Guide To Reliable Application Security Testing Software の翻訳版です。
HCL AppScan: 信頼性の高いアプリケーションセキュリティテストソフトウェアへのガイド
2022年6月6日
著者: Unnati Ghosh / Senior Associate
迅速、正確、かつ機敏なアプリケーション・セキュリティ・テストのための安全なソリューションをお探しですか?システムの脆弱性を迅速に検出する、市場をリードする信頼性の高いWebアプリケーション・セキュリティ・テストの仕組みはいかがでしょうか。アプリケーション開発者が開発サイクルの各段階で不具合を修正できるよう支援するこのプログラムは、お客様のビジネスと顧客を包括的に保護するクラス最高の動的ツールを提供するよう設計されています。
洗練された技術と最先端のツールは、開発者が脆弱性を制限したコードを書くことを可能にします。また、アプリケーション開発チームは、リソースを効率的に活用し、コラボレーションを強化し、高度な技術を活用して安全なソリューションを開発できます。
また、複数の脅威から組織を保護し、セキュリティチームによる脆弱性の可視性を向上させることができます。さらに、開発チームは、同じ助けを借りて、実用的な発見に基づいて行動できます。
もっと読むNew Vulnerability in Spring Framework Detected の翻訳版です。
Spring Framework における脆弱性を検出
HCL AppScanチームにより、Spring FrameworkのSpringShellと呼ばれる脆弱性が最近発見されました。
SpringShellは、CVE IDがCVE-2022-22965であり、悪用に成功するとリモートコード実行(RCE)となり、Webサーバーが危険にさらされ、攻撃者の制御下に置かれることになります。Spring Frameworkバージョン5.3.17/5.2.19以下に影響します(バージョン5.3.18/5.2.20でパッチが適用されました)。
AppScanのユーザーは、AppScanのSCAサービス、およびAppScanのDASTエンジンの最新バージョンの両方を通じて、この脆弱性を検出できます。
もっと読むLatest Version of AppScan Standard Now Available の翻訳版です。
HCL AppScan Standard の最新バージョン 10.0.7 をリリースしました
2022年4月28日
著者: Asaf Yogev / Experienced UX Leader, Researcher, and Designer, HCL Software
訳者注: HCL AppScan 各エディションの 10.0.7 は 2022年3月21日にリリースされました</>
AppScan standard は、過去20年にわたり市場をリードするDASTソリューションとして、長年にわたり機能を進化させてきました。
過去2年間、私たちのチームは、HCL AppScan standardを再構築し、全く新しいユーザー体験を提供するために、同じ優れたDASTスキャンエンジンを使って、ダークモードを含む全く新しい外観から始まり、改善されたワークフロー、より良いガイダンス、より容易な自己トラブルシューティングを実現するために、たゆまない努力を行ってきました。
2021年11月に技術プレビューを公開した後、多くの素晴らしいフィードバックをいただき、引き続き製品に耳を傾け、改善していきたいと考えています。ここでは、新しいAppScan Standardで見られるようになるものの一部をご紹介します。
もっと読むHCL Software、Gartner社から2022年4月のアプリケーション・セキュリティ・テストのマジック・クアドラントのリーダーとして認定される
2022年4月25日
著者: Nabeel Jaitapker / Product Marketing Lead, HCL Software
HCL AppScanは、Gartner社のアプリケーション・セキュリティ・テストのマジック・クアドラントにおいて、2年連続でリーダーに位置づけられました。
AppScanがGartner社のマジック・クアドラントでリーダーとして位置づけられたことは、HCL SoftwareがHCL AppScanにもたらす投資、イノベーション、リーダーシップについて、顧客やビジネスパートナーが自信を持つべきことをさらに立証しています。
Gartner社のアナリストであるMark Horvath氏とDale Gardner氏は、そのレポートの中で、「HCL AppScan は 高速で機敏、より正確なスキャンを提供し、テストとコンプライアンスのレポート機能を拡張してユーザーに提供する」と書いています。
有機的に連携する HCL Software の DevOps 製品、およびセキュリティテスト機能のカバー範囲の広さへの注力とともに、同社は世界クラスの継続的テストポートフォリオを顧客に提供しているのです。
HCL AppScan は、企業とその顧客をサイバー脅威から守る、高速、正確、かつ機敏なセキュリティ・テスト・プラットフォームを提供します。DAST、SAST、IAST、SCA を含む包括的なセキュリティテスト機能を提供し、優れた設計とシンプルな操作性により DevOps のユースケースに適したスキャン技術を提供します。
自己相関的な発見、的を絞ったガイダンス、開発者支援サービスにより、全体的な修復時間を短縮することで開発者が修正に集中できるようにするとともに、組織が制御、可視化、およびガバナンスを備えた大規模なセキュリティプログラムを管理できるようにします。
IDC Ranks HCL AppScan Among Leaders for Worldwide Application Security Quality/Testing の翻訳版です。
IDC が HCL AppScan を世界のアプリケーションセキュリティ品質/テストのリーダーとしてランク付け
2022年4月25日
著者: Nabeel Jaitapker / Product Marketing Lead, HCL Software
HCL AppScan が IDC Marketscape レポートにおいて、世界のアプリケーションテスト、セキュリティ、および品質に関するリーダーとしてランク付けされました。
アプリケーションの攻撃対象がかつてないほど脆弱になり、ほとんどの企業で品質とセキュリティが最重要視されている現在、HCL AppScan は市場でその存在感を示しています。
IDC のアプリケーションライフサイクル管理、品質、およびポートフォリオ戦略サービスのリサーチディレクターである Melinda Ballou 氏は、次のように述べています。
「ソフトウェアは競争上の優位性と革新を促進し、品質とセキュリティは、展開速度の増加、開発期間の短縮、およびアプリケーション攻撃面が主要なリスク領域(脆弱なコードを容易に見つけることができるためより脆弱になっている)においてビジネスに不可欠な緊急課題です」
「HCL Software は、顧客に品質とセキュリティテストの幅広い範囲を提供し、製品を到達可能かつ消費可能なものにすることで、その能力を実証しました」
IDC のあるレポートによると、HCL Software の顧客は、同社が提供する強力な製品サポートを強調し、経験や提案に関する製品管理との一貫したミーティングが製品のロードマップに影響を与えたことを示唆しています。
顧客はまた、HCL Software の製品を採用した後の大きな影響についても IDC に報告しています。あるお客様は、1,400 以上のアプリケーションの 50%以上が自動的にスキャンされるようになったことで、DAST(動的アプリケーション・セキュリティ・テスト)にかかる時間が数日から 1時間に短縮されたことを挙げています。
アプリケーションを静的 (ソース)、動的 (アプリ動作) の両面から解析して脆弱性を検出する HCL AppScan の概要について 4 分にまとめた動画を公開しました。
SpringShell Vulnerability Detected の翻訳版です。
SpringShell の脆弱性の検出
2022年4月4日
著者: Rob Cuddy / Global Application Security Evangelist
先週、新たに2件のSpring Frameworkの脆弱性が表面化し、いずれもクリティカルとされています。 最初のものは、Spring Cloud Functionにおける未認証のリモートコード実行(RCE)の問題で、CVE-2022-22963 という識別名で脆弱性としてリストアップされています。もう1つは、同じく未認証のRCE問題ですが、こちらはSpring Frameworkのコアにあり、識別子は CVE-2022-22965 です。3月31日現在、両方の問題に対してパッチが提供されています。
根本的な原因解析の結果、Spring Frameworkの関数がパラメータバインディング時にクラスオブジェクトを公開することが原因であると判明しました。このパラメータバインディングにより、HTTPリクエストのパラメータをアプリケーションレベルのオブジェクトにバインドできます。
クラスオブジェクトが公開されると、HTTPリクエストにURLパラメータを追加するだけで、クラスオブジェクトを操作できるようになり、リモートでコードを実行される可能性があります。Proof of Conceptでは、ログパスを変更することでTomcatサーバー上にWebシェルをドロップし、Webシェルの内容をJSPファイルに書き込めます。攻撃者は、その後、サーバー上で実行される任意のコマンドを発行できます。 Proof-of-concept Exploitが公開されて以来、活発な悪用が確認されています。 CVE-2022-22965 の深刻度は「Critical」であり、Spring Framework を使用する開発者は最優先で 5.3.18 または 5.2.20 にアップグレードする必要があります。 もし、自分のアプリケーションが危険かどうかわからない場合、アプリケーションが脆弱かどうかを特定する最も早い方法は、ソフトウェア構成分析技術(SCA)を利用することです。
SCAは、アプリケーションに脆弱なバージョンのSpring Frameworkが含まれているかどうか、また、その他の公に知られている脆弱性が含まれているかどうかを判断します。
この種のスキャンを行うツールが必要な場合、HCL AppScan on Cloud が利用可能で、これらの脆弱性やその他の脆弱性を特定する機能を備えています。
次の図は、spring-coreのjarファイルで見つかったCVE-2022-22965をハイライトしたものです。
次の図は、具体的な脆弱性の指摘を含むオープンソースレポートの一部です。
OSAのライセンスをお持ちのお客様は、オープンソースおよびサードパーティーライブラリーのスキャンを選択できます。 現在AppScan on Cloudをご利用でないお客様は、これらのSCA機能を30日間の無料トライアルで利用できます。