Welcome
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
IAST エージェントでの OWASP ベンチマーク

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
- インタラクティブ監視 (IAST) について
  ASoC は、通常のアプリケーション・ランタイム動作を監視し、脆弱性を検出できます。
- IAST セッションの開始
  アプリケーション・サーバーに IAST エージェントをデプロイし、スキャンを設定します。
- IAST エージェントのデプロイ
  IAST エージェントがアプリケーションとの通信を監視し、ASoC にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
- Kubernetes でのデプロイ
  AppScan は、Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしています。MutatingAdmissionWebhook を使用すると、IAST エージェントはすべての開始ポッドに自動的にインストールされます。
- Azure App Service での配置
  IAST エージェントを使用して、Azure App Service で実行されるアプリケーションを監視します。
- IAST エージェントでの OWASP ベンチマーク
- REST API を使用した IAST
  REST API により、エージェントの配置など、IAST スキャンを構成および開始します。
- IAST 構成ファイル
  デフォルトの IAST 設定をオーバーライドして、把握したい脆弱性のみをレポートするように JSON ファイルを構成します。
- ユーザー設定
  一部の低レベルの IAST 動作は、ユーザー・パラメーターを使用して制御できます。
- IAST スキャン結果
  インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
- IAST のトラブルシューティング
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

IAST エージェントでの OWASP ベンチマーク

このタスクについて

OWASP ベンチマーク・プロジェクトは、ソフトウェア脆弱性検出ツールを評価するために設計された Java テスト・スイートです。AppScan IAST Java エージェントは OWASP ベンチマークに完全に準拠しています。

AppScan IAST Java エージェントでの OWASP ベンチマークの実行

手順

BenchmarkJava と BenchmarkUtils を https://github.com/OWASP-Benchmark から複製します。
コマンド・プロンプトを開き、BenchmarkUtils ディレクトリーに移動して、mvn install -DskipTests を実行します。
ASoCで以下を実行します。IAST Java セッションを開始し、IAST セッションの開始の説明にあるように、エージェントの zip をダウンロードします。
zip ファイルのコンテンツを解凍します。
抽出した JAR で、jar_deployment フォルダー内の secagent.jar を探して、BenchmarkJava\tools\HCL にコピーします
コマンド・プロンプトから runBenchmark_wHCL.bat を実行し、メッセージ '[INFO] Press Ctrl-C to stop the container...' が表示されるまでしばらく待ちます。
別のコマンド・プロンプトを開いて、BenchmarkJava\runCrawler.bat を実行します。
BenchmarkJava\createScorecards.bat を実行します。

テスト結果の場所は、次のとおりです。
BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} files
図 1. OWASP ベンチマーク v1.2 結果の比較