AppScan on Cloud (ASoC) の 北米データセンター、および、EUデータセンター において、IP アドレスの変更と計画停止が予定されておりますのでご注意ください。
北米データセンターのメンテナンスのための計画停止が予定されています。(2024年9月14~15日)
→ Announcement: ASoC scheduled downtime on September 14 to September 15, 2024
北米データセンター、EUデータセンターの IP アドレスが変更されました。
ファイヤーウォールでの IP アドレスの制限などを実施しているお客様は変更をお願いいたします。
→ Announcement: AppScan on Cloud IP ranges and EU domain changes
HCL AppScan Revolutionizes Software Supply Chain Security の翻訳版です。
HCL AppScan がソフトウェア サプライ チェーンのセキュリティを変革
2024年5月6日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
イノベーションと俊敏性が成功の鍵となる今日のDigital+ Economyでは、ソフトウェア サプライ チェーン全体のセキュリティを確保することがこれまで以上に重要になっています。多大な損失をもたらす、深刻なソフトウェア サプライ チェーン攻撃に対応すべく、組織はリスク管理へのアプローチ全体の再検討を迫られています。ビジネス戦略が継続的なエンドツーエンドのアプリケーションセキュリティに移行する中、HCLSoftware は OX Security と提携して HCL AppScan Supply Chain Security をリリースし、お客様にさらなる価値を提供します。
HCL AppScan Supply Chain Security のお客様は、アクティブ アプリケーションセキュリティ ポスチャ管理 (Active ASPM) のメリットを享受できるようになりました。これは、組織がソフトウェア ランドスケープ全体でプロアクティブなセキュリティ ポスチャを維持できるようにする先進的なアプローチです。Active ASPM は、業界トップレベルのアプリケーションセキュリティ テストをポスチャ管理およびソフトウェア サプライ チェーン セキュリティと統合します。この完全なパッケージで、すべてのリスク要因を完全に可視化し、記録的な速さで脆弱性をトリアージして修復できる詳細な評価ツールが提供されます。
この新しいサービスの基盤の 1 つは、OX Security 独自のパイプライン部品表 (PBOM) テクノロジーです。このテクノロジーは、コードからクラウドまでの史上最高の可視性と、クラウドからコードまでの追跡可能性を提供します。PBOM は、すべてのバージョン系統、SLSA.dev、SaasBOM、セキュリティ ツールの結果、ビルド ハッシュなど、ソフトウェアが経たもの全ての動的リストです。コードの最初の行から始まり、リリースまでずっと続き、その過程で脆弱性を特定します。
PBOM は、すべてのビルド コンポーネントのインベントリを提供する、より従来型のソフトウェア部品表 (SBOM) と併せて提供されます。これらのデータ収集手段を組み合わせることで、組織は開発ライフサイクルの早い段階でセキュリティ リスクを特定して軽減し、下流の運用への潜在的な影響を最小限に抑えられます。
HCL AppScan Supply Chain Security では、継続的なアプリケーションセキュリティ カバレッジを単一の画面で提供する集中型プラットフォームをご利用いただけます。すべてのスキャンとデータ収集は、この中央地点からオーケストレーションすることができ、すべての結果を相関させ、まとめて評価できます。
HCL AppScan Supply Chain Security は、アプリケーションの構築に関係するリポジトリ、チーム、パッケージの検出も自動化し、組織にソフトウェア パイプライン全体にわたって資産を完全に可視化し、リスクを追跡できるようにします。
統合ソリューションは、環境、ビジネスの重要性や攻撃ベクトルなど、問題に寄与した、または問題によって影響を受けるすべての関連要因に基づいて各脆弱性のリスクを優先順位付けし、より迅速で効率的なトリアージを促進します。これにより、「重要」の定義に合う問題 (通常は問題全体の平均 3%) に集中でき、現在の負荷とセキュリティ負債を最大 97% まで大幅削減できます。
セキュリティのインサイトを単一ダッシュボードに統合することで、組織は意思決定プロセスを合理化し、新たな脅威に迅速に対応できます。
Active ASPM は、HCL AppScan on Cloud (SaaS ソリューション) が提供する正確で実用的なテスト結果を基盤としています。業界トップレベルのスキャン テクノロジースイート (SAST、DAST、SCA、IAST) が、ソースコードの詳細な分析、Web アプリケーションと API のテスト、オープンソースの検出、コンテナ スキャン、シークレット スキャンなどを提供します。
これらのツールは、幅広いセキュリティ カバレッジを提供し、ノイズや誤検出を減らして脆弱性を正確に特定するのに役立つ組み込み AI などの革新的な機能を備えています。すべての検出結果を一元化されたダッシュボードで管理することで、組織はトリアージと修復のプロセスを迅速化し、潜在的な脅威への露出を最小限に抑えられます。
HCL AppScan Supply Chain Security は、結果を Open Software Supply Chain Attack Reference (OSC&R) フレームワークに自動的にマッピングします。これは、ソフトウェア サプライ チェーンのセキュリティを侵害するために敵が使用する攻撃手法、戦術、手順を理解するための初の且つ唯一のオープン フレームワークです。
「ノーコード ワークフロー自動化」により大幅に改善された修復支援も、組織に価値をもたらします。この機能により、DevOps チームと DevSecOps チームは、直感的なドラッグ アンド ドロップ インターフェイスを使って、直感的でカスタマイズ可能な対応計画をすばやく作成できます。コンテナ カバレッジにも拡張されるこのコード不要のワークフロー自動化により、カスタマイズされたワークフローの作成を簡素化し、チケット発行と通知を自動化し、セキュリティ問題が本番環境に及ぶのを防ぐためのきめ細かなポリシーを適用できます。
HCL AppScan Supply Chain Security はソフトウェア セキュリティのパラダイム シフトを象徴し、今日のDigital+ Economyでの成功に必要な最先端のツールと機能を組織に提供します。HCL AppScan Supply Chain Security は、OX Security との提携により、テスト、評価、トリアージ、修復を既存の開発ワークフローとシームレスに統合して自動化し、組織にエンドツーエンドのアプリケーションセキュリティの可視性を提供、組織がリスクを効果的に管理し自信を持ってソフトウェアをリリースできるようにします。
HCL AppScan に問い合わせるか、Active ASPM のデモをご依頼ください。詳細については、HCLSoftware の Web サイトにアクセスしてください。
HCL AppScan は、ソフトウェア開発ライフサイクル (SDLC) 全体を通じて組織が脆弱性を検出して修復するのに役立つ、アプリケーションセキュリティ テスト プラットフォーム、テクノロジー、およびサービスのスイートです。強力な静的、動的、インタラクティブ、オープンソースのスキャン エンジン (DAST、SAST、IAST、SCA、API) は、AI と機械学習機能を利用して、コード、Web アプリケーション、API、モバイル アプリケーション、コンテナ、オープンソース コンポーネントを迅速かつ正確にテストします。一元化されたダッシュボードが、可視性、監視、コンプライアンス ポリシー、レポートを提供します。HCL AppScan のスキャン エンジンは、セキュリティの専門研究者によって保守されており、最新のテクノロジ、脆弱性、攻撃ベクトルに合わせて継続的に更新されます。
OX Security は、初の Active ASPM プラットフォームでアプリケーションセキュリティ (AppSec) を再定義しています。このプラットフォームは、AppSec プラクティスを統合し、コードからクラウド、クラウドからコードまでのシームレスな可視性と追跡可能性を保証します。OX は、独自の Pipeline Bill of Material (PBOM) テクノロジと OSC&R フレームワークを活用して、ソフトウェア開発ライフサイクル全体にわたって包括的なセキュリティ カバレッジ、コンテキストに応じた優先順位付け、自動応答と修復を提供します。最近 Gartner Cool Vendor および SINET 16 Innovator として認められた OX は、数十のグローバル企業やテクノロジー先進企業から信頼されています。Checkpoint、McAfee、Microsoft、Salt Security、Capsule8 などのセキュリティ組織の業界ベテランのチームによって設立され、主導されている OX の Active ASPM プラットフォームは、単なる AppSec ソリューションではありません。組織が手動のアプリケーションセキュリティ プラクティスを排除するための第一歩を踏み出すことを可能にし、スケーラブルで安全な開発を可能にします。
A Day of Speed and Indulgence: HCL AppScan : Ferrari Track Laps Experience の翻訳版です。
スピードと特別な喜びに満ちた1日: HCL AppScan フェラーリ トラックラップ エクスペリエンス
2024年8月21日
著者: Courtney Coleman / HCL
HCLSoftware は、フェラーリと提携できることを誇りに思っています。HCLSoftwareは、最も大切なクライアントの厳選されたグループをイタリアの中心部に派遣し、他にはない 1 日を体験する機会を得ました。それは、F1 のスリル、本格的なイタリア料理の豊かな味わい、そして当社の熟練した専門家による魅力的なプレゼンテーションを組み合わせた 1 日でした。マラネッロで企画されたイベントは、アドレナリン、優雅さ、そして忘れられない思い出がシームレスに融合したものでした。
HCLSoftwareの冒険は、マラネッロの絵のように美しい田園地帯にひっそりと佇むプライベート トラックから始まりました。クライアントが到着すると、本当に特別な体験が待っていることを知り、空気中に期待感が漂っていました。彼らを待っていたのは、ただのトラック デイではなく、フェラーリの最も象徴的なマシンを運転する一生に一度の体験でした。
興奮をさらに盛り上げるために、ゲストにはフェラーリのフォーミュラ 1 ドライバーも参加しました。スピードと精度の達人たちは、ヒントやストーリーを語るだけでなく、自らハンドルを握り、お客様に最高のドライブを体験してもらいました。F1 ドライバーは、これらの素晴らしい車の真のパワーと敏捷性を実証し、お客様一人ひとりを胸が高鳴るラップに導きました。
フェラーリの F1 カーでプロのレーサーに運転してもらうという純粋な爽快感は、言葉ではとても言い表せません。スピード、重力加速度、ドライバーがカーブを巧みに操る精度。誰もが満面の笑みを浮かべ、エンジンが冷めてからもずっとアドレナリンが湧き上がる、直感的な体験でした。
その日の興奮が最高潮に達した後、ゲストはマーケティング担当社長のダリオ デバルビエリから HCLSoftware についてさらに詳しく知るために参加しました。続いて、CIO の Colin Bell が HCL AppScan についてプレゼンテーションを行いました。アプリケーションセキュリティの重要性に関する情報が満載です。現在の市場統計や業界知識の豊富な歴史など、HCL AppScan の機能について、当社のチームは考えさせられる質問に喜んで答えました。HCL AppScan の最新開発には、拡張性とカスタマイズ性を考慮して設計された集中型ダッシュボードが含まれており、お客様と 1 対 1 でつながり、お客様の特定のニーズを理解できます。
その後、お客様は、マラネッロの料理の伝統の最高のものを紹介する 1 回ではなく 2 回の素晴らしい食事体験を楽しみました。
最初のディナーは、魅力的な Ristorante Cavallino で行われました。このレストランは、1950 年にエンツォ フェラーリが設立したオリジナルのレストランの壁の中でフェラーリの精神を模倣しています。このレストランは、フェラーリの価値観、つまりテクノロジーと職人技、品質とパフォーマンスの融合にインスピレーションを受けています。ゲストは、この地域の伝統的な味を祝うメニューを楽しみました。手打ちパスタからじっくり煮込んだ肉まで、すべての料理に温かいイタリアのおもてなしが添えられていました。親密な雰囲気と料理の豊かで素朴な風味が組み合わさり、その日の忙しさに見事に調和しました。
リストランテ ラ ガッツェッラでの 2 回目のディナーは、革新と洗練さが詰まったエレガントな体験でした。お客様は、最高のエミリア料理の伝統の味と香りを生かした本物の料理を堪能しました。各料理は五感を喜ばせるよう細心の注意を払って作られていました。厳選された上質なイタリアワインとともに、その夜はイタリアが誇る料理の芸術性を真に称えるものでした。
体験が終わりに近づくにつれ、このイベントは単なる催しに留まらない、綿密に企画されたお客様の記憶に今後何年も残る特別な喜びに満ちた1日であったことが明らかになりました。トラックのスリルからマラネッロの素晴らしい料理まで、すべての瞬間が、業界のトップ プロフェッショナルに囲まれた非日常を味わえるように設計されていました。
HCLSoftware は、お客様をフェラーリの世界に近づけるだけでなく、パートナーシップから得られる価値に対するお客様の理解を深める体験を創出できたことを誇りに思います。HCL AppScan は、迅速なイノベーションと業界をリードするテクノロジーを目指しています。HCLSoftware は、特別な喜びと冒険が完璧に調和する、このような忘れられない瞬間を今後も作り出していきたいと考えています。
参加に興味がありますか? HCL AppScan が 1 ラップずつビジネスの成功を加速させる方法について、ぜひお話ししましょう。今すぐデモをスケジュールしてください。
Streamlining Security: Integrating HCL AppScan with Maven and Gradle の翻訳版です。
セキュリティの合理化: HCL AppScan と Maven および Gradle の統合
2024年8月20日
著者: Parimal Sureshagarkhed / Lead Software Engineering
ソフトウェア開発のペースが速い世界では、常に先頭に立つということは、新たな課題に対応するために常に進化し続けることを意味します。そのため、HCL AppScan は、開発プロセスを強化し、セキュリティ体制を強化するために設計された 2 つの新しいプラグインを導入できることを嬉しく思っています。これらのプラグインは、既存のワークフローにシームレスに統合され、セキュリティを最優先にしながら、チームがより効率的に作業できるようにします。
HCL AppScan Maven および Gradle プラグインは、開発者が日常的に使用するツールと統合するように調整されており、ワークフローに完全に一致するシームレスなセキュリティスキャンを提供します。Maven を使用して Java アプリケーションを構築する場合でも、Gradle を使用して複雑なプロジェクト依存関係を管理する場合でも、これらのプラグインにより、セキュリティが開発パイプラインの不可欠な部分になります。
両方のプラグインは、HCL AppScan on Cloud および HCL AppScan 360° で利用でき、アプリケーションのセキュリティを大幅に強化できる豊富なリリースを備えています。
HCL AppScan Maven プラグインは、Maven ベースのプロジェクトとスムーズに統合できるように作成されており、開発者はセキュリティテストをビルドプロセスに簡単に組み込めます。Java エコシステムで広く使用されているビルド自動化ツールである Maven は、標準ビルドライフサイクルにセキュリティチェックを組み込むことで、この統合のメリットを享受しています。
シームレスな統合: プラグインは最小限の構成で Maven プロジェクトに簡単に組み込むことができ、セットアップと使用のプロセスが簡素化されます。
自動スキャン: ビルドプロセス中にコードの脆弱性を自動的にスキャンし、潜在的な問題に関するフィードバックを即座に提供します。
カスタマイズ可能: スキャンパラメータは、プロジェクトの特定のニーズに合わせて調整できます。
プラグインを追加すると、通常どおり Maven ビルドを実行できます。 AppScan プラグインは、セキュリティスキャンを自動的に実行し、AppScan on Cloud (または AppScan 360?) でレポートを生成します。
HCL AppScan Gradle プラグインは、ビルド自動化ツールとして Gradle を使用するプロジェクトに同等の機能を提供します。柔軟性に定評のある Gradle は、現代のソフトウェア開発で広く採用されています。HCL AppScan を Gradle と統合することで、セキュリティがビルドプロセスの不可欠な要素になります。
シームレスな統合: Gradle ビルド スクリプトと簡単に統合できるため、セキュリティテストが開発ワークフローの自然な一部になります。
自動セキュリティチェック: ビルドプロセス中にコードベースを自動的にスキャンして脆弱性を検出し、タイムリーなフィードバックを提供します。
構成可能: プロジェクトの要件に合わせて構成可能なスキャン オプションを提供します。
この構成では、AppScan プラグインはプロジェクトのビルド タスクの後に実行され、ビルドプロセスの一環としてコードの脆弱性がスキャンされます。
AI による時間の節約: これらのプラグインを使用すると、誤検知を減らす Intelligent Finding Analytics (IFA) やスキャン範囲を自動的に拡大する Intelligent Code Analytics (ICA) など、HCL AppScan の実証済みの AI/機械学習機能を活用できます。
実用的な洞察: HCL AppScan は、スキャンの問題と報告された問題に対する修復ガイダンスを含む包括的で詳細なセキュリティテストレポートを提供します。html、pdf、xml、csv などのさまざまなレポート形式を生成できます (サンプルレポートはこちら)。
早期検出: セキュリティテストをビルドプロセスに統合することで、脆弱性を早期に検出し、修正に必要なコストと労力を削減できます。
継続的なセキュリティ: セキュリティ チェックが一貫して実行されるようにすることで、脆弱性が抜け落ちにくくなります。
コード品質の向上: 定期的なセキュリティスキャンにより、開発者が潜在的なセキュリティ問題に気付くようになるため、コード品質が向上します。
コンプライアンス: コードベースが定期的にスキャンされ、保護されるようにすることで、コンプライアンス要件を満たすのに役立ちます。
CI/CD パイプラインにセキュリティテストを統合することは、アプリケーションのセキュリティと整合性を維持するために不可欠です。HCL AppScan Maven プラグインと HCL AppScan Gradle プラグインは、セキュリティ チェックを自動化し、コードが最初から安全であることを保証する強力なツールを提供します。これらのプラグインをビルドプロセスに組み込むことで、アプリケーションのセキュリティ体制を強化し、自信を持ってソフトウェアをリリースできます。
この統合は、Visual Studio、Jenkins、GitHub、GitLab など、需要の高いツールとのマーケットプレイスベースのコラボレーションの広範なリストの一部です (完全なリストはこちらをご覧ください)。
HCL AppScan アプリケーションセキュリティテストソリューションの詳細については、こちらをご覧ください。
HCL AppScan on Cloud または AppScan 360 の顧客ではありませんか? 上記のビルド プラグインで使用する Application Security on Cloud の無料トライアルについては、こちらをクリックしてください。または、今すぐ HCL AppScan 360° の旅を始めるには、HCLSoftware にお問い合わせください。
DAST for Developers: Enhanced Application Security from HCL AppScan の翻訳版です。
開発者向け DAST: HCL AppScan による強化されたアプリケーションセキュリティ
2024年8月20日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
今日のペースの速い開発環境では、開発者はソフトウェア セキュリティに対する責任をさらに負うことが求められています。誤った構文、マージ エラー、統合の問題を特定するのに役立つツールが多数あるにもかかわらず、開発者は自分が書いたコードに脆弱性を持ち込んでいるかどうかに気付いていないことがよくあります。これがセキュリティチームに届くとボトルネックになる可能性があるため、組織は開発ライフサイクルのかなり早い段階で開発者にセキュリティ ツールを強化することで時間とリソースを節約しています。
静的アプリケーションセキュリティテスト (SAST) は、従来、開発者が書いたコードをテストするための最も重要なツールでした。動的アプリケーションセキュリティテスト (DAST) は、セキュリティチームによってサイクルの後半で使用されてきました。しかし、開発者にとっても使いやすい DAST ツールの需要が高まっており、開発プロセスの一環としてより安全なコードを作成するチェックとバランスのシステムを開発者に提供します。
開発者向け DAST と呼んでも、開発者中心の DAST と呼んでも、HCL AppScan には、HCL AppScan on Cloud (ASoC)、HCL AppScan 360° (AS360)、HCL AppScan Standard (ASD)、または HCL AppScan Enterprise (ASE) をサイクルの早い段階で使用しているかどうかに関係なく、開発者が DAST スキャン、修復、検証をワークフローにシームレスに統合するために必要なツールがあります。
使い慣れたツールとの統合: Jenkins、Azure DevOps、GitHub、欠陥追跡システム統合のプラグイン、またはコミュニティ プラグインを活用して、既存の CI/CD パイプライン内で直接スキャンを開始します。(ASoC、AS360、ASE)。
プロモーション前の個人スキャン: 変更をプロモーションする前にコードをクイックスキャンし、脆弱性を早期に検出してメインブランチに侵入するのを防ぎます (ASoC、AS360)。
AppScan CMD/ソフトウェア開発キット (SDK): AppScan CMD/SDK を使用すると、独自の統合を構築して、コードに導入された変更のみに焦点を当てた、ユニット テストに似た超高速テストを開発者 IDE 内で実行できます。
初心者向けのシンプルなスキャン: AppScan は、基本的なスキャン用に事前構成されたワークフローを提供します。これは、DAST を初めて使用する開発者に最適です。すぐに開始して、一般的な脆弱性を特定します。
高度な構成が必要なスキャン: 複雑なセキュリティテストの場合、AppScan は、AppSec 専門家の専門知識に対応する詳細な構成オプションを提供します。
セキュリティ タスクの自動化: API、SDK、CLI、Webhook との DAST 統合により、反復的なセキュリティ タスクを自動化して、貴重な開発時間を節約できます。
増分スキャン: 増分スキャンを使用して、コードベースで変更された部分のみに DAST スキャンを集中させます。これにより、徹底したセキュリティテストを維持しながら、時間とリソースを節約できます。
記録されたトラフィックによるターゲット スキャン: AppScan トラフィック レコーダーまたはアクティビティ レコーダーを使用して、特定のユーザーインタラクションまたはアプリケーションアクティビティをキャプチャします。これにより、コードが変更された領域のみをターゲットとする集中的な DAST スキャンを作成できるため、より迅速に結果が得られます。
テストの最適化とポリシー: テストの最適化機能と定義済みのセキュリティポリシーを使用して、DAST スキャンをカスタマイズします。これにより、特定のアプリケーションに最も関連性の高いセキュリティ チェックに焦点を絞ることができます。
除外と例外: 除外機能と例外機能を使用して、コードベースの無関係な領域をスキャンから除外します。これにより、スキャンが効率化され、ノイズが削減されます。
スキャンの深さの制御: スキャンの深さを定義して、包括性と速度の適切なバランスを実現します。
リアルタイムの洞察のための IAST エージェント: Interactive Application Security Testing (IAST) エージェントは、IDE とプロアクティブに統合され、コーディング/テスト時に脆弱性を正確に特定します。問題をすぐに修正し、後で大きな問題になるのを防ぎます。詳細はこちらをご覧ください。
コールスタックの可視性: IAST エージェントは DAST の問題のコールスタックを提供するため、コードベース内の脆弱性の正確な場所を特定して、より迅速に修復できます。
修復が簡単: HCL AppScan は、脆弱性を特定するだけではありません。詳細な説明、優先順位付け、自動クローズ検証を提供し、修復を効率化します。さらに、ASoC のロードマップには、GenAI を利用した魅力的な自動修正推奨事項が含まれています。
脆弱性コンポーネントの検出: HCL AppScan は、アプリケーションで使用されるサードパーティコンポーネント内の脆弱性を特定することで、従来の DAST を超えています。これにより、アプリケーションのセキュリティ体制 (ASE、ASD) をより包括的に把握できます。
豊富なコンプライアンスとレポート: 業界標準とコンプライアンス要件に準拠した詳細なレポートを生成します。これにより、セキュリティ監査が簡素化され、安全なコーディングプラクティスへの取り組みが実証されます。
アプリケーションセキュリティ戦略が「シフトレフト」であっても「シフトエニウェア」であっても、開発者はますます多くの責任を負うことになり、実用的な調査結果を提供して効率を最大化する使いやすいツールが必要になります。HCL AppScan は、セキュリティを重視する開発者に最高のソリューションを提供することに注力しています。複数の製品とプラットフォームに搭載されているHCLSoftware の DAST ソリューションにより、開発者はアプリケーションセキュリティで積極的な役割を果たせます。合理化された統合、実用的な洞察、自動化機能を備えたHCLSoftwareのツールは、セキュリティのボトルネックを回避し、開発コストを削減し、自信を持ってソフトウェアをリリースするのに役立ちます。
HCL AppScan DAST のパワーを体験する準備はできましたか? 今すぐ無料トライアルをダウンロードしてください!
AI-driven, Human-verified: Application Security Autofix from HCL AppScan の翻訳版です。
AI 駆動、人間による検証: HCL AppScan のアプリケーションセキュリティ自動修正
2024年8月20日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
HCL AppScan は、HCLSoftware の主力 SaaS プラットフォームである HCL AppScan on Cloud (ASoC) に統合された GenAI で強化された自動修正機能のリリースにより、開発者に高速なセキュアコーディング支援を提供します。セキュリティ専門家と開発者は、脆弱性の検出だけでなく、高速で効率的かつ信頼できるように設計された修復ソリューションを使用して修正に必要な支援を受けられます。
HCLSoftwareの修復支援の中心となるのは、29 のプログラミング言語のソースコードで静的アプリケーションセキュリティテスト (SAST) スキャンによって検出された一般的な脆弱性に対する、厳選された自動修正推奨事項です。これらの推奨事項は、セキュリティの専門家と研究者で構成される HCL AppScan チームによって開発、レビュー、承認されています。脆弱性が特定されると、ASoC は適切な自動修正推奨事項をすばやく見つけ、GenAI を活用して修正のわかりやすいコンテキストを提供します。
ASoC は、GenAI を使用して要約およびコンテキスト化された、厳選された自動修正推奨事項を使用することで、開発者が迅速かつ極めて自信を持って修復の決定を下せるようにします。これにより、開発ライフサイクルの早い段階で問題を修復する全体的な時間が短縮され、後のビルドおよびテストフェーズでセキュリティチームによるよりコストのかかる修復の必要性が大幅に軽減されます。
今日、多くのベンダーが、多くの固有のリスクを伴う AI セキュリティコーディングアシスタントを提供しています。GenAI に自動修正推奨事項の作成を任せる場合、2 つの主な危険があります。1 つは、GenAI がトレーニングデータセットによって制限されることです。2 つ目は、GenAI は学習するにつれて一貫性のない応答を提供することが実証されています。その結果、提案される修正の品質はまちまちです。正確な修正推奨事項を提供するものもあれば、幻覚や不一致を含むものもあり、大幅な手動監視なしでは使用が安全でないコードを生成する可能性があります。ここでの矛盾は明らかです。GenAI が人間のレビューなしで完全に信頼できない場合、実際には開発者の作業が遅くなります。
HCL AppScan は、GenAI を使用して、精選された自動修正推奨事項を文脈化することで、セキュリティ専門家とソフトウェア開発者に、安全に使用でき、GenAI によく伴うリスクを回避できる強力な教育ツールを提供します。HCL AppScan のアプローチは、修正推奨事項を理解し、修復の一環として適用するまでの時間を短縮することに重点を置いています。
HCL AppScan は、Intelligent Finding Analytics (IFA) で SAST スキャンの精度を向上させ、Intelligent Code Analytics (ICA) でスキャン範囲を広げるために AI を活用してきた長い歴史があります。どちらの場合も、AI は 2 つの方法で開発者エクスペリエンスを向上させるために活用されています。1 つは、他の脆弱性の中でも最も優先度の高い脆弱性に焦点を当てること、もう 1 つは、開発者が最も重要な問題に集中できるように従来の検出結果をグループ化することです。
専門家も初心者も、HCL AppScan CodeSweep の自動修正機能が以前から利用可能だったことから、何年もの間、開発者は恩恵を受けてきました。この SAST テクノロジーのコミュニティエディションは、開発者 IDE のプラグインと CI/CD パイプラインに統合された、厳選された修正推奨事項を提供します。
GenAI を使用したこの新しいバージョンの自動修正は、SAST テクノロジーへのアクセスを含むライセンスを持つすべての ASoC ユーザーにすぐに提供されます。HCL AppScan は、近い将来、追加のプログラミング言語の自動修正を追加するなど、自動修正機能をさらに高速化する追加の計画があります。より深い GenAI 統合により、スキャン結果に基づく自動修正推奨事項の作成と実装など、自動修復のさらに多くの側面が処理されます。
自動修復は、GenAI がますます積極的な役割を果たす可能性があるアプリケーションセキュリティの重要な領域の 1 つです。ただし、修正推奨事項が信頼できるものでなければ、問題の修正速度を上げてリスクを軽減することはできません。GenAI によって提供される要約とコンテキストを備えた厳選された修正推奨事項を使用する HCL AppScan の自動修正リリースは、人間の専門知識と AI の効率性の完璧なバランスです。その結果、開発者が信頼できる高速で正確な自動修復ソリューションが実現します。
今すぐお問い合わせいただき、HCL AppScan on Cloud の無料トライアルをお試しになり、GenAI で強化されたこの自動修復ソリューションが、脆弱性の検出と修正をいかに迅速に行うのに役立つかをご自身でお確かめください。
HCL AppScan の高速、正確、俊敏なアプリケーションセキュリティテストソリューションの詳細をご覧ください。
From Remediation to Auto-remediation and GenAI (Part 2) の翻訳版です。
修復から自動修復および GenAI へ (パート 2)
2024年8月14日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
これは、修復と人工知能 (AI) の使用に関する 2 部構成のシリーズのパート 2 です。パート 1 では、開発者が脆弱性を修正するのを支援するもう 1 つの主要なアプローチ、つまり従来の修復と教育を紹介します。
キュレーションされた自動修正は、ソースコードで見つかった既知の脆弱性に対処するために、人間のセキュリティ専門家によって作成されます。単純な問題の場合、これらの修正は IDE の自動補完レベルであってもほぼ瞬時に適用できます。このアプローチは「実証済みの」方法で、さまざまなセキュリティ問題と非セキュリティ問題に対処するために長年使用されています。
これらの修正の利点は、テストおよび検証されているため、新しい問題を引き起こすことなく、問題を修復する信頼性の高い方法を提供できることです。これらの修正の一貫性により、同じ問題が常に同じ方法で解決され、コードの品質と保守性が向上します。
このようなツールは、即時の解決策だけでなく、修正によってどのように問題が解決されるかを説明する説明が付属していることが多いため、教育的価値も提供します。修復と学習というこの二重の利点は、開発者が将来同様の問題を理解し、防止するのに役立ちます。
キュレーションされた自動修正に欠点があるとすれば、それはスケーラビリティの課題です。これらの修正は手作業で作成されるため、複数の例とユースケースにわたって各言語で実装およびテストするには多大な労力が必要です。この労働集約的なプロセスにより、アプローチをより広範な問題と言語に拡張する能力が制限されます。この課題にもかかわらず、キュレーションされた自動修正の有効性と信頼性は、特によく知られた繰り返し発生する問題に対して、開発者の武器庫にある貴重なツールとなっています。
修復に対する 3 番目のアプローチは、最も有望なものの 1 つであり、Generative AI (GenAI) を活用してオンデマンドの自動修正を作成します。このテクノロジーは、優れたカバレッジと汎用性を提供し、事実上すべてのプログラミング言語の問題に対する修正を提供する可能性があります。
GenAI を使用すると、開発者はさまざまなコーディング環境や要件に適応できる自動化されたオンザフライソリューションにアクセスできるため、修復プロセスの効率と有効性が大幅に向上します。この方法の目標の 1 つは、巧妙なプロンプトエンジニアリングにより、これらの AI 駆動型ソリューションが特定の問題に効果的に対処するコンテキスト認識応答を生成できるようにすることです。このアプローチは比較的迅速な実装とスケーリングを約束し、さまざまなコーディングの問題に対処できるようになります。
GenAI は、大規模言語モデル (LLM) などの基盤となる AI モデルを使用して、十分な情報がない場合でも回答を生成します。その結果、「幻覚」、つまり不正確または無意味な応答が生じることがあります。このため、監視なしでは修正の品質は保証されません。
GenAI の結果は、使用されるプロンプトと、Gen AI モデルがトレーニングされたデータの品質に依存します。ChatGPT や Claude などの事前トレーニング済みモデルは使いやすいですが、これらのモデルは必ずしもコードのみでトレーニングされているわけではなく、検証可能なセキュリティコードでトレーニングされているわけでもありません。
既存のモデルを微調整するのは難しく、修正しようとしている脆弱性をモデルが「理解」していることを保証するものではありません。モデルを最初からトレーニングするのはさらに難しく、非常にコストがかかり、膨大な量のデータが必要になります。さらに、トレーニング済みのモデルは、新たに発見された脆弱性ごとに再トレーニングする必要があり、スケーラビリティはほぼ不可能になります。
修復と AI の使用に関する 3 つのアプローチを検討すると、GenAI 自動修正は有望な方向性である一方で、落とし穴があることは明らかです。組織は、安全なコードをリリースしていることを確認するためのチェックとバランスの方法として、手動による監視を維持する必要があります。
このシリーズのパート 1 で説明したように、教育は常にスキルギャップを埋め、開発者が最初から安全なコードを書くようにトレーニングされるようにするための最良のアプローチです。そして、AI もここで役割を果たします。HCL AppScan は、より複雑な修復アドバイザリのわかりやすい概要をユーザーに提供することで、教育をより実用的なものにするために、GenAI と LLM の使用を検討してきました。
必要な時間とリソースにもかかわらず、キュレートされた自動修正のセットをコンパイルすることは、結果として得られる修正が追加の問題を引き起こすことなく脆弱性に対処すると信頼できるため、多くの場合、努力する価値があります。また、GenAI には、厳選された自動修正の生成とテストの作業負荷を軽減する強力なユースケースがあることも注目に値します。
AI は、セキュリティテストソフトウェアに組み込まれている場合でも、開発者のユーザーエクスペリエンスの一部として組み込まれている場合でも、今後も存在し続けるでしょう。時間とリソースの節約の可能性は莫大です。今日の意思決定者は、コスト削減につながる新しいテクノロジーに内在する潜在的なリスクを考慮し、信頼できる厳選されたツールやアプローチの採用とバランスを取る必要があります。
HCL AppScan にアクセスして、HCLSoftware のアプリケーションセキュリティテストソリューションで現在利用可能な AI および機械学習機能の詳細をご確認ください。
From Remediation to Auto-remediation and GenAI (Part 1) の翻訳版です。
修復から自動修復、そして GenAI へ (パート 1)
2024年8月14日
著者: Adam Cave / Product Marketing Manager, HCL AppScan
人工知能 (AI) は誰もが話題にできる話題です。生成 AI (GenAI) と大規模言語モデル (LLM) の登場により、AI の機能は自動化やデータ分析をはるかに超えて拡張され、テクノロジー、ビジネス、日常生活のあらゆる側面に浸透するには、データサイエンスの博士号が実質的に必要になっています。
GenAI は、ますます増え続けるコードをより短い期間で記述しようとしているソフトウェア開発者にとって、ゲームチェンジャーと見なされています。GitHub Copilot、Amazon Code Whisperer、Tabnine などのツールは、シンプルなプロンプトから AI 生成コードを作成できるようになり、開発者の膨大な時間を節約できます。これらのツールは、一般的なコーディングタスクを迅速に処理することに優れていますが、LLM に使用されるトレーニング データに存在していた可能性のあるセキュリティの脆弱性をもたらす可能性があります。
GenAI は、どのように使用しても、生産性を向上させる強力なツールであることは間違いありません。アプリケーションセキュリティの分野では、ユースケースは「防御的 AI」または「攻撃的 AI」のいずれかとして見られることがよくあります。
前者の場合、防御的 AI は、AppSecn テストの結果を整理し、どの結果が最も「興味深い」か、人間の注意を必要とするかを判断する能力が成熟しています。セキュリティの観点から重要度が低いと判断された結果を除外することで、これらのツールは開発チームの時間を大幅に節約できます。
攻撃的 AI とは、データ侵害を可能にするセキュリティ上の欠陥を見つけるために、実行中のソフトウェアアプリケーションへの攻撃を GenAI を使用して調整することです。AI 生成コンテンツを使用したフィッシング攻撃など、さまざまな攻撃ベクトルに国家支援のハッカーを含む悪意のある人物が攻撃的 AI を使用することには大きな懸念があります。諺にあるように、最良の防御は優れた攻撃です。そのため、セキュリティ研究者は、攻撃に効果的に対抗するために、同じ AI ツールを使って GenAI の機能についてさらに学習しています。
脆弱性を見つけることは、堅牢なアプリケーションセキュリティを維持するための重要なステップですが、問題を特定することは始まりに過ぎません。問題を修正することも同様に重要です。ここで修復が重要になります。修復は、セキュリティの脆弱性だけでなく、従来のバグやコーディング規則 (リンティング) にも関係します。修復には、主に 3 つのアプローチがあります。
従来の修復: この教育ベースのアプローチには、よく書かれた記事、トレーニングビデオ、洞察を盛り込んだブログ、さまざまな種類の問題に関する開発者向けのガイダンス、およびさまざまなプログラミング言語やアプリケーションフレームワークでの修正方法の例が含まれます。
自動修復: このアプローチでは、使用されている AppSecn ソフトウェアが、特定の種類の問題に使用するための、手作業で作成された/キュレートされた/事前に作成された自動修正を開発者またはセキュリティ チームに提供します。いずれの場合も、特定の言語が提供され、修正の複雑さは大きく異なる場合があります。
GenAI による自動修復: このアプローチでは、LLM を使用して GenAI がコード修正をオンデマンドで修復します。これは通常、巧妙なプロンプトエンジニアリングを採用した API にラップされており、多くの場合、コードスニペットを GenAI プラットフォームに送信する必要があります。
2 部構成のブログ投稿のパート 1 では、従来の修復に見られる教育ベースのアプローチについて説明します。パート 2 では、手作業で作成/キュレート/事前に作成された自動修正と GenAI 駆動の自動修正の両方を使用した自動修復について詳しく説明します。
包括的なリソースを通じて開発者を教育することで、開発者は問題を特定して理解できるようになるだけでなく、ソリューションのニュアンスも把握できるようになります。この理解の深さは、開発者が将来同じ間違いを繰り返さないようにするための準備となるため、非常に重要です。このような教育コンテンツは、セキュリティを開発者のスキル セットに組み込むのに役立ち、セキュリティの問題に対するリアクティブではなくプロアクティブなアプローチを促進します。
さまざまな種類の問題を詳しく説明し、さまざまなプログラミング言語で問題を解決する方法の例を提供する、よく書かれた記事は、アプリケーション セキュリティで長期的に成功するための最良の方法の 1 つであると言えます。セキュリティソフトウェアのユーザーインターフェイス (UI) の一部として完全な記事または要約が提供される場合があり、開発者は問題が指摘されたときにその背景を把握できます。
さらに、スケーラブルで包括的なトレーニングモジュールは、開発者がスキルを継続的に向上させ、新しいセキュリティ上の課題に適応するのに役立ちます。セキュリティを優れたコーディングプラクティスの不可欠な要素にすることで、記事と教育リソースは、より堅牢で回復力のある開発文化に貢献します。
熟練した開発者は、高品質で効率的でスケーラブルなコードを作成することが期待されるのと同様に、コードのセキュリティを確保することも期待されます。教育は、開発組織の複数のメンバーのスキル全体でこれを実現する最も効果的な方法です。
手作業で作成/キュレート/事前に作成された自動修正と GenAI 駆動の自動修正の長所と短所、および 3 つのアプローチの比較の概要については、このシリーズの第 2 部で詳しく説明します。
HCL AppScan のページにアクセスして、HCLSoftware のアプリケーションセキュリティテストソリューションで現在利用可能な AI および機械学習機能の詳細をご確認ください。