インタラクティブ・アプリケーション・セキュリティ・テスト (IAST) により、ソフトウェア開発ライフサイクル (SDLC) にセキュリティをシームレスに統合できます。このテクノロジは、動作中のアプリケーションと API を能動的に監視し、迅速に脆弱性を検出して対処します。IAST にはアプリケーションのソースコードに関する知見があり、問題特定の正確性と深さを強化します。
IAST は、機能テストや QA の取り組みにおいて自律的に動作します。また、DevOps チームやセキュリティチームと連携し、スキャン結果を DAST スキャンや SAST スキャンの結果とインテリジェントに関連付けます。これは、迅速な修復に向けて問題を効率的に分類するために役立ちます。
API の検出
API の検出
HCL AppScan IAST は、アプリケーションで使用されているすべての内部 API を自動的に検出してカタログ化できます。API の開発に使用されるオープンソースパッケージの SCA スキャンから追加情報を収集できます。これらの検出結果は、セキュリティ・リスクレベルを把握し、必要な関係者に報告するために重要です。
自動問題相関
自動問題相関
HCL AppScan 自動問題相関は、各 IAST、DAST、SAST の問題からデータを抽出し、さまざまなヒューリスティックを使用して相関を特定します。これにより、問題をグループ化してすばやく完全に解決できるため、脆弱性と修復タスクの全体数を効果的に削減できます。
- DAST の検出結果は、対応する IAST スキャンと SAST スキャンで発見された詳細な情報でエンリッチ化できます。IAST スキャンと SAST スキャンはどちらもソースコードを見ることができます。
- SAST の検出結果は、対応する IAST 結果と DAST 結果の精度を利用して、修復の優先順位を付けることができます。
- SAST の修復は、すべての相関された検出結果のステータス更新を提供する後続の IAST スキャンと DAST スキャンで検証できます。
特許取得済みの Java ソリューション
特許取得済みの Java ソリューション
当社の特許取得済みの Java デプロイメントソリューションは、Java エージェントとしても Web アプリケーションとしても展開できるため、必要な設定が少なく、セットアップに要する時間が短いです。スキャンを迅速に開始し、Web サーバーが起動した後に IAST を導入し、サーバーを再起動せずに IAST エージェントを削除できます。また、エージェントは、アップデートされたバージョンがあるかどうかを検出し、それをダウンロードして、自動的に自己アップグレードを行います (ASoC のみ)。
特許取得済みの .NET ソリューション
特許取得済みの .NET ソリューション
当社の特許取得済みの .NET 向け IAST デプロイメントソリューションは、市場で最も高速であり、ネイティブコードではなくマネージドコードで実行されます。基本的な .NET 最適化を無効にする必要はありません。また、IAST エージェントが .NET コード自体の一部として実行されるため、より多くの機能にアクセスでき、より多くの問題タイプを検出できます。
誤検出の排除
誤検出の排除
さらに、HCL AppScan IAST は、アプリケーションを通過する情報を追跡する高度なアルゴリズムの特許も取得しています。検出された脆弱性が追加のチェックを自動的にトリガーするため、最終レポートの誤検出は大幅に削減されます。
このチェックには、コードフローをリアルタイムで複製し、それに対してさまざまな方法で攻撃を試みる複雑なアルゴリズムが含まれています。独自の実用的なサニタイジングコードを記述した場合、HCL AppScan IAST はそれを検出し、それを通過する問題についてはレポートしません。
関連リソース
HCL AppScan と自動相関による修正の優先順位付け
