2020/6/2 - 読み終える時間: 2 分

英語版ブログの Unica and Email Service Provider (ESP) Integration - Best Practices - の翻訳版を掲載します。HCL Unica はマーケティング活動を支援するソフトウェアですが、メールでターゲットにリーチする上でメールは重要なメディアです。昨今の GDPR や CCPA を考慮しつつ適切な活動を行うベストプラクティスについて解説しています。

Unica とメールサービスプロバイダー (ESP) の統合のベストプラクティス

2020年1月30日

著者：Tom Hannigan Jr.

Unica Global Practice Leader

Unica をオタクにしましょう！ベストプラクティスのブログ投稿： Unica とメールサービスプロバイダー (ESP) の統合。

2020年は、マーケティング・テクノロジー・スタックを使って管理するにはツールが多すぎることに誰もが気づき始める年になると思います。ツールを連携させるためのベストプラクティスや、スタック内のどのツールでどの機能を実行する必要があるのかを明確にするためのベストプラクティスについて、最近多くのリクエストが寄せられています。

最近、銀行の顧客の1人がいくつかのアドバイスを求めました。彼らは現在のメールサービスプロバイダーを超えて、より大規模なエンタープライズグレードのメールエンジンに置き換えました。彼らは私に2つの質問をぶつけました。

• 新しい ESP と Unica の統合に関するベストプラクティスは何ですか。
• 両方のプラットフォームを最大限に活用するための統合をどのように設計すればよいでしょうか。

Unica はどの ESP とも統合できるように設計されているため、最初の質問はかなり簡単です。Unica 12 がリリースされると、Unica Link (詳細は今後の投稿で説明) を使用してシームレスな統合を実現することがさらに容易になります。

2番目の質問は、私のオープニング予測の風土病です。ツールの急増により、「どこで何が行われるのか」についてのマーケター側の混乱です。特定のソリューションでセグメンテーションまたは A/B テストを実行できるからといって、そうする必要があるわけではありません。答えは、コンテクストでの機能の理解、つまり顧客が運用上どのように設定されているかを理解することも必要です。正しい解決策はありません。

というわけで答えに進んでいきましょう。

下の図1は、Unica から ESP への「往復」の統合を示しています。ステップ1は、出力リストで実行されたフローチャートの結果として ESP に送信されるメールレコードを生成することです。これは、Unica のメール・リスト・プロセス・ボックスで指定されます。

Unica から ESP への「往復」の図

レコードが (API または FTP などを介して) ESP に配信された後、Unica はそれらの同じレコードをコンタクト履歴テーブルに書き込みます。この記録情報システムは、GDPR と CCPA の時代には重要です。重要な部分は、出力仕様と連絡先履歴に適切なキャンペーン識別子 (赤いボックスで示されている) を設計して、ESP から返されるメールの処理データと一致させることができるようにすることです。

既存のマーケティングダッシュボード (オレンジ色のボックス) で標準ビューの識別子を追加することをお勧めします。通常、これらは Unica から送信されるため、ESP プラットフォームでホストされている詳細なリアルタイムレポートを、既存のダッシュボードと同じ属性を使用してロールアップ、スライス、およびダイシングできます。

その後、メールに使用するクリエイティブテンプレートが必要な識別子 (黄色のボックス) が表示されます。最後に、ESP プラットフォーム (オレンジ色のボックス) で動的コンテンツを配信するために使用されるパーソナライズフィールドの値を書き込むことをお勧めします。これらのフィールドは、動的コンテンツが提供されるメールテンプレートのさまざまなゾーンにマップされます。

ESP 側から見た往復の図

エンタープライズグレードの ESP はすべて、メールファイルまたはAPI呼び出しからデータを取り込むことができます。ESP は連絡先リストをメールテンプレートと個人用設定フィールドに結合して、メーリングを実行します。配信性に加えて、ESP の重要な役割 (エンタープライズの観点から) は、入力データと同じキャンペーン識別子 (赤いボックス) でメールの処理を送信できるようにすることです。これは、レポート、分析、およびコンプライアンスのためにコンタクト履歴への処置を書き込むのに役立ちます。

これは、Unica を新しい ESP と統合する方法に関する最初の質問に答えます。上で述べたように、2番目の質問「どこで何をするか」は、答えるのが少し難しいです。とはいえ、私は常に「 DNA 」テストを出発点としてデフォルトで設定しています。

下の図3は、各プラットフォームの DNA の核となるものについての考えを示しています。

プラットフォームのコア DNA

全チャネルにわたる記録データのシステム、オーディエンス管理、洗練されたセグメンテーションのようなものは、Unica の DNA の中核です。配信可能性、パーソナライゼーションの管理、メールコンテンツ管理、およびクリエイティブテストは、ほとんどの ESP のコア DNA に含まれています。

ESP 統合を設計する際に常にお客様とともに検討する重要な考慮事項は次のとおりです。

• ESP のマーケティングダッシュボードとリアルタイムレポート間でレポートビューを調整するために、Unica からのメール出力ファイルに含めるフィールドを決定します。
• 動的コンテンツ識別子とコンテンツ自体の読み込み、管理、維持のプロセスを決定します。
• 制作および保守の観点から、管理可能なレベルの動的コンテンツのコンテナ化のための計画的な戦略を持っている。

最後に、絶対にフランケンキャンペーン (frankencampaign) を回避する習慣をつけましょう。

フランケンキャンペーンとは、チャネル配信プラットフォーム間で標準のキャンペーン識別子を調整せずにキャンペーンを実行する場合をさします。チャネルプラットフォーム (メール、リアルタイム、ソーシャル) がヘッドレスシステムとしてセットアップされ、キャンペーンの実行に統合されていない状況が見られます。これは、フランケンキャンペーンになります。メッセージは、さまざまな異なるキャンペーン識別子、タッチルール、およびオーディエンス定義を使用して、チャネル全体で顧客に到達してしまいます。これは優れた顧客体験ではありません。

それでは、2020年をマーケティング・テクノロジー・スタックのツールを真に機能させる年にして、「どこで何をすべきか」について戦略的に考えてみましょう。あなたはあなたのスタックからより良いビジネス価値を得るでしょう、そして私の予測は真実であることが証明されることでしょう。

2020/6/1 - 読み終える時間: 4 分

2020年5月29日、英語版ブログに Domino Volt - Getting on with Business, Lightning Fast! がポストされました。その翻訳版を掲載します。

Domino Volt でビジネスを回す、しかも超高速！

2020年5月29日

Martin Lechleider

Director, Product Management, HCL Domino Volt

COVID-19 の時代には、組織は従来のソリューションから離れて適応しなければならず、我々は問題をすばやく解決し、別の方法で行うことを学んでいる最中にあります。最近のウェビナーでは、HCL Domino Volt が、ビジネスの重要でミッションクリティカルな部分が稼動し続け、リモートの従業員をサポートし、新しいプロセスを構築する方法を示しました。また、ビジネス上の課題に最も近いユーザーが、IT 部門の支援を最小限に抑えてこれらの新しいプロセスを簡単に構築できることを示しました。

人事と財務が会社の給与予算と在宅勤務の従業員の調査を管理するのに役立つ一時帰休のアプリケーションを作成し、デモを行いました。さらに、5つの重要な教訓と、最初の Domino Volt ワークフローベースのアプリケーションを構築するために推奨するベストプラクティスを示しました。ここでリプレイを見ることができます。

いつものように、出席した方々はとても活発で、たくさんの素晴らしい質問がされました。これらの質問とその答えを以下に示します。

今日、チームは単に機能するテクノロジー以上のものを必要としています。Domino は、ビジネスを実行する堅実な (rock-solid) アプリを提供するために何千もの企業から世界中で信頼されている実証済みのプラットフォームです。さて、取りかかりのお手伝いをいたしましょう。まず、Sandbox の無償アカウントを取得して、Web ブラウザーを使って Domino Volt アプリケーションの作成を開始しましょう。ソフトウェアのインストールは必要ありません。

一時帰休アプリとアンケートのデモ

Q：デモアプリを共有されますか。

A：はい、Sandbox で .volt ファイルが共有されます。

Q：これらのアプリの作成にはどのくらい時間がかかりましたか。

A: 一時帰休のアプリケーションは3週間 (HCL Domino Volt の学習に費やした時間を含む)、最初のアプリケーションの構築から学んだ教訓を反映させ、アンケートのアプリケーションの場合は1週間でした。

Q：デモでは、「接続の問題があります」に対して「はい」と回答した場合、アンケートでサポートチケットが開かれました。チケットを開く代わりにサポート BOT セッションを開始できますか。

A: はい。Domino Volt のローコード機能を使って、特定の要件を満たせるようにアプリケーションを設計できます。BOT でサポート機能を提供し、必要な場合にのみチケットを開くことは、非常に効果的な設計のように思えます。

Q: アンケートの質問は動的またはカスタマイズできますか。

A: はい。Domino Volt を使用すると、アプリケーションにルールを組み込み、ビジネスロジックに基づいて質問することができます。これには、ユーザーが特定のオプションを選択した場合にのみに追加質問を表示したり、あるいは、ユーザーが誰であるかや組織での役割に基づいて追加質問を表示するようば場合が考えられます。

Q: アンケートの回答を含むダッシュボードを表示することはできますか。

A: はい、これは可能です。デモ では、Survey Analyst ロールとしてログインするときの例をお見せしました。デフォルトでは Domino Volt は収集したデータのビューとそのデータのグラフを表示します。

一般的な Domino Volt 機能

Q: Domino Volt はリレーショナルまたは NoSQL データベースを使用しますか。

A: Domino Volt は、すべてのデータとアプリケーションを Domino NoSQL データベースに格納および管理します。詳細については最近のブログ投稿をご覧ください。

Q: Domino Volt アプリはどのデバイスでも動作しますか。

A: はい。Domino Volt アプリはモバイル対応です。ラップトップ、タブレット、スマホで動作する Web アプリです。

Q: Domino Volt アプリは、オフラインで使用できる Nomad と互換性がありますか。

A: Domino Volt で作成されたアプリは Domino アプリであり、HCL Nomadで使用できます。ただし、Nomad での Domino Volt アプリの使用には制限があり、定義した Web エクスペリエンス、そしてクライアント側のロジックは動作しません。

Q: Excel フィルターのようなビューフィルター機能はありますか。

A: 現在、Domino Volt ビューのビューにフィルターを追加できます。追加のフィルタータイプは、次の Domino Volt リリースで計画されてい ます。

Q: JDBC アクセスでリレーショナル DB と連携・統合できますか。

A: 現在、Domino Volt では、統合に REST と Web サービスに依存しています。ただし、将来的には、リレーショナルデータベースへのネイティブアクセスを提供する予定です。

Q: 「ビュー」で列を並べ替えるにはどうすればよいですか。

A: テーブルコントロールでは、列ヘッダーをクリックしてその列をソートできます。

Q: 誰もが投稿できる便利なコードやアプリのスニペットのカタログがあればいいと思います。

A: HCL ではすでにスニペットを共有するスペースがあり、Sandbox で利用できます。

Q: REST を知らない人のために、Domino Volt から Domino ディレクトリーのデータに簡単にアクセスできるようにする予定はありますか。

A: はい。Domino ディレクトリーからの Domino データをアプリケーションに連携・統合する方法を改善することを優先させて開発しています。次の Domino Volt リリースでこれらの改善のいくつかが見られることを期待してください。

Q: HCL Leap から Domino Volt にファイルをインポートできますか。

A: Leap 9.2 から Domino Volt にファイルをインポートできます。ただし、 Domino Volt がまだサポートしていないものがあります。たとえば、匿名アクセスや動的な役割の割り当てなどです。どちらも Domino Volt のロードマップにあります。

Q: サービス呼び出しを構成するコーディングの種類について説明できますか。

A: サービスをアプリケーションに統合するには、アクセスする API の知識と、REST サービスの仕組みに関する基本的な知識が必要です。Domino Volt での「コーディング」部分とは選択したり結びつけをすることであり、それによりアプリでのサービスの動作方法を構成することができます。これには、URL、必要な認証、アプリからサービスへの入力とサービスからアプリへの出力をどのようにマッピングするかなどが含まれます。

Q: Domino Volt で署名を行うことはできますか。

A: この機能は、JavaScript ライブラリーを使用して追加できます。Domino Volt フォーラムにあります。

Q: Domino Volt は、Domino などの新しいリリースでも、既存のアプリの互換性を保証しますか。

A：ソフトウェアのどのリリースで作成したアプリであっても完全にサポートされることを原則に製品を開発しています。次のリリースにアップグレードしても、デプロイした内容が壊れることはありません。

Q：技術的なセッションはありますか。

A: HCL Digital Solutions アカデミーにご注目ください。アプリケーションの構築方法について開発者を教育するのに役立つことを目指しています。間もなくリリースされる予定です。

HCL Domino Volt のロードマップ

Q: Domino Volt はいつ匿名アクセスをサポートしますか。

A: 次のリリースで匿名アクセスをサポートする予定です。

Q: パートナーや企業が Domino Volt ベースのアプリケーションを一覧または宣伝できる HCL ライブラリーまたはカタログの計画はありますか。

A: はい、ビジネス パートナーと顧客がアプリケーションとコードを利用できるようにする手段を提供する予定です。詳細 は後日発表します。

Q: ユーザーが Domino Volt ベースのアプリをオフラインで使用できるようにする計画はあり ますか。

A: はい。オフラインサポートを備えたモバイルクライアントがロードマップに含まれています。

Q: 動的な役割の割り当てをサポートする計画はありますか。リクエストの作成者に基づいて承認者またはレビュー担当者を決定する必要があります。

A: はい、次のリリースで追加する予定です。

Q: Domino Volt は Dojo を内部で使用しています。Dojo の最新バージョンの使用に関する予定はありますか。

A: HCLは、Domino Voltのコアテクノロジー (JavaScriptライブラリーを含む) を更新することで、お客様に付加価値を提供できることを認識していますが、計画されたスケジュールはありません。

Q: Domino Volt のモバイルに関するロードマップはどのようになっていますか。

A: カメラ、GPS、QR、バーコードリーダー、タッチジェスチャーなどのモバイル機能のサポートが予定に含まれています。アプリをオフラインで使用して、接続時に同期する機能も入っています。

Q: Domino i Volt は IBM iSeries で利用できますか。

A: Windows と Linux 以外の追加のプラットフォームサポートを検討しています。

Q: Domino のようにカスタムビューを作成できるようになるのはいつですか。

A: Domino Volt の表示機能を改善することは、私たちの優先事項の1つです。今後のリリースでは、この領域の改善していく予定です。

Domino Volt のライセンスとインストール

Q: 一部のユーザーに Domino Volt のライセンスを付与できますか。

A: HCL Domino Volt は、ユーザーごとのライセンスである Domino CCB ライセンスで利用が許諾されます。メールと同様に、Domino Volt は組織内のすべての人を対象としています。

Q: Domino Volt を使用するにはどのような インフラストラクチャーとソフトウェアが必要ですか。

A: Windows または Linux で実行される HCL Domino v 11.0.1 および HCL Domino Volt が必要なすべてです。

免責事項: HCLの計画、方向性、および意図に関する声明は、HCLの独自の裁量により、予告なしに変更または撤回される場合があります。潜在的な将来の製品に関する情報は、当社の一般的な製品の方向性を概説することを目的としており、購入の決定を行う際にこれに依存するべきではありません。潜在的な将来の製品に関して言及されている情報は、資料、コード、または機能を提供することを約束、約束、または法的義務ではありません。潜在的な将来の製品に関する情報は、いかなる契約にも組み込まれない可能性があります。当社の製品について説明されている将来の機能の開発、リリース、およびタイミングは、当社の単独の裁量に留まります。パフォーマンスは、制御された環境での標準HCLベンチマークを使用した測定と予測に基づいています。ユーザーが経験する実際のスループットまたはパフォーマンスは、ユーザーのジョブストリームでのマルチプログラミングの量、I/O構成、ストレージ構成、処理されるワークロードなどの考慮事項を含む多くの要因によって異なります。したがって、個々のユーザーがここで述べた結果と同様の結果を達成できるという保証はありません。

2020/6/1 - 読み終える時間: ~1 分

デモなどで HCL 社員が多用している Team EUC データベースを公開しました。2002年頃に作成されたもので、殆ど改変なしに長らく使われてきているデータベースです。ある程度の実用性を持たせたデータベースですので、学習用途から実際の利用までお使いいただけるかと思います。

• 技術情報: サンプル Domino データベース: Team EUC

「HCL Notes/Domino Domain: 技術情報」にもリンクを掲載しています。

2020/6/1 - 読み終える時間: ~1 分

これは2020年4月に公開済みの資料ですが、HCL Unica Interact の新機能に関する内容を加えました。

• 製品情報: HCL Unica v12.0 新機能紹介

2020/5月/28 - 読み終える時間: ~1 分

本発表は、弊社の処理手続き上の問題があり、取消しました。リンク先は削除されています。分かりやすい内容の発表を行うよう努めてまいります。

表記のニュースを掲載しました。詳細はリンク先をご覧ください。

• 2020年5月27日: HCL Software 製品の一部バージョンのマーケティング活動の停止について

本発表はサポート終了の発表でもありません。また、ダウンロードができなくなるわけでもありません。HCL としては、過去バージョンについてはサポート (お問い合わせや Fix Pack) の提供は行いつつ最新版の開発をすすめる中で、お客様にありましては、なるべく最新のものをご利用いただきたいという思いがあります。今回の発表はその考えを表明したものとなります。

2020/5月/18 - 読み終える時間: ~1 分

HCL ソフトウェアはメインフレーム関係も開発・販売しています。今回、メインフレーム・ソリューションのページを追加しました。

HCL メインフレーム・ソリューション | 製品 | HCL Software

2020/5月/18 - 読み終える時間: ~1 分

英語版ブログで紹介された HCL Domino の事例記事、HCL Domino and Arvid Gjerde Help Make Norwegian Roads and Bridges Safer…Saving Lives Along the Way の翻訳版を掲載します。

HCL Domino と Arvid Gjerde はノルウェーの道路と橋をより安全に、そして命も救う

2020年5月15日

Janet Kenney / HCL

ノルウェー人にとって、月曜日の朝にガードレールの作業を開始し、無事に完了した後に木曜日の夜に戻る、おなじみのオレンジ色のトラックの毎週の儀式を見るのは歓迎すべき光景です。Arvid Gjerde は、ノルウェーのトップガードレールプロバイダーの1つであり、非常に有能な労働力と、国の道路のねじれや曲がり角をナビゲートする象徴的なオレンジ色のトラックで知られています。

Arvid Gjerdeはノルウェーで40年以上にわたって交通保護に取り組んでおり、道路と運転手を安全に保つ道路と橋のガードレールの設置を専門としています。顧客のコストを低く抑えながら、品質と効率に関する最高基準を満たす設置サービスを提供しています。

同社は1972年に大きなアイデアとバックホー (翻訳者注: 油圧ショベルの中でも、ショベルをオペレータ側向きに取り付けたもののこと。オペレータ側向きのショベルでオペレータは自分に引き寄せる方向に操作する (Wikipediaより)) でスタートしました。現在、同社のチームは、Web対応の統合がなされた Domino ベースのソフトウェアインフラストラクチャーを利用して、最初の販売から最終的な設置までのすべてのプロジェクト管理ステップを管理しています。複数の企業がノルウェーで同じプロジェクトをめぐって競争しているため、直面するビジネス上の課題は、競争を勝ち抜き、高品質のサービス、効率、およびコストに基づいてそれらのプロジェクトを獲得することです。

「Arvid Gjerde では 、ノルウェーの道路と橋をより安全にして、道路に沿って命を救っているとお伝えしたいです。」 (Arvid Gjerde のCEO Markus Brevik)

CEOは、自社の強力なツールセットを効果的に使用して顧客の見込み客を顧客にし、それらのプロジェクトを成功させるために行ってきた仕事に誇りを持っています。Brevikは、忠実で有能な従業員、高度に装備された最高級の機械、包括的なソフトウェア、およびHCLビジネスパートナーであるiSiとの長年にわたるパートナーシップが、同社の成功の原因であると考えています。これらの要素が一体となって、成功の鍵を形成しています。

事例全文 (英語) : https://www.hcltechsw.com/wps/portal/resources/stories/arvid-gjerde/

2020/5月/13 - 読み終える時間: 3 分

2020年4月14日、英語版ブログに "Think You Can’t Get No SAST -isfaction? Think Again" がポストされました。その翻訳版を掲載します。

SAST満足(SAST-isfaction) を得られないとお考えですか

Rob Cuddy

HCL

アプリケーションのセキュリティーに精通しているならば、静的分析セキュリティーテスト (SAST) という用語を聞いたことがあるでしょう。しかし、どれだけ役立っていますでしょうか。あなたやチームに付加価値を与えていますでしょうか。より高品質のソフトウェアをより素早く提供するのに役立っていますか。それとも、開発過程における必要悪だと見なされていますか。脆弱性の可視性は得られているでしょうか。実際の問題を見つけるのに、ノイズをふるいにかけるために多くの時間を費やしていませんか。HCL では、静的解析を最大限に活用し、探している SAST 応答を取得するときがきたと考えています。

SAST -isfactionを見つけるのが難しいのはなぜでしょうか

共有する情報がある限り、それを保護する必要がありました。歴史を通じて、メソッドを使用してデータを非表示または難読化する多くの例があります。たとえば、中世の時代には暗号文の記録があります。その前は、エジプト人には象形文字があり、楔形文字はすべてメソポタミア全体にありました。

第二次世界大戦前後から、情報はデジタル形式で共有され、情報セキュリティーが生まれました。今回の最も注目すべき例は、エニグマとボンバのマシンです。それ以来、コンピュータはあらゆる業界に導入され、何十億行ものコードが書かれてきました。また、コードセキュリティーの必要性も高まっています。Lint 呼ばれる最初の実際の静的分析セキュリティーテスト (SAST) ツールは1978年に登場しました。これは、一般的なコードエラーとコード構成の問題を検出するために作成され、コンパイラによってこれらのフラグが立てられています。

今日のペースの速い開発の世界に早送りし、エラーや脆弱性を見つける必要性がかつてないほど広まっています。しかし、最新のセキュリティーチームは、スキャンを適切に構成することに関してプレッシャーを感じています。潜在的なソース、シンク、字句解析、汚染、呼び出し (または制御フロー) グラフのめまいがする配列を考えると、不思議ではありません。これらすべてのオプションは、対処する2つの大きなハードルを意味します。

ろくでもない偽陽性

Lintの背後にある基本的なアイデアは素晴らしかったが、フラグが立てられたすべてのものが実際のエラーとして簡単に検証できるわけではないため、誤検知の可能性が高かった。誤検知は、テストで脆弱性が宣言されたときに発生しますが、実際にはそうではありません。テスト診断は、ある種のルール違反が発生したと判断し、問題です。これはさまざまな理由で発生する可能性がありますが、一般的な理由は、使用されるツールがアプリケーションコードを通過するデータを完全に追跡できないことです。ほとんどの SAST ツールは、注意を怠ってエラーが発生し、不明確な場合はエラーとしてフラグを立てます。

誤検知の主な問題は、対処すべきノイズが多いことです。これは、チームが問題を調査し、何かが本当の問題であるかどうかを特定するためにより多くの時間を費やす必要があることを意味します。また、チェック対象の量が多いため、チームが実際の問題を見逃しやすくなります。

そして、偽陰性

そして、何かを逃すことは潜在的にはるかに大きな問題です。コードに簡単に公開される可能性のある実際の脆弱性があり、使用されたツールがそれらを評価しなかった、またはそれらを検出するための適切なルールがあった場合はどうなりますか？私たちのチームがシステムをテストするための最良の方法を見つけるために多くの時間を費やしている場合、これらの種類の問題は長期間検出されなくなります。

私たちが持っているようにすべてをテストしたかどうかわからない場合はどうなりますか？特にそれがAPPLに来るときの ICA ション・プログラミング・インターフェース (API)。たとえば、開発チームが最新バージョンのSpringの利用を開始することを決定したとします。現在のバージョン (この記事の執筆時の5.2.5)、400以上のパッケージが含まれています。平均して、セキュリティー専門家は API のセキュリティーへの影響を1?10分で評価できます。これらのパッケージを使用して開発された API について、それぞれに保証が必要だと想像してください。つまり、1人の専任担当者がすべてを手動で評価するには、最大2か月かかる可能性があります。他に何もしない小さな専任チームであっても、完了するまでに1週間以上かかる可能性があります。考慮すべき他の API とフレームワークがある場合、問題はさらに悪化します。

朗報: 救いはここにあります

現在、InfoSecチームの88％は、平均して週に25時間を超える脆弱性の調査と検出を行っています。つまり、実際の問題ではないものを追跡するのに費やされる時間はコストがかかります。そして、潜在的な問題を見逃すことは破滅的となる可能性があります。HCL AppScan には、これらの問題の両方に対処するために特別に設計された独自の機能があることをすでにご存じかもしれません。現在バージョン10では、 HCL は一般的な SAST エンジンを利用して、クラウド製品の分析力をオンプレミスにもたらします。これにより、 AppScan はハイブリッド環境での静的テストに最適です。

https://ponemonsullivanreport.com/2018/08/the-value-of-artificial-intelligence-in-cybersecurity/ https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0077301

ノイズを制限する

HCL AppScanには、誤検知によるノイズに対処するように設計された拡張機能を備えています。これを Intelligent Finding Analytics (IFA) と呼びます。簡単に言うと、 IFA は機械学習機能を使用して誤検知を除外するため、不要です。IFA は数秒で結果をトリアージし、数万のリストをはるかに管理しやすい意味のあるものに変えることができます。実際に HCL は、 IFA が誤検知を最大98％削減することを確認しています。その時間の節約だけでも IFA に価値があります。しかし、IFA はそこで止まりません。

https://www.brighttalk.com/webcast/17840/372461/what-can-a-i-do-for-your-devsecops-program

ノイズを除去することに加えて、 IFA はさらに一歩進んで、残りの結果に優先順位を付け、関連するグループに整理します。これにより、対象を絞った改善策の提案を提供することにより、結果をすぐに実行可能にすることができます。問題の修正に関しては、どこから始めればよいかを推測する必要がありません。IFA を使用すると、開発者は自分の努力がどこに最も影響を与えるかについて、より良い感覚を持つことができます。

誤った安心感の回避

マイクロサービスを作成している場合や API を利用している場合は、変更を考慮することが重要です。そのため、 HCL にはIntelligent Code Analytics (ICA) があります。ICA の自動機械 ICA ll yの発見とは、新しい API を検出し、それらを適切に評価しています。そのため、セキュリティーチームが数週間かけて独自のマークアップを作成する必要がなく、 ICA の機械学習機能を、自信を持って活用できます。そして、あなたは数秒でそれを行うことができます。

ICA は、サードパーティの API とフレームワークのレビューを確実にし、それぞれに適切なセキュリティーの影響を割り当てます。これにより、より完全なスキャン結果、より正確な発見、およびより高い信頼が可能になります。

そして今、それはDevOpsにとってさらに良い

静的テストにはコードベースの深い知識が含まれるため、他のタイプのセキュリティーテストでは不可能な脆弱性が見つかります。ただし、これはより複雑になることも意味します。これは、開発パイプラインに統合するのが難しい場合があります。HCL は、優れた SAST をより簡単かつ効率的に行うためのいくつかの優れた新機能を導入しています。

Project Pizza

スキャンを小さなスライスに分割して、マルチスレッドを利用し、並列で実行します。速度をさらに向上させるために、これらも最初のスキャンでキャッシュし、後続のスキャンで新しいコードを含むもののみをスキャンします。

暗黙的なセキュリティー

新しいユーティリティを活用してリアルタイムで分析することで、開発者を置き去りにする必要がありません。CodesweepはVSCode IDEチェッカーで、最新のコード変更を自動的に分析して、開発者に調査結果をリアルタイムで通知します。 https://marketplace.visualstudio.com/items?itemName=HCLTechnologies.hclappscancodesweep

Bring Your Own Language (BYOL) カスタムスキャナーの開発を可能にし、ソースコードに対して直接脆弱性分析を迅速に実行するための新しいフレームワーク。これらは、 AppScan デプロイメントに簡単に組み込むことができます。ベンダーが新しい言語のサポートを構築するまで数ヶ月待つ必要はもうありません。

したがって、今日静的テストを実行していて、 SAST 化されていない場合は、 HCL AppScan バージョン10 を再検討するか、 HCL AppScan on Cloudの30日間の無料試用にサインアップすることをお勧めします、探していた SAST -isfactionを見つけられることでしょう。