最新情報 HCL AppScan 360°

• フル・サービスのグラフ・ビュー: マイクロサービスがどのように相互作用するかを包括的に可視化し、関係をより適切に把握できるようにします。
• 誤検出の低減: サービス・グラフを活用して脆弱性検出の精度を向上させ、関連性のないアラートの数を減らし、セキュリティー作業により集中します。

この新しいエンジンは、すでに強力な検出機能を強化し、ノイズを最小限に抑え、結果の精度を向上させることで、精度をさらに向上させます。

既知のリスクをより迅速かつ正確に特定。

依存関係データがスキャンで使用できる場合は、視覚的なグラフ・ビューが表示されるので、パッケージの関係と影響を簡単に理解できます。

C/C++、PHP、および Java 構成ファイル。静的分析クライアント・バージョン 8.0.1646 が必要です。

• 列の選択: 列の選択は、使いやすさを向上させるためにカテゴリー別に整理されています。
• グリッドからコピー: 任意のテーブル・セルを右クリックすると、その内容を簡単にコピーできます。

• レポート・レイアウトを使用して、レポートのカスタム・タイトルを設定します。
• レポート・タイプは、生成されたレポートに表示されます。

• 更新されたコンプライアンス・レポート:
  • [米国] DISA の Application Security and Development STIG。V6R3
  • CWE 上位 25 の最も危険なソフトウェアの脆弱性 2024

トラフィック・ファイル上の複数ドメイン: 複数のドメインを含むトラフィック・ファイルをアップロードすると、HCL AppScan 360° は自動的にこれらのドメインを「テスト対象のドメイン」リストに追加し、検証済みのものをスキャンに含めるようにマークします。

ライセンス交付管理について、FlexNet Operations (FNO) ポータルが My HCLSoftware (MHS) ポータルに置き換えられました。2025 年 6 月 30 日現在、FNO はサポートされなくなりました。

• AppScan 360° バージョン 1.6.0 以前は、2025 年 6 月 30 日以降は利用できなくなります。
• AppScan 360° の非 FIPS バージョン 1.6.1 は、My HCLSoftware (MHS) ポータルのみからダウンロードできます。
• AppScan 360° の FIPS 対応バージョン 1.6.1 は、Four, Inc. で入手できます

• HCL AppScan 360° オフラインのシングル VM インストール・キットを使用してインストールできます。インストール・モードのみ変更され、インストーラー・キットの内容は 1.5.0 バージョンと同じままです。

• Helm コマンド 1 つで簡単にインストールできます。
• HCL Harbor コンテナー・レジストリーから Docker イメージを使用した軽量セットアップ。
• Kubernetes 対応インフラストラクチャー用に最適化されました。

• 静的分析クライアントが 8.0.1604 に更新されました。
• HTML のサポート。
• Python Django スキャンの追加サポート。
• シークレット・スキャンの更新。
• ログを取得するための新しい CLI コマンドを追加。
• スキャン・ルールの更新。
• AppScan Go! が バージョン 2.2.0 に更新されました。
  • スキャン名に特殊文字が使用できるようになりました。
  • プリフィックス static_ はスキャン名に自動的に含まれなくなりました。
  • スキャンごとのシークレット・スキャンがデフォルトで有効になっています。
  • ユーザー・インターフェースの改善。
  • 全般的なバグ修正。

AppScan 360° は、分散 Kubernetes 環境 (標準インストール)またはシングル仮想マシンにインストールすることができます。シングル VM インストールは、高い同時実行性が必要ない小規模環境向け、または将来の分散インストールを計画する際の一部として、Kubernetes の構成を含む AppScan 360° の自己完結型のデプロイを行います。

• コンプライアンスおよび業界標準のレポートおよびポリシーの新規または更新:
  • ネットワークおよび情報セキュリティー指令 (NIS2)
  • OWASP Cloud-Native Application Security Top 10
  • OWASP API セキュリティー Top 10 2023
  • CWE 最も危険なソフトウェア脆弱性 Top 25 2023
  • [米国] DISA アプリケーションのセキュリティーと導入 STIG バージョン 5 リリース 3
  • クレジット・カード業界データ・セキュリティー・スタンダード (PCI DSS) バージョン 4。
• 自動コメント伝播: 別のアプリケーションの同じ問題から現在のアプリケーションに最新のコメントと問題のステータスを自動的に伝播します。これにより、ステータスとコメントの両方が整合性を保ちながら更新され、すべてのアプリケーションで問題レコードが完全に同期されます。
• 「問題の詳細」タブのリポジトリー・リンク: 「問題の詳細」タブの「場所」フィールドには、ソース・コード・リポジトリー内の指定されたファイルと行へのリンクがあります (該当する場合)。したがってタブを切り替えることなく、関連するコードに直接アクセスできます。

• 静的分析クライアントが 8.0.1577 に更新されました。
• AppScan Go! がバージョン 2.1.1 に更新されました
  • AppScan Go! で URL を使用して SCM リポジトリーをスキャンする機能が追加されました。
  • AppScan Go! は、バイトコード/コンパイル済みまたはソース・コードのいずれかのスキャン・モードを自動推奨するようになりました。
• SAST スキャンは、パブリック GitHub リポジトリーから直接ソース・コードをプルするように設定およびスケジュールできるようになりました。「GitHub リポジトリーをスキャンする」を参照してください。
• SAST の検出結果をトリアージする際、ユーザーは GitHub.com 上で関連するソース・コードを直接確認できます。
• 検出結果をファイル名またはパスでフィルタリングできるようになったため、コードベースの特定の領域に焦点を当てることで、トリアージをより効率的に行うことができます。
• CLI コマンド queue_analysis は静的分析 (SAST) のスキャン ID を表示します。
• .NET トレース検出結果の IFA 2.0が有効になっています。
• シークレット・スキャナー と Java ソース・コード・スキャナーの改善。
• シークレット・スキャナーは PowerShell (.ps1) ファイルをスキャンします。
• ルールの更新。
• Makefile/GNUMakefile、eSQL、Java 21 のサポート。

  さらに、Java 21 が Static Analyzer Command Line Utility (SAClientUtil) パッケージに含まれています。

• DAST スキャンのライブ・ログ: アクティブなスキャン中にリアルタイムのログ更新を確認できます。
• 拡張サポート・モード: DAST スキャンの拡張サポート・モード (ESM) を有効にして、サポート目的で詳細なログを生成します。
• DAST エンジンが 10.7.0.40885 にアップデートされています

• JetBrains IDE プラグイン
• Jira、Azure DevOps、RTC DTS の統合
• ServiceNow 脆弱性管理統合
• AppScan-SDK build-your-own 統合

詳しくは「統合」を参照してください。

HCL の業界をリードする DAST テクノロジーなら、実行中のアプリケーションや API をスキャンして Web にデプロイされる前に脆弱性を検出できます。増分スキャンとテスト最適化により、企業は開発ライフサイクルのニーズに基づいてスキャンの速度と深さのバランスをとることができます。

• 「修正グループ」ページに日付フィルターが追加されました。コンポーネントの問題に関連付けられている日付範囲や時間関連のプロパティーに基づいて修正グループを表示できます。
• 「問題の詳細」ペインに共有オプションが追加されました。リンクまたは問題 ID をコピーして、問題の詳細をテキストまたは電子メールですばやく効率的に共有できます。

• 「設定」ページは再設計され、構成が改善されました。ページ設定の変更には確認が必要になりました。

• Azure: DAST、SAST
• Jenkins: DAST、SAST
• Visual Studio 2022: SAST

ユーザー・エクスペリエンス (UX) の改善:

• 資産グループ: 新しい 資産グループ削除フローで、資産グループの削除プロセスが簡素化されます。資産グループの削除権限 (管理者やマネージャーなどのデフォルト・ロール、カスタム・ロール) を持つユーザーは、スキャンや検出結果などの関連アプリケーションとともに資産グループを削除できるため、不要なアプリケーションを簡単に削除できます。メンバーの有無にかかわらず、アプリケーションを別の資産グループに移動することもできます。
• 修正グループ: 修正グループのセキュリティー・レポートにコメント・フィールドが追加され、メモやコメントの追加と追跡が容易になりました。

• HCL の AI/ML 自動トリアージ技術である Java 向け Intelligent Findings Analytics (IFA) の主な機能強化には、より正確な所見と誤検出の低減が含まれます。分析と優先順位付けが改善されたため、以前にスキャンしたコードでさらに検出結果が表示される場合があります。
• Git リポジトリーの自動検出。新しい問題のファイル・パスはリポジトリーのルートを基準にしています。
• RPG 言語のカバー範囲が拡大しました。
• AppScan Go! を バージョン 2.0.0 に更新

  AppScan Go! では、更新および改善されたユーザー・インターフェースと洗練されたワークフローを使用して、静的スキャンまたはシークレット・スキャンの構成と実行を手順を追って実行できます。完全なスキャンの実行、後でスキャンするための IRX ファイルの準備、または AppScan プラグインを使用してスキャンを自動化するためのファイル設定が可能です。ツール内でアカウント情報を表示することもできます。

• .NET 8 の静的分析サポート
• Java、JavaScript、Python 言語の精度の向上

• 任意の Kubernetes 環境にデプロイします。
• 「--server」オプションの AppScan Central Platform サーバーのホスト名 (FQDN) 部分を受け入れます。
• ストレージ・クラス名 (--storage-class) は、デプロイメント時に指定する必要があります。
• 「--ingress-host」オプションのデフォルト AppScan 360° 静的分析 イングレス・ホスト名が「sast.appscan.com」から「sast.example.com」に変更されます。