AppScan モデルコンテキスト・プロトコル (MCP) サーバー

AppScan MCP サーバーは、HCL AppScan on Cloud を、AI で動作する開発環境およびエージェントと直接統合します。モデルコンテキスト・プロトコル (MCP) を実装することで、LLM (Claude や VS Code で実行されるモデルなど) が SAST、DAST、SCA、および IAST の結果などのセキュリティーデータに安全にアクセスできるようになり、問題のトリアージ、調査結果の分析、自然言語を使用したワークフローの自動化に役立ちます。

概要

AppScan MCP サーバーは、AppScan データと AI アシスタントとの間のブリッジとして機能します。ダッシュボードに手動でログインする代わりに、AI ツールに次のような質問をすることができます。
  • 「『WebGoat』アプリケーションの SAST の重要な問題は何ですか?」
  • 「問題 #5 の改善策のアドバイスをまとめます」
  • 「脆弱性の重大度「高」のオープンソース・ライブラリーをすべて検索します。」

ツール

MCP サーバーでは、AI エージェントが次のアクションを実行できる豊富なツールセットが公開されています。
  • 包括的なデータアクセス: すべてのスキャンテクノロジー (静的、動的、ソフトウェア構成、対話式分析) の結果を照会します。
  • アプリケーションおよびスキャン管理: 特定のアプリケーション、スキャン、およびスキャン実行の詳細を取得します。
  • 問題のトリアージ: 問題を重大度、ステータス、またはスコープ (アプリケーションまたはスキャンレベル) でフィルタリングします。
  • 詳細分析: 場所、トレース情報、および特定の修復に関するアドバイスなど、問題の包括的な詳細を取得します。
  • SCA インサイト: プロジェクトで使用されるオープンソース・ライブラリーおよびライセンス情報を照会します。
  • ポリシー: セキュリティーポリシーに基づいて結果をフィルタリングします。

構成

AppScan MCP サーバーを使用するには、MCP クライアント (VS Code MCP 拡張機能や Claude Desktop など) に HCL AppScan on Cloud 資格情報を構成します。

前提条件
  1. AppScan on Cloud アカウント: アクティブな ASoC アカウント。
  2. API キー: ASoC ダッシュボードから API キー ID とシークレットを生成します。

VS Code の構成

AppScan を VS Code に追加するには、MCP JSON 構成ファイル (通常は MCP 拡張設定にあります) を編集します。サーバー定義を追加し、セキュアなクレデンシャル処理のための入力プロンプトを構成します。

以下をお客様の構成に追加します。

{
                "servers": {
                "appscan-mcp": {
                "type": "http",
                "url": "https://cloud.appscan.com/mcp",
                "headers": {
                "X-API-KEY": "${input:appscan_api_key_id}:${input:appscan_api_key_secret}"
                }
                }
                },
                "inputs": [
                {
                "id": "appscan_api_key_id",
                "type": "promptString",
                "description": "AppScan API Key Id",
                "default": ""
                },
                {
                "id": "appscan_api_key_secret",
                "type": "promptString",
                "description": "AppScan API Key Secret",
                "default": "",
                "password": true
                }
                ]
                }
注: この設定では、入力プロンプトを使用して、API Secret が構成ファイルのプレーンテキストに保存されないようにします。サーバーの起動時に、資格情報の入力を求められます。

ベストプラクティス: appscan-doc プロンプトの使用

サーバーには appscan-doc という名前の組み込みプロンプトが含まれています。このプロンプトは、AI モデルのコンテキストウィンドウに、必要なコンテキスト、スキーマ定義、およびルールをロードします。OData クエリーの作成方法、GUID の正確な処理方法 (引用符なしなど)、および結果の改ページ方法について説明します。

分析を開始する前に、このプロンプトを明示的に有効化してください。この方法は、クライアントによって異なります。

VS Code

チャットインターフェースで /mcp と入力します。使用可能なプロンプトのリストが表示されます。リストから appscan-doc を選択します。

Visual Studio 2022
  1. チャットウィンドウで + 参照ボタンをクリックします。
  2. MCP プロンプトを表示および適用するオプションを選択します。
  3. 使用可能なオプションから appscan-doc を選択します。

Windsurf

/<mcp-server-name>/<prompt-name> 形式を使用して、このコマンドを明示的に入力します。

このサーバーの場合、次のように入力します。
/appscan-mcp/appscan-doc

なぜこれが重要なのでしょうか? 読み込みが完了すると、AI は API を正しく照会できます。例えば、数値ではなく、enums の文字列値 (状況「Open」など) を使用します。

直接コード修正

IDE で AppScan MCP を使用する主な利点は、コードに直接修正を適用できることです。

IDE ワークスペースでスキャンされたソースコード (SAST、DAST、SCA、または IAST) が使用可能な場合、AI モデルはセキュリティー結果をローカルファイルに接続することができます。get_issue_details ツールは、AI にファイルの正確な場所、トレース情報、および修復のアドバイスを提供します。AI はこの情報を開いているファイルにマッピングし、必要なコード変更を適用できます。

ワークフローの例:
  1. プロジェクトを開くスキャンしたプロジェクトが IDE (VS Code、Windsurf など) で開いていることを確認します。
  2. リクエスト修正: 特定の問題に対処するよう AI に依頼します。「『PaymentService』アプリケーションの重大度「高」の SAST 検出結果を取得します。SQL インジェクションの問題を見つけ、コードに修正を適用します。」
  3. AI アクション:
    1. AI は MCP サーバーに問い合わせ、問題の詳細 (行番号、脆弱なスニペット、および修正ロジック) を取得します。
    2. ローカルワークスペース内の対応するファイルを探します。
    3. コードパッチが生成され、エディターで直接修正が適用されます。

高度なワークフローと統合

MCP は標準プロトコルであるため、AppScan サーバーを他の MCP サーバーと連携して強力な自動化ワークフローを構築することができます。

例: チケットの自動作成 (AppScan +Jira)

AppScan MCPJira MCP の両方が構成されている場合、一度の会話で複雑なトリアージタスクを実行できます。

ユーザープロンプト:

「『Retail-Frontend』アプリケーションで、上位 3 つの重大な問題を検索します。各問題について、Jiraプロジェクトの『SEC』に問題の説明と対策のアドバイスを記載したバグチケットを作成してください。」

AI エージェントは次のことを行います。
  1. この AppScan ツールを使用して、重要な問題を照会し、修正の詳細を取得します。
  2. そのデータを Jira チケット構造にフォーマットします。
  3. Jira ツールを使用して新しいチケットを投稿します。
  4. 新しい Jira チケットのリンクが返されます。