ホーム
製品の概要
AppScan Enterprise におけるインタラクティブ・アプリケーション・セキュリティー・テスト (IAST)
IAST エージェントを使用した OWASP ベンチマーク
OWASP ベンチマーク・プロジェクトは、ソフトウェアの脆弱性検出ツールを評価するように設計された Java テスト・スイートです。HCL AppScan IAST Java エージェントは、OWASP ベンチマークに完全に準拠しています。

ようこそ
HCL AppScan Enterprise 10.3.0 の資料へようこそ。ここでは、HCL AppScan Enterprise をインストール、保守、および使用する方法に関する情報を見つけることができます。
AppScan® Enterprise のアクセシビリティー機能
アクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つお客様が、IT 製品を快適に使用できるように支援します。
製品の概要
- アプリケーション・セキュリティー管理
  セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。
- AppScan® Enterprise のコンポーネント
  HCL® AppScan® Enterprise を使用すると、組織は、アプリケーション・セキュリティー・リスクを軽減し、アプリケーション・セキュリティー・プログラム管理の取り組みを強化し、規制コンプライアンスを達成することができます。セキュリティー・チームと開発チームは、アプリケーション・ライフサイクル全体にわたってコラボレーションし、ポリシーを確立し、テストのスケールを調整することができます。エンタープライズ・ダッシュボードでは、業務への影響に基づいてアプリケーション資産の分類と優先順位付けを行い、高リスクの領域を特定することにより、修復作業の効率を最大限に高めることができます。アプリケーション・セキュリティー・プログラムの進行状況のモニターに役立つパフォーマンス・メトリックが提供されます。
- アプリケーション・セキュリティー管理の概要
  自分のロールに応じて、製品のさまざまな分野から開始することができます。
- HCL AppScan® Enterprise の新機能
  このセクションでは、このリリースにおける AppScan Enterprise 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。
- AppScan Enterprise におけるインタラクティブ・アプリケーション・セキュリティー・テスト (IAST)
  - IAST エージェントのライセンス
  - AppScan Enterprise Server で IAST Communication Service を設定する
    IAST Communication Service は、構成ウィザードの実行中に自動的に構成されます。
  - Java IAST エージェントのダウンロードと Web サーバーへのデプロイ
    ランタイム中に送信されるトラフィックを監視し、検出された脆弱性をレポートするには、IAST エージェントをダウンロードしてテスト対象のアプリケーションの Web サーバーにデプロイする必要があります。
  - .NET
    Java、.NET、.NET Core、または Node.js ベースのアプリケーションをサポートするテスト対象のアプリケーションの Web サーバーに IAST エージェントをデプロイできます。このセクションでは、Web サーバーに .NET または .NET Core IAST エージェント・タイプを作成する方法について説明します。
  - Node.js IAST エージェント・タイプのダウンロードとデプロイ
    Java、.NET、または Node.js ベースのアプリケーションをサポートするテスト対象のアプリケーションの Web サーバーに IAST エージェントをデプロイできます。このセクションでは、Web サーバーに Node.js エージェント・タイプを作成する方法について説明します。
  - AppScan Enterprise で IAST エージェントを管理する
    AppScan Enterprise は単一のアプリケーションで複数の IAST エージェントをサポートしています。
  - IAST エージェントを使用した OWASP ベンチマーク
    OWASP ベンチマーク・プロジェクトは、ソフトウェアの脆弱性検出ツールを評価するように設計された Java テスト・スイートです。HCL AppScan IAST Java エージェントは、OWASP ベンチマークに完全に準拠しています。
- AppScan を使用した脆弱なコンポーネントの検出
  AppScan は、サード・パーティー・コンポーネントの脆弱性を特定してレポートすることでアプリケーションのセキュリティを拡張し、潜在的な脅威からビジネスを保護します。これにより、未検出の脆弱性を防ぎ、ビジネスの継続性を保証します。
- サポートされるテクノロジー
- 既知の問題と回避策
  既知の問題と回避策を示します。
- 非推奨の機能
  AppScan® Enterprise の前のリリースからマイグレーションする場合は、このリリースで推奨されなくなった各種の機能に注意する必要があります。
- AppScan Enterprise 特記事項
- 適切なセキュリティーの実施について
インストール
製品のインストール方法について説明します。
アップグレードおよびマイグレーション
製品のアップグレード方法について説明します。
統合
製品の他のソリューションとの統合方法について説明します。
DevOps
REST API およびプラグインを使用した製品の拡張方法について説明します。
ベスト・プラクティス
製品を使用するためのベスト・プラクティスについて説明します。
構成
製品の構成方法について説明します。
管理
製品の管理方法について説明します。
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
トラブルシューティングおよびサポート
HCL® ソフトウェアの問題の理解、分離、解決に役立つように、このトラブルシューティングおよびサポートの情報には、HCL 製品と一緒に提供される問題判別リソースの使い方の指示が含まれています。
参照
製品の参照情報を確認します。
用語集

IAST エージェントを使用した OWASP ベンチマーク

OWASP ベンチマーク・プロジェクトは、ソフトウェアの脆弱性検出ツールを評価するように設計された Java テスト・スイートです。HCL AppScan IAST Java エージェントは、OWASP ベンチマークに完全に準拠しています。

手順

AppScan IAST Java エージェントで OWASP ベンチマークを実行するには、次のようにします。

https://github.com/OWASP-Benchmarkから、BenchmarkJava と BenchmarkUtils をダウンロードするか、Git クローンを作成します。
コマンド・プロンプトを開き、 cd で BenchmarkUtils ディレクトリーに移動し、 mvn install -DskipTestsを実行します。
AppScan Enterprise の場合: Java IAST エージェントのダウンロードと Web サーバーへのデプロイで説明するとおり、IAST Java セッションを開始し、エージェント zip をダウンロードします。
ZIP ファイルのコンテンツを抽出します。
抽出した JAR の jar_deploymentフォルダーで secagent.jar を見つけ、 BenchmarkJava\tools\HCL にコピーします。
コマンド・プロンプトを開き、 runBenchmark_wHCL.batを実行し、「[情報] コンテナを停止するには Ctrl-C を押してください...」というメッセージが表示されるまで待ちます。
別のコマンド・プロンプトを開き、 BenchmarkJava\runCrawler.batを実行します。
クロールが完了したら、 CTRL + C キーを押して、Benchmark Tomcat インスタンスを停止します。「バッチ・ジョブを終了しますか (Y/N)?」と聞かれた場合、 N を入力します。
BenchmarkJava\createScorecards.batを実行します

テスト結果は BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} ファイルにあります。

図: OWASP Benchmark v1.2 結果の比較