How to Secure Your Open Source: Best Practices for Application Security Testing の翻訳版です。
オープンソースを保護する方法: アプリケーションセキュリティテストのベストプラクティス
2024年7月21日
著者: Courtney Coleman / HCLSoftware
ダイナミックなソフトウェア開発の世界では、オープンソースコンポーネントの使用は、現代の開発エコシステムの不可欠な部分となっています。オープンソースコンポーネントのコミュニティの改善により、開発時間の短縮とコストの削減が促進され、より迅速に成長し、イノベーションを起こすための柔軟性が生まれます。しかし、この利便性には、特にセキュリティに関する独自の課題が伴います。
アプリケーションが成長し、オープンソースコンポーネントの監視が難しくなるにつれて、アプリケーションのセキュリティを確保することは、ソフトウェアエコシステム全体を保護するために重要になります。HCLSoftwareのアプリケーションセキュリティ担当グローバルテクニカルアドバイザーであるPeter Lee氏は、「『たった1つの悪いリンゴで樽全体が台無しになる』ということわざがあるからこそ、オープンソースアプリケーションセキュリティ(OSA、別名SCA)は、あらゆる組織のセキュリティプログラムの最上位にあるべきだ」と述べています。
「現代のソフトウェア開発は、ますます速く、機敏になっています」と Lee 氏は言います。「基本的に、生成型人工知能(Gen AI)は、開発者向けのWebまたはモバイルアプリケーション全体を作成できます。オープンソースライブラリは、開発者によって書かれたものであれ、Gen AIによって書かれたものであれ、コードの一部となることが多いため、脆弱なオープンソースパッケージを使用するリスクと、それがコード内のどこに存在するかを理解することが重要です。」
オープンソースアプリケーションのセキュリティを確保するには、プロアクティブで包括的なアプローチが必要です。ここでは、オープンソースを保護するためのベストプラクティスをいくつか紹介します。
プロアクティブなセキュリティの重要性を議論する際には、安全なコーディング手法を内部的に遵守することが脆弱性を防ぐための基本であることを理解することが重要です。
主なプラクティスには、インジェクション攻撃を防ぐためのユーザー入力を常に検証およびサニタイズすること、アプリケーションへのアクセスを制御するための強力な認証および承認メカニズムの実装、攻撃者に貴重な情報を提供する可能性があるため詳細なエラー メッセージのユーザーへの露出の回避、暗号化を使用して保存中と転送中の両方で機密データを保護することが含まれます。
開発チーム内でセキュリティファーストの文化を育むことは非常に重要です。セキュリティの重要性についてチームを教育し、安全なコーディング手法とセキュリティテストツールの使用に関するトレーニングを提供します。開発者、セキュリティ専門家、運用チーム間のコラボレーションを促進して、セキュリティに対する包括的なアプローチを確保します。
オープンソースプロジェクトは、さまざまなサードパーティのライブラリやフレームワークに依存していることが多いため、古い依存関係はセキュリティ侵害の一般的なベクトルです。オープンソースのライブラリとフレームワークを定期的に最新バージョンに更新してください。これらの更新プログラムには、多くの場合、機密データを保護し、ユーザーの信頼を維持するために必要なセキュリティ パッチが含まれています。
堅牢な内部セキュリティ監査を実施していても、新しい脆弱性や脅威がいつでも出現する可能性があることに注意してください。自動化ツールは、依存関係を監視し、利用可能な更新を通知することで役立ちます。
手動のコードレビューと侵入テストは不可欠ですが、時間がかかり、人為的ミスが発生しやすい場合があります。十分な情報を持つ開発チームは、セキュリティの脅威に対する防御の最前線ですが、自動化されたセキュリティテストツールは、脆弱性を迅速に特定することでこれらの取り組みを補完できます。セキュリティの脅威についてアプリケーションを継続的に監視し、対応計画を準備しておくと、セキュリティ体制が向上します。
HCL AppScanのようなセキュリティ・ソフトウェアは、オープンソース・コンポーネントの脆弱性を特定するために特別に設計されたツールを含む、包括的なアプリケーション・セキュリティ・テストの完全なスイートを提供します。ソフトウェア・コンポジション解析(SCA)を使用すると、開発者はIDE(統合開発環境)から直接、プロジェクトに組み込まれたオープンソース・パッケージを評価できます。調査結果が静的分析、動的分析、対話型分析などの他のツールの結果と相関している場合、チームはリスク レベルを包括的に把握し、最初に修正する内容に優先順位を付けられます。すべてのツールはソフトウェア開発ライフサイクル(SDLC)にシームレスに統合され、継続的なセキュリティテストとコンプライアンス検証の両方を提供するため、組織は一貫したセキュリティ体制を維持できます。
これは、アプリケーション内で堅牢なセキュリティ標準を維持するための一貫した取り組みです。目標は、脆弱性を見つけて修正するだけでなく、開発プロセスのファブリックにセキュリティを組み込むことです。信頼できるセキュリティ体制管理は、イノベーションを優先事項の最前線にするための明確な滑走路を確立します。お気軽に HCLSoftware にお問い合わせ・デモの依頼をし、アプリケーションのセキュリティを強化する方法をご覧ください。
HCL AppScan 360º: Unlocking Scalability and Efficiency の翻訳版です。
HCL AppScan 360°: スケーラビリティーと効率性を解き放つ
2024年5月14日
著者: Eitan Oberman / Senior Product Manager
進化し続けるアプリケーションセキュリティ環境には、俊敏性と適応性が必要です。このことを認識した上で、クラウドネイティブ・アプリケーション・セキュリティー・プラットフォームである HCL AppScan 360° の次期リリースを発表できることを嬉しく思います。このリリースは、スケーラビリティー、保守性、および全体的なユーザー・エクスペリエンスを強化するために設計されたアーキテクチャーの大幅な変更を特徴としています。
この変革の中核となるのは、業界をリードするコンテナ オーケストレーション プラットフォームである Kubernetes の採用です。Central Platform (ASCP) と SAST コンポーネントの両方が、Kubernetes 固有の強みを活用するように再設計され、次のような具体的なメリットがもたらされました。
簡単なスケーリング: 変動する需要に簡単に対応できます。Kubernetes を使用すると、HCL AppScan 360° インフラストラクチャをシームレスにスケールアップまたはスケールダウンでき、ピーク時や静かな時間帯に最適なパフォーマンスを確保できます。
統合管理:複雑さをシンプルに: ASCPとSASTの両方を、標準化された単一のKubernetesデプロイメントで管理し、管理、更新、ユーザーエクスペリエンスを合理化します。WindowsとKubernetesを別々にインストールする必要がなくなります。
合理化されたインストール:インストールキットの迷路を捨てます。新しい HCL AppScan 360° は、標準化された Kubernetes 構成を活用するため、ダウンタイムが最小限に抑えられ、アプリケーションの保護に迅速に集中できます。
ベスト・イン・ブリードのテクノロジー: Kubernetesは、セキュリティプラットフォームが最新のテクノロジーとパフォーマンスの恩恵を受けることを保証し、セキュリティ曲線の先を行くことができます。
一貫したオンプレミス/クラウドエクスペリエンス: 新しいアーキテクチャにより、オンプレミスとクラウドのデプロイメント間でシームレスなエクスペリエンスが促進されます。この連携により、管理が簡素化され、ハイブリッド環境全体で一貫したセキュリティプラクティスが確保されます。
複雑さの軽減: 統合されたKubernetesベースのアーキテクチャにより、AppSecプラットフォーム全体を簡単に管理できます。
スケーラビリティの向上:インフラストラクチャのボトルネックなしに、セキュリティテストの取り組みを進化するニーズに適応させます。
メンテナンスの簡素化: 合理化されたインストールと簡素化された更新の恩恵を受けられます。
セキュリティ体制の強化:最新のテクノロジーと統一されたセキュリティアプローチを活用して、アプリケーションのセキュリティを強化します。
このアーキテクチャのアップデートは、将来の機能強化とユーザーエクスペリエンスの向上のための準備を整えます。HCLSoftware の クラウドネイティブ・アプリケーション・セキュリティー・プラットフォームであるAppScan 360°で詳細を確認し、新しいAppScan 360°がセキュリティー運用を合理化し、アプリケーションの防御を強化する方法を探索するための詳細情報にご期待ください。
A New Milestone: Cloud-Native Application Security with DAST の翻訳版です。
新たなマイルストーン: DASTによるクラウドネイティブ・アプリケーション・セキュリティ
2024年7月15日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
アプリケーションセキュリティに対して「どこにでもシフト」するアプローチを採用する組織が増えるにつれ、「万能」のソリューションがないことが明らかになっています。ソフトウェア開発ライフサイクル全体に効果的なセキュリティ戦略を、開発を遅らせることなく費用対効果の高い方法で組み込むことは、困難な作業です。
組織は、監視、リスクの完全な可視化、およびチーム間のコラボレーションを提供する単一プラットフォーム ソリューションにますます注目しています。さらに、企業は、完全なオンプレミス、クラウド、またはハイブリッドモデルの使用など、さまざまな展開環境で運用できる柔軟性を求めています。
これらの多くの課題に対処するために、HCLSoftware は 2023 年に HCL AppScan 360° をリリースしました。この完全にクラウドネイティブなアプリケーション・セキュリティ・プラットフォームは、同社の主力SaaSソリューションであるHCL AppScan on Cloud(ASoC)と同じ最新のユーザーインターフェースとエクスペリエンスを提供しますが、オンプレミス、プライベートクラウド、ハイブリッド、その他のセルフホスト型デプロイメントオプション向けに設計されています。
元のリリースには、AI支援の静的アプリケーションセキュリティテスト(SAST) が付属していましたが、ASoCに見られるすべての追加のテストテクノロジーを追加するための積極的なロードマップが示されました。
HCLSoftware は、HCL AppScan 360° が業界をリードする動的アプリケーション・セキュリティー・テスト (DAST) の追加により、その進化における重要なマイルストーンに到達したことを発表できることを誇りに思います。DASTを使用すると、ユーザーはWebアプリケーションとAPIの包括的なスキャンをリアルタイムで実行し、実際の攻撃シナリオをシミュレートして脆弱性とセキュリティの弱点を特定できます。
自動DASTスキャンは、CI/CDパイプラインを含むソフトウェア開発ライフサイクル全体に組み込むことができ、OWASP Top 10 CVEなどのプリセットポリシーに基づいて構成できます。インクリメンタルスキャンは、リポジトリに追加された最新のコードのみを分析するように設定でき、テストの最適化により、ユーザーは開発のさまざまな段階で必要なものに基づいてスキャンの速度と深さのバランスをとれます。SASTと組み合わせることで、このプラットフォームはこれまで以上に広いセキュリティカバレッジを提供します。
HCL AppScan 360 は、業界をリードするコンテナ・オーケストレーション・プラットフォームである完全な Kubernetes アーキテクチャー上に構築されています。HCL AppScan Central Platform (ASCP) と DAST および SAST コンポーネントはどちらも、可用性とスケーリングにおける Kubernetes の固有の強みを活用するように設計されています。組織は、インフラストラクチャのボトルネックなしに、進化するニーズにセキュリティテストの取り組みを適応させ、合理化されたインストールと簡素化された更新の恩恵を受けとれます。
最も重要な利点の1つは、変動する需要に簡単に対応できることです。Kubernetes を使用すると、HCL AppScan 360° インフラストラクチャをシームレスにスケールアップまたはスケールダウンできるため、ピーク時には最適なパフォーマンスを確保し、静かな時間帯にはコスト効率を確保できます。
ソースコード分析やテスト自動化からトリアージ、修復、レポート作成、監査まで、組織がデータ侵害を回避したいのであれば、解決すべきことがたくさんあります。HCL AppScan 360° は、これらの課題を管理し、Digital+ エコノミーで競争するためのツールと柔軟性の両方を組織に提供するようになってきています。
お問い合わせやデモの依頼はこちらのフォームまでお願いします。業界をリードするすべてのアプリケーション・セキュリティー・テスト・ソリューションの詳細はこちらをご覧ください。
2024年7月10日、HCL AppScan 10.6.0 をリリースしました。
Resolving IT Software Issues at Scale with BigFix Workspace+ の翻訳版です。
HCL BigFix Workspace+ で IT ソフトウェアの問題を解決
2024年7月10日
著者: Deepika Choudhary / Senior Manager, HCL BigFix
めまぐるしく変化するデジタル環境において、IT環境におけるソフトウェアのパフォーマンスを最適化することは、ビジネスの成功に不可欠です。こんなシナリオを想像してみてください: CIOとDevOpsチームは、モバイルワークフォースの販売強化を目的とした画期的なソフトウェアソリューションを開発しました。しかし、異なるOSやブランドを実行するさまざまなラップトップで、不具合が発生しています。潜在能力を引き出し、売上を向上させるには、迅速かつ効果的なソリューションが必要です。
あなたは、問題が3つの可能性のある領域にあると疑っています。
BigFix Workspace+ は、IT課題に対処できるように設計された、エンドポイント管理ソリューションです。
HCL BigFix Workspaceは、50万以上のFixletsを利用可能で、ネットワーク設定、ファイル調整、サービス管理など、IT問題に対処するためのソリューションリポジトリを提供します。
ネットワーク全体のOSとデバイスタイプを照会および分析します。数分以内に洞察を得て、ソフトウェアのパフォーマンスに影響する問題を突き止めます。
接続が断続的なマシンでも、迅速な制御アクションを実行します。データポートの有効化、設定ファイルの変更、重要なサービスの再起動など、HCL BigFix Workspaceは重要な調整を大規模に行えます。
HCL BigFix Workspaceを使用すると、次のことが可能になります。
ITソフトウェアの問題を解決するには、多様な環境に対応し、トラブルシューティングプロセスを加速できるソリューションが必要です。HCL BigFix Workspaceは、ネットワーク全体のソフトウェア・パフォーマンスを診断、管理、最適化する機能を提供します。
HCL BigFix Workspace+でITオペレーションを強化し、ソフトウェアソリューションが最大のビジネスインパクトをもたらすようにしましょう。
HCL BigFix Workspace+がIT管理戦略をどのように変革するか、詳細をご覧ください。デモのご予約はこちらから。
ITに力を。BigFix Workspace+でビジネスを強化しましょう。詳細はこちらをクリックしてください。
新しい試みのトライアルとして、1週間分のサポート技術情報更新のインデックスを作成してみました。しばらく継続してみます。新規追加と内容更新したものが含まれています。システム上、軽微な修正であってもリストに含まれてしまいます。予めご了解ください。
HCL AppScan on Cloud Now Available on Azure Marketplace の翻訳版です。
Azure Marketplace で HCL AppScan on Cloud の提供を開始しました
2024年7月2日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
Azure Marketplace で HCL AppScan on Cloud の提供を開始しました。この開発は重要なマイルストーンであり、シームレスで堅牢なセキュリティテスト機能を Microsoft エコシステム内で運用する企業の手元に直接もたらすものです。
HCL AppScan on Cloudは、企業が正確かつ効率的にアプリケーションを保護できるように設計されています。HCL AppScan on Cloudは、静的テスト、動的テスト、対話型テスト、オープンソーステストのための包括的なツール群を提供し、開発ライフサイクルのあらゆる段階でアプリケーションを脆弱性から確実に保護します。
静的テスト、動的テスト、対話型テスト、オープンソーステストを実施し、アプリケーションの脆弱性を特定します。
クラウドのパワーを活用し、アプリケーション・ポートフォリオの成長に合わせてセキュリティ・テストの取り組みを拡張できます。
セキュリティテストをCI/CDパイプラインに統合し、開発プロセスの早い段階で脆弱性の検出を自動化します。
詳細なレポートとアナリティクスにより、自社のセキュリティ状況を深く洞察し、十分な情報に基づいた意思決定と改善努力の優先順位付けを可能にします。
Azure Marketplaceは、Microsoftやサードパーティベンダーが開発したアプリケーションやサービスを幅広く提供する、便利で使いやすいオンラインストアです。Azure Marketplaceは、企業や開発者がAzureクラウドプラットフォーム上でのソリューション構築や運用管理に必要なソフトウェアやサービスを検索、試用、購入、導入できるように設計されている。
多様なカタログ
AI、アナリティクス、データベース、セキュリティ、DevOps、IoTなど、さまざまなカテゴリにわたる数千ものアプリケーション、ソフトウェア、サービスを提供。
サードパーティ・ソリューション
ユーザーは、HCL AppScan on Cloudのような、Azureのネイティブサービスを補完する専門的なツールやサービスを見つけられます。
Azure クレジット
マーケットプレイスでの購入は、クレジットカード決済またはAzure Creditsで行うことができ、ユーザーのAzureサブスクリプション請求に統合されるため、財務管理が簡素化され、統合された請求書が発行されます。
容易なデプロイメント
アプリケーションとサービスは、マーケットプレイスからAzure環境に直接デプロイできます。
トライアルと購入オプション
多くのソリューションが無料トライアルを提供しており、ユーザーは購入を決定する前にソフトウェアを評価できます。
Visual Studioは、マイクロソフトが作成した統合開発環境(IDE)です。Visual Studioの契約者の多くは現在、HCL AppScan Code Sweep(コミュニティ版の静的解析テストツール)を使用して、よりセキュアなコードの記述に役立てています。現在、これらの同じユーザーは、マイクロソフトのエコシステムを離れることなくHCL AppScan on Cloudを購入し、CodeSweepの結果をこのより堅牢なプラットフォームにアップロードして、可視性、レポート、コンプライアンスを向上させられます。
HCL AppScan on Cloudの強力な機能をぜひお試しいただき、アプリケーションセキュリティテストへのアプローチをどのように変革できるかをご確認ください。小規模なチームでも大企業でも、HCL AppScan on Cloudは脆弱性を効率的に特定し緩和するために必要なツールを提供します。
まずは、Microsoft Azure Marketplace にアクセスし、HCL AppScan on Cloudを検索してください。自信を持ってアプリケーションを保護し、新たな脅威の先を行けます。
詳細については、HCLSoftware のサポートチームにお問い合わせください。
HCL AppScan on Cloud - アプリケーション・セキュリティのパートナー。Microsoft Azure Marketplaceに登場。
HCL BigFix Remediate Now on AWS Marketplace! の翻訳版です。
AWS Marketplace で HCL BigFix Remediate の提供を開始しました
2024年7月1日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
AWS Marketplace で HCL BigFix Remediate の提供を開始しました。このパートナーシップにより、当社の脆弱性修復ソリューションがAWSユーザーに提供され、あらゆる規模の企業のエンドポイントセキュリティと運用効率を高めるシームレスな統合が実現します。
AWS MarketplaceにおけるHCL BigFix Remediateの展開により、当社のソリューションを既存のAWSインフラストラクチャに簡単に統合できるようになりました。このシームレスな導入プロセスにより、IT部門は多くの時間やリソースを費やすことなく、修復機能を実装、利用することができます。
AWSは今日の企業のダイナミックなニーズに対応した、堅牢且つスケーラブルなインフラストラクチャを提供しています。HCL BigFix Remediateの機能と組み合わせることで、環境の規模や複雑さに関係なく、エンドポイントを管理および保護できます。
AWS Marketplace が提供する価格設定モデルにより、組織のニーズに最適なプランを選択できます。組織の成長に合わせてエンドポイント管理と修復の取り組みを拡張し、投資を最大限に活用できます。
HCL BigFix Remediateは、AWS環境で脆弱性検出と自動修復機能を提供し、セキュリティ体制を強化します。AWSのセキュリティ機能とコンプライアンス認証により、業界標準や規制要件への対応を強化できます。
HCL BigFix RemediateをAWS環境に導入することで、セットアップ時間を抑え、セキュリティ対策を加速します。
すべてのエンドポイントの脆弱性を一元的に管理し修復することで、セキュリティ戦略を実現します。
脆弱性の検出と修復を自動化することで、セキュリティ侵害のリスクを低減し、ダウンタイムを最小限に抑えます。
AWSの信頼性の高いインフラストラクチャによってサポートされ、企業の需要の増加に合わせて修復の取り組みを簡単に拡張できます。
AWS MarketplaceでHCL BigFix Remediateをご覧いただき、エンドポイントセキュリティと管理をどのように変革できるかをご確認ください。まずは AWS Marketplace のリストをご覧ください。
HCL BigFix RemediateとAWSの組み合わせによるIT運用の向上、セキュリティの強化、コンプライアンスの確保をご体験ください。