-
Products
- Alphabetical List
- Business & Industry Applications
- Cybersecurity
- Data and Analytics
- AI and Intelligent Operations
- Total Experience
- Sovereign Collaboration
- Specialized Software
- HCL Actian
- HCL Actian Data Platform
- HCL Actian Ingres
- HCL Aftermarket Cloud
- HCL AppScan
- HCL Automation Orchestration
- HCL Automation Orchestrator Suite
- HCL BigFix
- HCL CAMWorks
- HCL Commerce Cloud
- HCL Clara
- HCL Connections
- HCL Customer Data Platform
- HCL DataConnect
- HCL DFMPro
- HCL Discover
- HCL Domino
- HCL DX
- HCL DevOps Code ClearCase
- HCL DevOps Code RealTime
- HCL DevOps Deploy
- HCL DevOps Plan
- HCL DevOps Model RealTime
- HCL DevOps Test
- HCL DevOps Test Embedded
- HCL DevOps Velocity
- HCL Glovius
- HCL Hero
- HCL iAutomate
- HCL iAutomate Netbot
- HCL iObserve
- HCL iControl
- HCL Informix
- HCL IntelliOps
- HCL IntelliOps Event Management
- HCL Leap
- HCL Link
- HCL Mainframe Solutions
- HCL Marketing Cloud
- HCL MyCloud
- HCL MyXalytics
- HCL Nippon
- HCL Notes
- HCL Now
- HCL OneDB
- HCL SafeLinx
- HCL Sametime
- HCL Secure DevOps
- HCL SoFy
- HCL SX
- HCL TX Platform
- HCL Unica
- HCL Universal Orchestrator
- HCL Verse
- HCL Volt MX
- HCL Vector Analytics
- HCL Workload Automation
- HCL Z Asset Optimizer
- HCL Z Abend Investigator
- HCL Z and I Emulator
- HCL Zeenea Data Intelligence Platform
- HCL Zen Edge Data Management
- HCL Aftermarket Cloud Service lifecycle management platform
- HCL Automation Orchestration Streamline Business Processes
- HCL Commerce Cloud Enterprise e-commerce for B2C and B2B
- HCL CDP Flexible and customizable customer data platform
- HCL Discover Behavioral insights for customer journeys
- HCL Marketing Cloud Fueling precision marketing at scale with AI
- HCL Unica Enterprise marketing automation platform
- HCL AppScan Scans for application vulnerabilities
- HCL BigFix Secure endpoint management
- HCL BigFix Compliance Ensure security with continuous, real-time compliance monitoring
- HCL BigFix CyberFOCUS Supercharging IT operations to secure the enterprise
- HCL BigFix Remediate Automate, remediate & secure endpoints
- HCL Actian Empowers the data-driven enterprise
- HCL Actian Data Platform Data services suite; flexible deployment
- HCL Actian Ingres Legendary transactional RDBMS
- HCL DataConnect Low-code integration platform
- HCL Zeenea Data Intelligence Platform Cloud-native data governance solution
- HCL Zen Embeddable edge data management
- HCL Automation Orchestration Streamline Business Processes
- HCL BigFix Secure endpoint management
- HCL BigFix AEX AI-driven employee experience accelerating productivity and innovation
- HCL BigFix Enterprise+ An all-in-one IT infrastructure automation offering enabling you to stay ahead of cyber threats
- HCL BigFix Workspace+ Fueling GenAI within the Digital+ experience
- HCL iControl HCL iControl is a business flow and process observability solution
- HCL MyXalytics Cloud finOps visibility and insights
- HCL SX Service management for everything-as-a-service delivery
- HCL Workload Automation Simplify and automation business workflows
- HCL Automation Orchestration Streamline Business Processes
- HCL CDP Flexible and customizable customer data platform
- HCL DX The DXP for the moments that matter
- HCL Foundry Secure backend services
- HCL Leap No code citizen app dev
- HCL TX Platform Deliver seamless customer and employee experiences
- HCL Volt MX Multi-experience low code app dev
- HCL Connections Collaboration and task management in one workspace
- HCL Domino Rapid application development platform
- HCL Leap No code citizen app dev
- HCL Link Connectivity across your digital ecosystem
- HCL Notes Comprehensive email and collaboration hub
- HCL SafeLinx Secure and flexible remote access to enterprise applications
- HCL Sametime Secure meetings, video, and chat communications
- HCL Verse Smart and secure enterprise email for seamless workflow
- HCL Augmented Network Automation (SON)Intelligent RAN automation platform
- HCL DFMProCAD integrated Design-for-Manufacturing platform
- HCL CAMWorksCAM for machining productivity
- HCL GloviusModern lightweight CAD Viewer
- HCL Mainframe Optimization Optimize, modernize, and innovate your mainframe investments
- HCL Secure DevOps Automated testing and security scanning
- Industries
- Partners
-
Persona
- HCL Commerce Cloud E-Commerce für Unternehmen im B2C- und B2B-Geschäft
- HCL CDP Flexible and customizable customer data platform
- HCL DX The DXP for the moments that matter
- HCL Marketing Cloud Fueling Precision Marketing At Scale with AI
- HCL Unica Enterprise marketing automation platform
- HCL Volt MX Multi-experience low code app dev
- HCL Actian Ingres Legendary transactional RDBMS
- HCL Actian Data Platform Data services suite; flexible deployment
- HCL AppScan Scans for Application Vulnerabilities
- HCL BigFix Secure endpoint management
- HCL BigFix AEX AI-driven employee experience accelerating productivity and innovation
- HCL BigFix Enterprise+ An all-in-one IT infrastructure automation offering enabling you to stay ahead of cyber threats
- HCL BigFix Workspace+ Fueling GenAI within the Digital+ experience
- HCL DataConnect Low-code integration platform
- HCL Foundry Secure Backend Services
- HCL iControl HCL iControl is a business flow and process observability solution
- HCL MyXalytics Cloud FinOps visibility and insights
- HCL SX Service management for everything-as-a-service delivery
- HCL Universal Orchestrator Orchestrate and optimize business automation
- HCL Vector Analytics A high-performance, secure vectorized columnar analytics database
- HCL Workload Automation Simplify and automation business workflows
- HCL Zen Embeddable edge data management
- Learn & Support

Was wir erreicht haben
-
Bereitstellung ohne Konfiguration
-
Nutzung vorhandener Prozesse im SDLC
-
Detaillierte Aufzeichnungen zu Sicherheitslücken
An wen
-
Branche: IT
-
Produkte: HCL AppScan
-
Region: Nordamerika/USA
Überblick
-
Teil 1
Herausforderung
Unser Kunde stand vor folgenden geschäftlichen Herausforderungen:
Verbesserung der Produktsicherheit ohne Unterbrechung des aktuellen SDLC-Prozesses.
Verringerung der Wahrscheinlichkeit von Sicherheitsproblemen, die den Versand neuer Versionen verzögern könnten.
-
Teil 2
Lösung
Integration von IAST in den bestehenden QS-Prozess des Kunden und Nutzung automatischer, manueller und Sanity-Tests, um die Abdeckung von Anwendungssicherheitstests (AST) zu erweitern und DevOps in DevSecOps zu transformieren.
-
Teil 3
Ergebnisse
Verbesserte AST-Abdeckung und Behebungsprozesse dank informativer Aufzeichnungen zu Sicherheitsproblemen wie vollständige Aufrufstacks und Exploit-Beispiele, die vom IAST-Agenten gemeldet werden.
Die Herausforderung
Business Case für IAST
Das Unternehmen setzte DAST bereits als Teil seines SDLC ein, meist in der Spätphase. Diese gängige Praxis lieferte gute Ergebnisse, hatte aber mehrere Nachteile:
- Als eine erhebliche Sicherheitslücke entdeckt wurde, verzögerte sich der Release, da DAST als einer der letzten Schritte vor dem Versand einer neuen Version eingeführt wurde. Die Maßnahmen zur Behebung der Sicherheitslücken waren aufgrund der detailarmen Informationen des DAST-Scanners sehr aufwendig.
- Zwischen dem Schreiben des Codes und dem Erkennen der Schwachstellen bestand eine erhebliche Zeitlücke.

Wir waren überrascht vom Bereitstellungsprozess. Wir hatten etwas Komplizierteres erwartet als das Bereitstellen einer WAR-Datei für unser Tomcat!
Technical Manager DevOps team
Die Lösung
Integration von IAST
Aufgrund der Größe und Komplexität der Codebasis verfügt das Unternehmen über einen umfassenden Qualitätssicherungsprozess (QS-Prozess). Der QS-Prozess umfasst automatisierte und manuelle Tests, die von einfachen Szenarien bis hin zu komplizierten Fällen reichen. Mit jeder neuen Version wurden weitere Funktionen hinzugefügt, sodass weitere Tests in den QS-Prozess aufgenommen wurden.
Die QS-Infrastruktur ist Docker-basiert und mit Jenkins orchestriert. Da das Team seine vorhandenen Container nicht ändern wollte, wurde IAST mithilfe eines einfachen Skripts integriert, das den Agent mithilfe von AppScan-APIs herunterlädt und auf dem Webserver bereitstellt, nachdem die Anwendungen erfolgreich erstellt und veröffentlicht wurden.

Die vielen Informationen, die ich bei jedem Problem erhalte, sind für die Priorisierung und Behebung von Vorteil.
System Architect
Die Ergebnisse
Ein bedeutender Vorteil, den die Entwickler sofort meldeten, war die Menge an Informationen, die die Schwachstellen enthielten. Wenn die Codezeile, die das Problem verursacht hat, zusammen mit einem Beispiel für einen auslösenden Exploit zur Verfügung steht, wird der Aufwand für die Behebung erheblich reduziert. Da der QA-Prozess an den Entwicklungsprozess grenzt, sind die Codeänderungen, die zu neuen Sicherheitsschwachstellen geführt haben, den Entwicklern noch frisch im Gedächtnis, wenn sie sich an die Behebung der Sicherheitsprobleme machen.
Ein weiterer Vorteil, den das Sicherheitsteam berichtete, war die geringere Zahl der beim DAST-Scannen festgestellten Probleme, da die Probleme dank QS-Prozess früher im SDLC gelöst werden.
Mit Blick auf die Wartung waren die Sicherheits- und DevOps-Teams beeindruckt, da die Integration des IAST-Agenten nur ein einziges, einfaches Skript erfordert und der Agent selbst immer wieder aktualisiert wird. Sehr positiv ist auch, dass das QA-Team für jede neu entwickelte Funktionalität neue Tests hinzufügen kann und so die AST-Abdeckung mit jeder neuen Version auf dem neuesten Stand hält. Der Prozess verbessert sich als Nebenprodukt des SDLC ständig selbst.
Über das Unternehmen
Aufgrund der sensiblen Natur der Cybersicherheitsdomäne hat das Unternehmen in dieser speziellen Fallstudie darum gebeten, anonym zu bleiben. Das Unternehmen ist ein Softwareunternehmen auf dem IT-E-Markt, das Dienstleistungen für KMU und Großunternehmen anbietet.
In dieser Fallstudie wurde folgender Technologie-Stack verwendet:
- Java
- Tomcat
- Docker
- Jenkins
Verwandte Funktionen
Business & Industry Applications
Robuste Business-Anwendungen, die neue Maßstäbe für die Effizienz von Unternehmen setzen. Dazu gehören Marketing, E-Commerce, Wertschöpfungskette und Verhaltensanalysen.
Mehr erfahrenAI and Intelligent Operations
KI und Automatisierung kombiniert mit Einfachheit, Sicherheit und Nutzerfreundlichkeit - damit können Sie fundierte Entscheidungen treffen, Markttrends vorhersagen und Ihre Agilität und Effizienz in einem noch nie dagewesenen Maße steigern.
Mehr erfahrenTotal Experience
TX-Software, die das Beste miteinander verbindet, um die komplexesten Herausforderungen zu lösen, mit denen Unternehmen konfrontiert sind, unter Einbeziehung von Kundenerfahrung (CX), Mitarbeitererfahrung (EX), Nutzererfahrung (UX) und Multi-Experience (MX).
Mehr erfahrenData and Analytics
Die Tools, die Sie benötigen, um komplexe Daten in klare, umsetzbare Erkenntnisse zu destillieren - um Ergebnisse vorherzusagen, Kundenprofile zu erstellen, Abläufe zu optimieren und neue Chancen durch Datenmuster und Marktanalysen zu erkennen.
Mehr erfahrenCybersecurity
Lösungen zur Erkennung, Eindämmung und Behebung von Schwachstellen, die sichere DevOps und Compliance von der Anwendung bis zum Endpunkt ermöglichen.
Mehr erfahrenSovereign Collaboration
Bei der Sovereign Collaboration-Software steht die Autonomie der Daten im Vordergrund. Wir wissen um die Bedeutung sensibler Informationen und haben sichere, flexible Lösungen entwickelt, um sie zu schützen.
Mehr erfahren