始めに

セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。

概要

HCL AppScan on Cloud (ASoC) は、すべてのアプリケーション・セキュリティー・テストのニーズに応える SaaS ソリューションです。すべての HCL セキュリティー・テスト機能が単一のサービスに統合され、すべての技術に共通したエクスペリエンスを提供します。HCL セキュリティーASoC では、動的および静的技術を使用して Web、モバイル、デスクトップのアプリケーションをスキャンします。
動的分析 (DAST)
ASoC は、実動環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。動的 (DAST) スキャンを参照してください
静的分析 (SAST)
ASoC は Web アプリケーションとデスクトップ・アプリケーションのセキュリティー・スキャンを実行します。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。IFA では、セキュリティー検出結果を選別する手間を大幅に削減し、価値の高い陽性の問題のみに的を絞ることができます。ICA では、他のテクノロジーで必要とされる複雑な構成を削減、または完全に省いて、スキャンの精度を自動的に向上させることができます。静的 (SAST) スキャンを参照してください
モバイル分析
ASoC は、Android と iOS の両方のアプリでランタイム・セキュリティー分析を実行します。アプリケーション・イメージ (APK または IPA ファイル) をアップロードするだけで、ランタイム分析が実行され、デバッグや解決を容易するために検出された問題が再現の指示とともに示されます。動的分析と同様に、プライベート・サイトのスキャン・テクノロジーを使用して、組織内でのみアクセス可能なサービス・バックエンドのある実動前モバイル・アプリをテストできます。モバイルのスキャンを参照してください
対話型分析 (IAST)
ASoC は、スキャンされているアプリケーションの Web サーバーにインストールされているエージェントを使用して、アプリケーション内のデータのフローをモニターし、実行中のアプリケーションのコードを分析します。IAST スキャンは独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。インタラクティブ (IAST) スキャンを参照してください
オープン・ソース分析
ASoC は、アプリケーション内で使用されるオープン・ソース・パッケージを識別し、既知の脆弱性があるパッケージをレポートして、修復のアドバイスを提供します。オープン・ソースのテストは、単独で、または静的スキャンの一部として実行できます。オープン・ソースのテストを参照してください

ASoC には、すべての機能を使用可能にする Web UI があります。ただし、IDE と自動化システムのプラグインも使用できるため、特に必要がなければサービス自体とのインタラクションは不要です。開発者は、例えば、IDE とブラウザーの間を行き来することなく独自の統合開発環境 (IDE) を使用することができます。IDE プラグインは、Web UI では不可能なコード・インタラクションも可能にします。

機能を補完するために、ASoC は、ASoC での動作を制御する REST API の包括的なセットも公開しています。これにより、ASoC を自動化環境へ統合するために最適化できます。お客様は、ASoC のワークフローに縛られず、REST API を使用して独自のワークフローを作成することができます。

ASoC は、セキュリティー・ポリシーのコンプライアンスに役立ちます。事前定義されたポリシーを使用、またはカスタム・ポリシーを定義することで、コンプライアンスを満たさない注意が必要なアプリケーションを容易に識別できます。定義済みのポリシーに従ってフィルタリングすることで、問題の修正を優先順位付けできます。多数の問題で混乱することなく、特定のポリシーに従ってフィルタリングすることで修正を優先順位付けし、特定のコンプライアンスにターゲットを絞り込みます。

ASoC では、個人スキャンも実行できます。これはアプリケーションのスキャンのリストに表示されますが、そのスキャン・データは他のアプリケーションのスキャン結果とマージされません。これにより、開発者がスキャンを実行しても、検出された問題が全体のアプリケーション・データ内に表示されることはありません。このため個人スキャンの結果では、コードがメイン・コード・ストリームにプッシュされる前に重大な問題を調査することができます。

ASoC は、多種類のアプリケーションをスキャンするためにすべてのスキャン機能を活用し、組織全体のセキュリティー・コンプライアンスを管理し、セキュリティー・スキャン操作を自動化するのに役立ちます。