンスに書き込まれる XSS の亜種)の検出も追加されました。
まとめ
すでにAppScan on Cloudのユーザーであれば、これらの新しい追加機能の利点を享受できると確信しています。 また、そうでない場合は、AppScan on Cloudのサイトにアクセスし、無料トライアルに登録してご自分の目で確認されることをお勧めします。