Welcome
製品の概要
AppScan Enterprise におけるインタラクティブ・アプリケーション・セキュリティー・テスト (IAST)
IAST エージェントを使用した OWASP ベンチマーク
OWASP ベンチマーク・プロジェクトは、ソフトウェアの脆弱性検出ツールを評価するように設計された Java テスト・スイートです。HCL AppScan IAST Java エージェントは、OWASP ベンチマークに完全に準拠しています。

いらっしゃいませ
HCL AppScan Enterprise 10.11.0 ドキュメントへようこそ。このドキュメントでは、HCL AppScan Enterprise のインストール、保守、および使用方法について説明します。
エンタープライズのAppScan®アクセシビリティ機能
アクセシビリティー機能は、運動障害または視覚障害など身体に障害を持つお客様が、IT 製品を快適に使用できるように支援します。
製品の概要
- アプリケーション・セキュリティー管理
  セキュリティーの目的は、貴重な資産を保護することです。組織が所有する最も重要な資産のいくつかは、知的財産、戦略計画、顧客データなど、情報の形をとるものです。この情報を保護することは、組織の業務の継続、競争力の維持、および法規制要件への適合に不可欠です。
- AppScan® Enterprise コンポーネント
  HCL® AppScan® Enterprise を使用すると、組織はアプリケーションセキュリティリスクを軽減し、アプリケーションセキュリティプログラム管理イニシアチブを強化し、規制遵守を達成できます。セキュリティチームと開発チームは協力し、ポリシーを確立し、アプリケーションライフサイクル全体にわたってテストを拡張できます。エンタープライズダッシュボードは、ビジネスへの影響に基づいてアプリケーション資産を分類して優先順位を付け、リスクの高い領域を特定することで、修復作業を最大限に活用できるようにします。アプリケーションセキュリティプログラムの進行状況を監視するのに役立つパフォーマンスメトリックが提供されます。
- アプリケーション・セキュリティー管理の概要
  自分のロールに応じて、製品のさまざまな分野から開始することができます。
- HCL AppScan® Enterprise の新機能
  このセクションでは、本リリースにおける新しい AppScan Enterprise 製品の機能と拡張、および該当する場合は非推奨と予想される変更について説明します。
- AppScan Enterprise におけるインタラクティブ・アプリケーション・セキュリティー・テスト (IAST)
  - IAST エージェントのライセンス
  - AppScan Enterprise Server で IAST Communication Service を設定する
    IAST Communication Service は、構成ウィザードの実行中に自動的に構成されます。
  - Java IAST エージェントのダウンロードと Web サーバーへのデプロイ
    ランタイム中に送信されるトラフィックを監視し、検出された脆弱性をレポートするには、IAST エージェントをダウンロードしてテスト対象のアプリケーションの Web サーバーにデプロイする必要があります。
  - .NET または .NET Core IAST エージェント・タイプのダウンロードとデプロイ
    Java、.NET、.NET Core、または Node.js ベースのアプリケーションをサポートするテスト対象のアプリケーションの Web サーバーに IAST エージェントをデプロイできます。このセクションでは、Web サーバーに .NET または .NET Core IAST エージェント・タイプを作成する方法について説明します。
  - Node.js IAST エージェント・タイプのダウンロードとデプロイ
    Java、.NET、または Node.js ベースのアプリケーションをサポートするテスト対象のアプリケーションの Web サーバーに IAST エージェントをデプロイできます。このセクションでは、Web サーバーに Node.js エージェント・タイプを作成する方法について説明します。
  - PHP IASTエージェントのダウンロードとデプロイ
    この手順を使用して、AppScan Enterprise PHP IASTエージェントをダウンロードし、アプリケーションサーバー環境（Windows、Ubuntu、またはRed Hat）にデプロイします。PHP IASTエージェントは、実行時テスト（手動または自動）中に稼働中のWebアプリケーションを監視し、AppScan Enterpriseに脆弱性を報告します。
  - AppScan Enterprise で IAST エージェントを管理する
    AppScan Enterprise は単一のアプリケーションで複数の IAST エージェントをサポートしています。
  - IAST エージェントを使用した OWASP ベンチマーク
    OWASP ベンチマーク・プロジェクトは、ソフトウェアの脆弱性検出ツールを評価するように設計された Java テスト・スイートです。HCL AppScan IAST Java エージェントは、OWASP ベンチマークに完全に準拠しています。
- AppScan を使用した脆弱なコンポーネントの検出
  AppScan は、サード・パーティー・コンポーネントの脆弱性を特定してレポートすることでアプリケーションのセキュリティを拡張し、潜在的な脅威からビジネスを保護します。これにより、未検出の脆弱性を防ぎ、ビジネスの継続性を保証します。
- Intelligent Finding Analytics (IFA) によるスマートな DAST スキャン
  Intelligent Finding Analytics (IFA) は、人工知能 (AI) を使用して、誤検知を最小限に抑え、テストの選択を最適化することで、DAST スキャンの精度を向上させます。
- サポートされるテクノロジー
- 既知の問題と回避策
  これらは既知の問題とその回避策です。
- 非推奨機能
  AppScan® Enterpriseの以前のリリースから移行する場合は、このリリースで非推奨となった様々な機能について認識しておく必要があります。
- AppScan Enterprise 特記事項
- 適切なセキュリティーの実施について
インストール
製品のインストール方法について説明します。
アップグレードおよびマイグレーション
製品のアップグレード方法について説明します。
統合
製品の他のソリューションとの統合方法について説明します。
DevOps
REST API およびプラグインを使用した製品の拡張方法について説明します。
ベスト・プラクティス
製品を使用するためのベスト・プラクティスについて説明します。
構成
製品の構成方法について説明します。
管理
製品の管理方法について説明します。
アプリケーション・リスクの管理
以下のワークフローに従って、組織内のアプリケーション・セキュリティー・リスクを管理してください。
トラブルシューティングおよびサポート
HCL® ソフトウェアの問題の理解、分離、解決に役立つように、このトラブルシューティングおよびサポートの情報には、HCL 製品と一緒に提供される問題判別リソースの使い方の指示が含まれています。
参照
製品の参照情報を確認します。
用語集

IAST エージェントを使用した OWASP ベンチマーク

OWASP ベンチマーク・プロジェクトは、ソフトウェアの脆弱性検出ツールを評価するように設計された Java テスト・スイートです。HCL AppScan IAST Java エージェントは、OWASP ベンチマークに完全に準拠しています。

手順

AppScan IAST Java エージェントで OWASP ベンチマークを実行するには、次のようにします。

次からBenchmarkJavaとBenchmarkUtilsの複製を作成します。https://github.com/OWASP-Benchmark .
コマンドプロンプトを開き、 BenchmarkUtilsディレクトリーに移動して、 mvn install -DskipTestsを実行します。
AppScan Enterprise の場合: Java IAST エージェントのダウンロードと Web サーバーへのデプロイで説明するとおり、IAST Java セッションを開始し、エージェント zip をダウンロードします。
zipファイルの内容を抽出します。
抽出したJAR内のjar_deploymentフォルダでsecagent.jarを見つけ、 BenchmarkJava\tools\HCLにコピーします。
コマンドプロンプトからrunBenchmark_wHCL.batを実行し、「 [情報] コンテナを停止するには Ctrl-C を押してください...」というメッセージが表示されるまで待ちます。
別のコマンド・プロンプトを開き、 BenchmarkJava\runCrawler.batを実行します。
クロールが完了したら、 [Ctrl] + [C] キーを押して、Benchmark Tomcat インスタンスを停止します。「バッチ・ジョブを終了します (Y/N)?」する場合は、 Nを入力します。
BenchmarkJava\createScorecards.batを実行します

テスト結果は BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} ファイルにあります。

図: OWASP Benchmark v1.2 結果の比較