メインコンテンツにジャンプ
HCL AppScan 360 ヘルプ
開始
HCL AppScan 360° の資料にようこそ。この資料では、このサービスのインストール、保守、および使用に関する情報を参照できます。
HCL AppScan 360° について
HCL AppScan 360° は、アプリケーションのセキュリティー、可視性、リスク管理が統合されたプラットフォームです。場所を問わず、汎用性、拡張性、展開性に優れています。
役割とワークフロー
さまざまな AppScan 360° ユーザーのさまざまな AppScan 360° タスクとワークフローについて説明します。
サンプル・アプリケーションとスクリプト
連絡先およびサポート
人材およびオンライン・リソースへの便利なリンク。
コンプライアンス
ライセンス交付
インストール
AppScan Central Platform
AppScan Central Platform は HCL AppScan 360° の基盤です。これには、ブラウザーベースのユーザー・インターフェース、API、コア・サーバー・コンポーネントなどが含まれています。AppScan Central Platform (ASCP) を使用する際は、顧客が SQL Server DB と Active Directory (LDAP 経由) も用意する必要があります。
AppScan 360° 静的分析
静的分析が変更されました。これまでセキュリティー・ツールだったものは、コア開発アプリケーションになっています。その進化は、テクノロジーの進化を必要としていました。AppScan 360° 静的分析 (AppScan 360° SAST) は、AppScan 360° で静的分析スキャン機能を提供する、マイクロサービス・ベースの Kubernetes 管理環境です。AppScan Central Platform (ASCP) は、AppScan 360° 静的分析 と通信して、エンド・ユーザーが送信したスキャンを実行します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ユーザー数
ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそうしたグループに追加することで、そのようなアプリケーションへのアクセスを制御することができます。
アプリケーション数
アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、アプリの任意のコンポーネントなどが対象になる可能性があります。「アプリケーション」では、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
ポリシー
事前定義されたポリシーや独自のカスタム・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
DevOps
ソフトウェア開発ライフサイクルの AppScan 360° の組み込み用ツール。
個人スキャンにより
個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
スキャン状況
監査証跡
監査証跡 (「組織」 > 「監査証跡」) は、ユーザー・アクティビティーを記録します。
ナビゲーション
このセクションでは、AppScan 360° のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
すべてのアプリケーション
「アプリケーション」ページには、組織で自分が割り当てられている資産グループ内にあるすべてのアプリケーションがリストされます。「アプリケーション」ページでは、新しいアプリケーションを作成し、個々のアプリケーション・ページを開くことができます。
スキャンおよびセッション
このビューには、すべてのアプリケーション内のすべてのスキャンおよびセッションがリストされます。
ダッシュボード
メイン・ダッシュボードは、メイン・メニュー・バーの 3 番目の項目です。ここでは、すべてのアプリケーションの現在の状態と履歴の概要を確認できます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析のシステム要件
サポートされているオペレーティング・システムと、静的分析を実行する場合に AppScan 360° でスキャンできるファイルのタイプ、場所、プロジェクト。
セキュリティーの脆弱性のスキャン
セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
サンプル・アプリケーションとスクリプト
静的分析のトラブルシューティング
静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
検索結果
アプリケーションの「スキャン履歴」タブに、スキャン結果 (スキャン統計を含む) と再スキャン・オプションが表示されます。
サンプルのセキュリティー・レポート
アプリケーション・レポート
スキャン・データ
問題
アプリケーションの「問題」ページには、検出された問題すべてが表示されます。さまざまなフィルターを適用して必要な問題を確認し、問題をクリックして詳細な問題情報ペインを開くことができます。
修正グループ
修正グループは現在、静的分析スキャンで検出された問題にのみ適用されます。
レポート
アプリケーションで検出された問題のレポートを生成します。送信するレポートを、開発者、社内監査者、侵入テスト担当者、マネージャー、CISO に送信します。セキュリティー情報は広範囲にわたる場合があり、要件に応じてフィルターに掛けることができます。
問題のトリアージ
すべての問題は、デフォルトで新規に分類されます。問題の状況を表示することで、問題の分類を確認することができます。
問題のステータス
問題は、「オープン」、「進行中」、「ノイズ」、「再オープン」、「パス済み」、および「修正済み」に分類できます。
問題の重大度
問題を分類して、アプリケーションの「問題」グリッドに表示することができます。
修復
お客様のセキュリティー・チームは、リスクの判別と脆弱性の優先順位付けを行った後、修復プロセスを開始できます。
再スキャン
最初のスキャンの後で問題を修正したら、再び同じアプリケーションを複数回スキャンすると前の結果を上書きできるため、ダッシュボードには常に最新の結果が表示されます。(新規のスキャンを開始せずに) 再スキャンを行うと、再スキャンにより前のスキャンは上書きされます。
参照
よくある質問、および製品ライフサイクル (SDLC) への AppScan 360° の統合に関する情報。
よくある質問
よくある質問について説明します。
脅威クラスと CWE
AppScan 360° でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載したテーブル。
CSV 形式
このセクションでは、応答データを CSV 形式で保存する方法について説明します。
通知