-
Success Stories Filter
-
Commerce Retail
-
DX Insurance
-
PD Hook
-
Novotex Italiana
-
Nolte Kuchen
-
Exacto enables smart data
-
dryice-enables-automated
-
Penn Vet
-
Credit Union
-
Streebo
-
HCL AppScan IT Customer Story
-
KUHN
-
Iperceramica
-
Türk Telekom
-
Health Insurance Company
-
HCL AppScan Telecommunication
-
Marzotto Sim
-
HCL Accelerate IT
-
HCL Volt MX Insurance Demo
-
Global Marketing and CPG
-
VELCO
-
ESM
-
Elektronabava-1
-
Electric Utility Company
-
CyFIR
-
Cyber Security
-
Corlett-Wellstone
-
Ambleglow
-
AIS | HCL Software
-
A1 Telekom
-
afrisam paves Backup
-
Swiss Red Cross
-
Arvid Gjerde
-
Vössing spurs efficient
-
acubiz story
-
business running
-
TATA AIA Insurance
-
Global Information Technology
-
Power Metal
-
Augusta
-
SG Digital
-
State of Ohio
-
Verve
-
Afrisam Paves
-
vcc
-
bcbst
-
Constance Hotels Case Study
-
World Vision
-
National Retailer
-
Global Safe Travel
-
Volt MX State of Ohio
-
WWE
-
Volt MX Government
-
Anonymous Retail Customer Story
-
Bonnell Aluminium
-
Firepro Systems
-
HCL Volt MX
-
Onetest-Casestudy
-
Accelerating Casestudy
-
DX Bank
-
dryice-reduces-vm
-
dryice-german-energy
-
dryice-reduced-server
-
Exacto kicks automation into overdrive
-
Exacto Learn how Husqvarna mowed-down
-
HCL AppScan Education
-
Airline Case Study
-
Connectria
-
Low Code Chemical
-
Australian Energy company
-
Rheavendors Group
-
Malayala MANORAMA
-
Higher Education Logo Page
-
Al-Futtaim
-
Volt MX Government Services
-
Volt MX Utility Water
-
DX Edison
-
DX Ipiranga
-
VMX Pestcontrol
-
South Seas Data
-
Lufthansa
-
US State Government-1
-
Top Global Manufacturer
-
Wavestrong Partner Success Story
-
Z Home Auto Insurance
-
Mondelez International
-
Products
- Alphabetical List
- Business & Industry Applications
- Cybersecurity
- Data and Analytics
- AI and Intelligent Operations
- Total Experience
- Sovereign Collaboration
- Specialized Software
- HCL Actian
- HCL Actian Data Platform
- HCL Actian Ingres
- HCL Aftermarket Cloud
- HCL AppScan
- HCL Automation Orchestrator
- HCL Automation Orchestrator Suite
- HCL BigFix
- HCL CAMWorks
- HCL Commerce Cloud
- HCL Clara
- HCL Connections
- HCL Customer Data Platform
- HCL DataConnect
- HCL DFMPro
- HCL Discover
- HCL Domino
- HCL DX
- HCL DevOps Code ClearCase
- HCL DevOps Code RealTime
- HCL DevOps Deploy
- HCL DevOps Plan
- HCL DevOps Model RealTime
- HCL DevOps Test
- HCL DevOps Test Embedded
- HCL DevOps Velocity
- HCL Glovius
- HCL Hero
- HCL iAutomate
- HCL iObserve
- HCL iControl
- HCL Informix
- HCL IntelliOps
- HCL IntelliOps Event Management
- HCL Leap
- HCL Link
- HCL Mainframe Solutions
- HCL Marketing Cloud
- HCL MyCloud
- HCL MyXalytics
- HCL Nippon
- HCL Notes
- HCL Now
- HCL OneDB
- HCL SafeLinx
- HCL Sametime
- HCL Secure DevOps
- HCL SoFy
- HCL SX
- HCL TX Platform
- HCL Unica
- HCL Verse
- HCL Volt MX
- HCL Vector Analytics
- HCL Workload Automation
- HCL Z Asset Optimizer
- HCL Z Abend Investigator
- HCL Z and I Emulator
- HCL Zeenea Data Discover Platform
- HCL Zen Edge Data Management
- HCL Aftermarket Cloud Service lifecycle management platform
- HCL Commerce Cloud Enterprise e-commerce for B2C and B2B
- HCL CDP Flexible and customizable customer data platform
- HCL Discover Behavioral insights for customer journeys
- HCL Marketing Cloud Fueling precision marketing at scale with AI
- HCL Unica Enterprise marketing automation platform
- HCL AppScan Scans for application vulnerabilities
- HCL BigFix Secure endpoint management
- HCL BigFix Compliance Ensure security with continuous, real-time compliance monitoring
- HCL BigFix CyberFOCUS Supercharging IT operations to secure the enterprise
- HCL BigFix Remediate Automate, remediate & secure endpoints
- HCL Actian Empowers the data-driven enterprise
- HCL Actian Data Platform Data services suite; flexible deployment
- HCL Actian Ingres Legendary transactional RDBMS
- HCL DataConnect Low-code integration platform
- HCL Zeenea Data Discover Platform Cloud-native data governance solution
- HCL Zen Embeddable edge data management
- HCL Automation Orchestrator Suite Accelerate IT and business automation
- HCL BigFix Secure endpoint management
- HCL BigFix AEX AI-driven employee experience accelerating productivity and innovation
- HCL BigFix Enterprise+ An all-in-one IT infrastructure automation offering enabling you to stay ahead of cyber threats
- HCL BigFix Workspace+ Fueling GenAI within the Digital+ experience
- HCL iControl HCL iControl is a business flow and process observability solution
- HCL MyXalytics Cloud finOps visibility and insights
- HCL SX Service management for everything-as-a-service delivery
- HCL Workload Automation Simplify and automation business workflows
- HCL Connections Collaboration and task management in one workspace
- HCL Domino Rapid application development platform
- HCL Leap No code citizen app dev
- HCL Link Connectivity across your digital ecosystem
- HCL Notes Comprehensive email and collaboration hub
- HCL SafeLinx Secure and flexible remote access to enterprise applications
- HCL Sametime Secure meetings, video, and chat communications
- HCL Verse Smart and secure enterprise email for seamless workflow
- HCL Augmented Network Automation (SON)Intelligent RAN automation platform
- HCL Automation Orchestrator Suite Accelerate IT and business automation
- HCL DFMProCAD integrated Design-for-Manufacturing platform
- HCL CAMWorksCAM for machining productivity
- HCL GloviusModern lightweight CAD Viewer
- HCL Mainframe Optimization Optimize, modernize, and innovate your mainframe investments
- HCL Secure DevOps Automated testing and security scanning
- Industries
- Partners
-
Persona
- HCL Commerce Cloud E-Commerce für Unternehmen im B2C- und B2B-Geschäft
- HCL CDP Flexible and customizable customer data platform
- HCL DX The DXP for the moments that matter
- HCL Marketing Cloud Fueling Precision Marketing At Scale with AI
- HCL Unica Enterprise marketing automation platform
- HCL Volt MX Multi-experience low code app dev
- HCL Actian Ingres Legendary transactional RDBMS
- HCL Actian Data Platform Data services suite; flexible deployment
- HCL AppScan Scans for Application Vulnerabilities
- HCL BigFix Secure endpoint management
- HCL BigFix AEX AI-driven employee experience accelerating productivity and innovation
- HCL BigFix Enterprise+ An all-in-one IT infrastructure automation offering enabling you to stay ahead of cyber threats
- HCL BigFix Workspace+ Fueling GenAI within the Digital+ experience
- HCL DataConnect Low-code integration platform
- HCL Foundry Secure Backend Services
- HCL iControl HCL iControl is a business flow and process observability solution
- HCL MyXalytics Cloud FinOps visibility and insights
- HCL SX Service management for everything-as-a-service delivery
- HCL Universal Orchestrator Orchestrate and optimize business automation
- HCL Vector Analytics A high-performance, secure vectorized columnar analytics database
- HCL Workload Automation Simplify and automation business workflows
- HCL Zen Embeddable edge data management
- Learn & Support
Increasing the Application Security Testing (AST) coverage without changing the Software Development Lifecycle (SDLC).
Indústria: Tecnologia da Informação
Produtos: HCL AppScan
Região: América do Norte / EUA
Desafios de Negócios
Nosso cliente enfrentou os seguintes desafios de negócios:
- Melhorar a proteção de segurança de seus produtos sem interromper o processo SDLC atual.
- Reduzindo a probabilidade de um problema de segurança que poderia atrasar o envio de novas versões.
Solução
Integre o IAST ao processo de QA existente do cliente e aproveite os testes automáticos, manuais e de integridade para estender a cobertura do Application Security Testing (AST) e transformar DevOps em DevSecOps.
Resultados
Cobertura AST aprimorada e processos de correção, devido a registros informativos de problemas de segurança, como pilhas de chamadas completas e exemplos de exploração que são relatados pelo agente IAST.
Ficamos surpresos com o processo de implantação. Esperávamos algo mais complicado do que implantar um arquivo WAR em nosso Tomcat!
Equipe de DevOps do gerente técnico
Caso de negócios para IAST
A empresa já estava utilizando o DAST como parte de seu SDLC, principalmente nos estágios finais. Essa prática comum forneceu bons resultados, mas tinha várias desvantagens:
- Quando uma vulnerabilidade de segurança significativa foi descoberta, isso causou um atraso no lançamento, uma vez que o DAST foi introduzido como uma das últimas etapas antes que uma nova versão fosse enviada. Os esforços de remediação para vulnerabilidades de segurança foram elevados devido às informações menos detalhadas do scanner DAST.
- Houve um intervalo de tempo significativo entre a gravação do código e a descoberta de vulnerabilidades.
Integrando IAST
A empresa possui um amplo processo de Garantia de Qualidade (QA) devido ao tamanho e à complexidade de sua base de código. O processo de controle de qualidade inclui testes automatizados e manuais que variam de cenários de sanidade simples a casos extremos complicados. Cada nova versão também adicionou mais funcionalidade, então mais testes foram introduzidos no processo de controle de qualidade.
A infraestrutura de controle de qualidade é baseada em Docker e orquestrada usando Jenkins. Como a equipe não queria alterar seus contêineres existentes, eles decidiram integrar o IAST usando um script simples que utiliza APIs do AppScan para fazer download e implementar o agente no servidor da web, depois que os aplicativos forem construídos e publicados com sucesso.
Efeitos
Um benefício significativo que os desenvolvedores relataram instantaneamente foi a quantidade de informações contidas nas vulnerabilidades de segurança. Ter a linha de código que originou o problema, junto com um exemplo de exploração que o desencadeou, reduziu significativamente os esforços de correção. Como o processo de controle de qualidade é adjacente ao processo de desenvolvimento, as alterações de código que resultaram em novas vulnerabilidades de segurança estão frescas na mente dos desenvolvedores ao se aproximarem para resolver problemas de segurança.
Outro benefício relatado pela equipe de segurança foi a redução de problemas detectados na varredura DAST, uma vez que o processo de controle de qualidade agora ajudava a resolver os problemas mais cedo no SDLC.
Do ponto de vista da manutenção, as equipes de Segurança e DevOps ficaram impressionadas, pois a integração do agente IAST requer apenas um único script simples e o próprio agente é perene (o que significa que ele é atualizado automaticamente). Outra grande coisa é que a equipe de QA pode continuar adicionando novos testes para cada nova funcionalidade que desenvolve, mantendo a cobertura AST atualizada a cada nova versão. O processo continua melhorando como um subproduto do próprio SDLC.
A quantidade de informações que recebo por problema é benéfica para o processo de priorização e correção.
Arquiteto de Sistema
About the Company
Devido à natureza sensível do domínio da segurança cibernética, a empresa solicitou o anonimato neste estudo de caso específico. A empresa é uma empresa de software no mercado de TI e que atende SMBs e grandes empresas.
A pilha de tecnologia usada neste estudo de caso é:
- Java
- Tomcat
- Docker
- Jenkins
Para saber mais sobre como o IAST pode beneficiar sua organização, leia e compartilhe nosso white paper informativo
