最新情報 HCL AppScan 360°

• Helm コマンド 1 つで簡単にインストールできます。
• HCL Harbor コンテナー・レジストリーから Docker イメージを使用した軽量セットアップ。
• Kubernetes 対応インフラストラクチャー用に最適化されました。

• 静的分析クライアントが 8.0.1604 に更新されました。
• HTML のサポート。
• Python Django スキャンの追加サポート。
• シークレット・スキャンの更新。
• ログを取得するための新規 CLI コマンドを追加しました。
• スキャン・ルールの更新。
• AppScan Go! が バージョン 2.2.0 に更新されました。
  • スキャン名で特殊文字を使用できます。
  • プリフィックス static_ がスキャン名に自動的に含まれることはなくなりました。
  • スキャンごとのシークレット・スキャンがデフォルトで有効化されました。
  • ユーザー・インターフェースの改善。
  • 全般的なバグ修正。

AppScan 360° は、分散 Kubernetes 環境 (標準インストール)またはシングル仮想マシンにインストールすることができます。シングル VM インストールは、高い同時実行性が必要ない小規模環境向け、または将来の分散インストールを計画する際の一部として、Kubernetes の構成を含む AppScan 360° の自己完結型のデプロイを行います。

• コンプライアンスおよび業界標準のレポートおよびポリシーの新規または更新:
  • ネットワークおよび情報セキュリティー指令 (NIS2)
  • OWASP Cloud-Native Application Security Top 10
  • OWASP API セキュリティー Top 10 2023
  • CWE 最も危険なソフトウェア脆弱性の Top 25 2023
  • [米国] DISA アプリケーションのセキュリティーと導入 STIG バージョン 5 リリース 3
  • クレジット・カード業界データ・セキュリティー・スタンダード (PCI DSS) バージョン 4。
• 自動コメント伝播: 別のアプリケーションの同じ問題から現在のアプリケーションに最新のコメントと問題のステータスを自動的に伝播します。これにより、ステータスとコメントの両方が整合性を保ちながら更新され、すべてのアプリケーションで問題レコードが完全に同期されます。
• 「問題の詳細」タブのリポジトリー・リンク: 「問題の詳細」タブの「場所」フィールドには、ソース・コード・リポジトリー内の指定されたファイルと行へのリンクがあります (該当する場合)。したがってタブを切り替えることなく、関連するコードに直接アクセスできます。

• 静的分析クライアントが 8.0.1577 に更新されました。
• AppScan Go! がバージョン 2.1.1 に更新されました
  • AppScan Go! で URL を使用して SCM リポジトリーをスキャンする機能が追加されました。
  • AppScan Go! は、バイトコード/コンパイル済みまたはソース・コードのいずれかのスキャン・モードを自動推奨するようになりました。
• SAST スキャンは、パブリック GitHub リポジトリーから直接ソース・コードをプルするように設定およびスケジュールできるようになりました。「GitHub リポジトリーをスキャンする」を参照してください。
• SAST の検出結果をトリアージする際、ユーザーは GitHub.com 上で関連するソース・コードを直接確認できます。
• 検出結果をファイル名またはパスでフィルタリングできるようになったため、コードベースの特定の領域に焦点を当てることで、トリアージをより効率的に行うことができます。
• CLI コマンド queue_analysis は静的分析 (SAST) のスキャン ID を表示します。
• .NET トレース検出結果の IFA 2.0が有効になっています。
• シークレット・スキャナー と Java ソース・コード・スキャナーの改善。
• シークレット・スキャナーは PowerShell (.ps1) ファイルをスキャンします。
• ルールの更新。
• Makefile/GNUMakefile、eSQL、Java 21 のサポート。

  さらに、Java 21 が Static Analyzer Command Line Utility (SAClientUtil) パッケージに含まれています。

• DAST スキャンのライブ・ログ: アクティブなスキャン中にリアルタイムのログ更新を確認できます。
• 拡張サポート・モード: DAST スキャンの拡張サポート・モード (ESM) を有効にして、サポート目的で詳細なログを生成します。
• DAST エンジンが 10.7.0.40885 にアップデートされています

• JetBrains IDE プラグイン
• Jira、Azure DevOps、RTC DTS の統合
• ServiceNow 脆弱性管理統合
• AppScan-SDK build-your-own 統合

詳しくは「統合」を参照してください。

HCL の業界をリードする DAST テクノロジーなら、実行中のアプリケーションや API をスキャンして Web にデプロイされる前に脆弱性を検出できます。増分スキャンとテスト最適化により、企業は開発ライフサイクルのニーズに基づいてスキャンの速度と深さのバランスをとることができます。

• 「修正グループ」ページに日付フィルターが追加されました。コンポーネントの問題に関連付けられている日付範囲や時間関連のプロパティーに基づいて修正グループを表示できます。
• 「問題の詳細」ペインに共有オプションが追加されました。リンクまたは問題 ID をコピーして、問題の詳細をテキストまたは電子メールですばやく効率的に共有できます。

• 「設定」ページは再設計され、構成が改善されました。ページ設定の変更には確認が必要になりました。

• Azure: DAST、SAST
• Jenkins: DAST、SAST
• Visual Studio 2022: SAST

ユーザー・エクスペリエンス (UX) の改善:

• 資産グループ: 新しい 資産グループ削除フローで、資産グループの削除プロセスが簡素化されます。資産グループの削除権限 (管理者やマネージャーなどのデフォルト・ロール、カスタム・ロール) を持つユーザーは、スキャンや検出結果などの関連アプリケーションとともに資産グループを削除できるため、不要なアプリケーションを簡単に削除できます。メンバーの有無にかかわらず、アプリケーションを別の資産グループに移動することもできます。
• 修正グループ: 修正グループのセキュリティー・レポートにコメント・フィールドが追加され、メモやコメントの追加と追跡が容易になりました。

• HCL の AI/ML 自動トリアージ技術である Java 向け Intelligent Findings Analytics (IFA) の主な機能強化には、より正確な所見と誤検出の低減が含まれます。分析と優先順位付けが改善されたため、以前にスキャンしたコードでさらに検出結果が表示される場合があります。
• Git リポジトリーの自動検出。新しい問題のファイル・パスはリポジトリーのルートを基準にしています。
• RPG 言語のカバー範囲が拡大しました。
• AppScan Go! を バージョン 2.0.0 に更新

  AppScan Go! では、更新および改善されたユーザー・インターフェースと洗練されたワークフローを使用して、静的スキャンまたはシークレット・スキャンの構成と実行を手順を追って実行できます。完全なスキャンの実行、後でスキャンするための IRX ファイルの準備、または AppScan プラグインを使用してスキャンを自動化するためのファイル設定が可能です。ツール内でアカウント情報を表示することもできます。

• .NET 8 の静的分析サポート
• Java、JavaScript、Python 言語の精度の向上

• 任意の Kubernetes 環境にデプロイします。
• 「--server」オプションの AppScan Central Platform サーバーのホスト名 (FQDN) 部分を受け入れます。
• ストレージ・クラス名 (--storage-class) は、デプロイメント時に指定する必要があります。
• 「--ingress-host」オプションのデフォルト AppScan 360° 静的分析 イングレス・ホスト名が「sast.appscan.com」から「sast.example.com」に変更されます。