最新情報 HCL AppScan 360°

機能ユーザー: 自動化されたタスクとシステム統合を容易にするサービスアカウントを作成する機能が追加されました。API 経由でのみ使用できます。

• OWASP Top 10 for LLM Applications 2025
• [カナダ] IT セキュリティーリスク管理: ライフサイクルアプローチ (ITSG-33)

• 国際標準化機構規格 - ISO 27001:2022
• 国際標準化機構規格 - ISO 27002:2022
• クレジット・カード業界データ・セキュリティー基準 (PCI DSS) - V4.0.1
• NIST Special Publication 800-53 - 5.2.0
• [EU] 一般データ保護規則 (GDPR)
• [米国] 医療保険の携行性と責任に関する法律 (HIPAA)

• Slack: AppScan 360° セキュリティーアラートを受信し、Slack チャンネルで通知をスキャンします。
• Splunk: AppScan 360° Splunk と接続すると、分析とダッシュボードを通じてスキャンデータを一元的に表示できます。
• カーソル AI: AppScan CodeSweep と統合することで、AI アシストコーディング中の脆弱性を特定し、修正できます。

• 自動ログインの機能強化: AppScan は、Angular アプリケーションをより確実にクロールし、まれなログイン記録の失敗を修正するとともに、再生失敗後の 2 回目の試行の間に遅延を追加して、全体的な成功率を向上させます。
• マスキングの機能強化: AppScan 全体のマスキング機能が強化され、機密情報をより一貫して保護できます。
• AngularJS フレームワークを使用するシングル・ページ・アプリケーション (SPA) スキャンのサポートが改善されました。
• 新しい、更新されたセキュリティールール。

• 生成 AI 監視のサポート:OpenAI

• エアギャップ環境や制限された環境で、パブリック NPM レジストリーにアクセスすることなく、AppScan 360° から直接、自己完結型 tarball としてノードエージェントをダウンロードできる新しいオプションが利用可能になりました。
  次のいずれかのオプションを使用して、ノードエージェントを作成できるようになりました。

  • Node.js (NPM のエージェント) は、AppScan 360° からキーを取得している間に、パブリック NPM レジストリーからエージェントを取得します。これは既存のメソッドで、名前が変更されました。
  • Node.js (ダウンロードエージェント) は、AppScan 360° からノードエージェントを自己完結型 tarball としてダウンロードし、NPM にアクセスしないでインストールできるようにします。

• 生成 AI 監視サポート:openai-java

• 生成 AI 監視のサポート:OpenAI
• プロキシーを介して、AppScan 360° との通信をサポートします。
• マイクロサービス用 IAST 分析装置のサポート。
• IAST のログファイル名とパスは、secagent.log 環境変数を使用して構成できるようになりました。

• パフォーマンスの改善とバグ修正。

• Helm チャートを使用した代替のインストール方法を導入しました。
• 名前空間フィルタリングの処理が改善されました。
• ラベル skip-iast-webhook="true" を追加して、IAST インストールから各ポッドをスキップする機能。
• IAST コンテナーの CPU とメモリー割り当てに制限が追加されました。
• IAST Webhook-server が使用できない場合でも、ポッドが影響を受けなくなりました。
• 自動変換同期: Webhook サーバーは、配置中に MutatingWebhookConfiguration を自動的に同期し、Helm が更新された名前空間構成をアップグレードします。

• IAST の結果とソースコード・スキャンの SAST の結果の間の相関関係を識別するために、相関関係機能が更新されました。

• 新しいインストール手順により、よりスマートなサービス検出が可能になりました。
• AppScan Go! は、ログイン時に正しいサービス URL を自動的に検出して入力できるようになりました。
• スキャン用に指定されたソフトウェア・コンポジション分析 (SCA) ファイルに絶対パスが表示されなくなりました。
• ユーザー・インターフェースの改善。

• AppScan の新しい SCA エンジンには、統合されたマルウェア検出機能が搭載されています。この拡張機能は、オープンソースおよびサードパーティーのコンポーネントを自動的にスキャンして、既知の悪意のあるパッケージまたは侵害されたパッケージを検出し、開発プロセスの初期段階でサプライチェーンの潜在的なリスクを特定して軽減します。
• オープンソース・ライセンスレポートの生成時に悪意のあるライブラリーが表示されるようになりました。

詳細については、インストールファイルのロケーションを参照してください。

Entra ID (Azure AD) による SSO のサポート: HCL AppScan 360° Microsoft Entra ID を完全にサポートしてシームレスなシングルサインオン (SSO) 統合を実現し、セキュリティーを向上させ、よりスムーズな認証を実現します。

シングル VM インストーラー: 新しい Express および Custom モードによって、配置が簡素化されています。

分散インストール: 新しい 前提条件の検証により、本格的な配置の前に環境を準備できます。

• 統合名前空間のサポート: すべてのコンポーネントを単一のユーザー定義名前空間 (-n を使用) に配置することで、役割ベースのアクセス制御、監視、およびクリーンアップを簡素化できます。
• タグによるバージョン固定: 特定のタグ付きバージョンをインストールして、制御された再現性のある配置と容易なロールバックを実現します。
• 手動アーカイブパス: 制限された/隔離された環境向けの Git なしのインストールオプション。

シングルサインオン (SSO): HCL AppScan 360° OIDC ベースの認証がサポートされるようになりました。Okta および Keycloak で検証済みです。

Domino LDAP: Domino LDAP サーバーの新しいサポートにより、エンタープライズ認証オプションが追加されました。

• 更新されたコンプライアンスレポート:
  • [米国] DISA の Application Security and Development STIG。V6R3
  • CWE 上位 25 の最も危険なソフトウェアの脆弱性 2024

• 列の選択: 列の選択は、使いやすさを向上させるためにカテゴリー別に整理されています。
• グリッドからコピー: 任意のテーブル・セルを右クリックすると、その内容を簡単にコピーできます。

AppScan 360° スキャン結果を Centraleyezer に直接送信できるようになり、ツール間でセキュリティー検出結果を統合管理できるようになりました。

AppScan 360° プラグインが SCA スキャンをサポートするようになりました

ライセンス交付管理について、FlexNet Operations (FNO) ポータルが My HCLSoftware (MHS) ポータルに置き換えられました。2025 年 6 月 30 日現在、FNO はサポートされなくなりました。

• AppScan 360° バージョン 1.6.0 以前は、2025 年 6 月 30 日以降は利用できなくなります。
• AppScan 360° の非 FIPS バージョン 1.6.1 は、My HCLSoftware (MHS) ポータルのみからダウンロードできます。
• AppScan 360° の FIPS 対応バージョン 1.6.1 は、Four, Inc. で入手できます

• HCL AppScan 360° オフラインのシングル VM インストール・キットを使用してインストールできます。インストール・モードのみ変更され、インストーラー・キットの内容は 1.5.0 バージョンと同じままです。

• Helm コマンド 1 つで簡単にインストールできます。
• HCL Harbor コンテナー・レジストリーから Docker イメージを使用した軽量セットアップ。
• Kubernetes 対応インフラストラクチャー用に最適化されました。

• 静的分析クライアントが 8.0.1604 に更新されました。
• HTML のサポート。
• Python Django スキャンの追加サポート。
• シークレット・スキャンの更新。
• ログを取得するための新しい CLI コマンドを追加。
• スキャン・ルールの更新。
• AppScan Go! が バージョン 2.2.0 に更新されました。
  • スキャン名に特殊文字が使用できるようになりました。
  • プリフィックス static_ はスキャン名に自動的に含まれなくなりました。
  • スキャンごとのシークレット・スキャンがデフォルトで有効になっています。
  • ユーザー・インターフェースの改善。
  • 全般的なバグ修正。

AppScan 360° は、分散 Kubernetes 環境 (標準インストール)またはシングル仮想マシンにインストールすることができます。シングル VM インストールは、高い同時実行性が必要ない小規模環境向け、または将来の分散インストールを計画する際の一部として、Kubernetes の構成を含む AppScan 360° の自己完結型のデプロイを行います。

• コンプライアンスおよび業界標準のレポートおよびポリシーの新規または更新:
  • ネットワークおよび情報セキュリティー指令 (NIS2)
  • OWASP Cloud-Native Application Security Top 10
  • OWASP API セキュリティー Top 10 2023
  • CWE 上位 25 の最も危険なソフトウェア脆弱性 2023
  • [米国] DISA アプリケーションのセキュリティーと導入 STIG バージョン 5 リリース 3
  • クレジット・カード業界データ・セキュリティー・スタンダード (PCI DSS) バージョン 4。
• 自動コメント伝播: 別のアプリケーションの同じ問題から現在のアプリケーションに最新のコメントと問題のステータスを自動的に伝播します。これにより、ステータスとコメントの両方が整合性を保ちながら更新され、すべてのアプリケーションで問題レコードが完全に同期されます。
• 「問題の詳細」タブのリポジトリー・リンク: 「問題の詳細」タブの「場所」フィールドには、ソース・コード・リポジトリー内の指定されたファイルと行へのリンクがあります (該当する場合)。したがってタブを切り替えることなく、関連するコードに直接アクセスできます。

• 静的分析クライアントが 8.0.1577 に更新されました。
• AppScan Go! がバージョン 2.1.1 に更新されました
  • AppScan Go! で URL を使用して SCM リポジトリーをスキャンする機能が追加されました。
  • AppScan Go! は、バイトコード/コンパイル済みまたはソース・コードのいずれかのスキャン・モードを自動推奨するようになりました。
• SAST スキャンは、パブリック GitHub リポジトリーから直接ソース・コードをプルするように設定およびスケジュールできるようになりました。「GitHub リポジトリーをスキャンする」を参照してください。
• SAST の検出結果をトリアージする際、ユーザーは GitHub.com 上で関連するソース・コードを直接確認できます。
• 検出結果をファイル名またはパスでフィルタリングできるようになったため、コードベースの特定の領域に焦点を当てることで、トリアージをより効率的に行うことができます。
• CLI コマンド queue_analysis は静的分析 (SAST) のスキャン ID を表示します。
• .NET トレース検出結果の IFA 2.0が有効になっています。
• シークレット・スキャナー と Java ソース・コード・スキャナーの改善。
• シークレット・スキャナーは PowerShell (.ps1) ファイルをスキャンします。
• ルールの更新。
• Makefile/GNUMakefile、eSQL、Java 21 のサポート。

  さらに、Java 21 が Static Analyzer Command Line Utility (SAClientUtil) パッケージに含まれています。

• DAST スキャンのライブ・ログ: アクティブなスキャン中にリアルタイムのログ更新を確認できます。
• 拡張サポート・モード: DAST スキャンの拡張サポート・モード (ESM) を有効にして、サポート目的で詳細なログを生成します。
• DAST エンジンが 10.7.0.40885 にアップデートされています

• JetBrains IDE プラグイン
• Jira、Azure DevOps、RTC DTS の統合
• ServiceNow 脆弱性管理統合
• AppScan-SDK build-your-own 統合

詳しくは「統合」を参照してください。

HCL の業界をリードする DAST テクノロジーなら、実行中のアプリケーションや API をスキャンして Web にデプロイされる前に脆弱性を検出できます。増分スキャンとテスト最適化により、企業は開発ライフサイクルのニーズに基づいてスキャンの速度と深さのバランスをとることができます。

• 「修正グループ」ページに日付フィルターが追加されました。コンポーネントの問題に関連付けられている日付範囲や時間関連のプロパティーに基づいて修正グループを表示できます。
• 「問題の詳細」ペインに共有オプションが追加されました。リンクまたは問題 ID をコピーして、問題の詳細をテキストまたは電子メールですばやく効率的に共有できます。

• 「設定」ページは再設計され、構成が改善されました。ページ設定の変更には確認が必要になりました。

• Azure: DAST、SAST
• Jenkins: DAST、SAST
• Visual Studio 2022: SAST

ユーザー・エクスペリエンス (UX) の改善:

• 資産グループ: 新しい 資産グループ削除フローで、資産グループの削除プロセスが簡素化されます。資産グループの削除権限 (管理者やマネージャーなどのデフォルト・ロール、カスタム・ロール) を持つユーザーは、スキャンや検出結果などの関連アプリケーションとともに資産グループを削除できるため、不要なアプリケーションを簡単に削除できます。メンバーの有無にかかわらず、アプリケーションを別の資産グループに移動することもできます。
• 修正グループ: 修正グループのセキュリティー・レポートにコメント・フィールドが追加され、メモやコメントの追加と追跡が容易になりました。

• HCL の AI/ML 自動トリアージ技術である Java 向け Intelligent Findings Analytics (IFA) の主な機能強化には、より正確な所見と誤検出の低減が含まれます。分析と優先順位付けが改善されたため、以前にスキャンしたコードでさらに検出結果が表示される場合があります。
• Git リポジトリーの自動検出。新しい問題のファイル・パスはリポジトリーのルートを基準にしています。
• RPG 言語のカバー範囲が拡大しました。
• AppScan Go! を バージョン 2.0.0 に更新

  AppScan Go! では、更新および改善されたユーザー・インターフェースと洗練されたワークフローを使用して、静的スキャンまたはシークレット・スキャンの構成と実行を手順を追って実行できます。完全なスキャンの実行、後でスキャンするための IRX ファイルの準備、または AppScan プラグインを使用してスキャンを自動化するためのファイル設定が可能です。ツール内でアカウント情報を表示することもできます。

• .NET 8 の静的分析サポート
• Java、JavaScript、Python 言語の精度の向上

• 任意の Kubernetes 環境にデプロイします。
• 「--server」オプションの AppScan Central Platform サーバーのホスト名 (FQDN) 部分を受け入れます。
• ストレージ・クラス名 (--storage-class) は、デプロイメント時に指定する必要があります。
• 「--ingress-host」オプションのデフォルト AppScan 360° 静的分析 イングレス・ホスト名が「sast.appscan.com」から「sast.example.com」に変更されます。