概要 HCL AppScan on Cloud
セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。
概要
- 動的分析 (DAST)
- ASoC は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、ASoC がプライベート・サイトのスキャン・テクノロジーの支援を受けて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。動的スキャン (DAST) を参照してください。
- 静的分析 (SAST)
- ASoC は Web アプリケーションとデスクトップ・アプリケーションのセキュリティー・スキャンを実行します。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。IFA は、セキュリティー検出結果を選別する手間を大幅に削減し、価値の高い陽性の問題のみに的を絞ります。ICA では、他のテクノロジーで必要とされる複雑な構成を削減、または完全に省いて、スキャンの精度を自動的に向上させることができます。「静的 (SAST) スキャン」を参照してください。
- インタラクティブ監視 (IAST)
- ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。インタラクティブ監視 (IAST) について を参照してください。
- ソフトウェア・コンポジション分析 (SCA)
- ASoC は、アプリケーション内で使用されるオープン・ソース・パッケージを識別し、既知の脆弱性があるパッケージをレポートして、修復のアドバイスを提供します。SCA テストは、単独で、または静的スキャンの一環として実行できます。ソフトウェア・コンポジション分析 (SCA) について を参照してください。
ASoC には、そのすべての機能を使用可能にする Web インターフェースがあります。ただし、IDE と自動化システムのプラグインも使用できるため、特に必要がなければサービス自体とのやり取りは不要です。例えば、開発者は統合開発環境 (IDE) とブラウザーとを切り替えなくても、自分の IDE を使用し続けることができます。IDE プラグインを使用すると、Web インターフェースでは不可能なコード・インタラクションも可能になります。
機能を補完するために、ASoC は、ASoC での動作を制御する REST API の包括的なセットも公開しています。これにより、ASoC を自動化環境へ統合するために最適化できます。お客様は、ASoC のワークフローに縛られず、REST API を使用して独自のワークフローを作成することができます。
ASoC は、セキュリティー・ポリシーのコンプライアンスに役立ちます。事前定義されたポリシーを使用、またはカスタム・ポリシーを定義することで、コンプライアンスを満たさない注意が必要なアプリケーションを容易に識別できます。定義済みのポリシーに従ってフィルタリングすることで、問題の修正を優先順位付けできます。多数の問題で混乱することなく、特定のポリシーに従ってフィルタリングすることで修正を優先順位付けし、特定のコンプライアンスにターゲットを絞り込みます。
ASoC では、個人スキャンも実行できます。個人スキャンはアプリケーションのスキャン・リストに表示されますが、スキャン・データが他のアプリケーションの結果とマージされることはありません。これにより、開発者がスキャンを実行しても、検出された問題が全体のアプリケーション・データ内に表示されることはありません。このため個人スキャンの結果では、コードがメイン・コード・ストリームにプッシュされる前に重大な問題を調査することができます。
ASoC は、多種類のアプリケーションをスキャンするためにすべてのスキャン機能を活用し、組織全体のセキュリティー・コンプライアンスを管理し、セキュリティー・スキャン操作を自動化するのに役立ちます。