IASTはソフトウェア開発ライフサイクル(SDLC)にシームレスに統合され、稼働中のアプリケーションとAPIを継続的に監視し、脆弱性をリアルタイムで検出・優先順位付けします。ソースコードとランタイム動作の両方を包括的に可視化することで、IASTは正確かつコンテキストに基づいたインサイトを提供し、安全な開発を加速し、リスクに基づく意思決定をサポートします。
IASTは機能テストやQA中に自律的に実行され、DevOpsやセキュリティワークフローとも統合されます。DASTとSASTの検出結果をインテリジェントに相関させ、問題のグループ化を効率化することで、より迅速かつ効率的な修復を実現します。
APIの検出とリスクの洞察
APIの検出とリスクの洞察
アプリケーションで使用されている内部APIを自動的に検出し、カタログ化します。オープンソースコンポーネントのSCAスキャンから得られた知見も活用します。これらの知見は、セキュリティリスクを評価し、アプリケーションのセキュリティリスクを効果的に伝えるために不可欠です。
自動問題相関
自動問題相関
HCL AppScan 自動問題相関は、各 IAST、DAST、SAST の問題からデータを抽出し、さまざまなヒューリスティックを使用して相関を特定します。これにより、問題をグループ化してすばやく完全に解決できるため、脆弱性と修復タスクの全体数を効果的に削減できます。
- DAST の検出結果は、対応する IAST スキャンと SAST スキャンで発見された詳細な情報でエンリッチ化できます。IAST スキャンと SAST スキャンはどちらもソースコードを見ることができます。
- SAST の検出結果は、対応する IAST 結果と DAST 結果の精度を利用して、修復の優先順位を付けることができます。
- SAST の修復は、すべての相関された検出結果のステータス更新を提供する後続の IAST スキャンと DAST スキャンで検証できます。
特許取得済みの Java ソリューション
特許取得済みの Java ソリューション
当社の特許取得済みの Java デプロイメントソリューションは、Java エージェントとしても Web アプリケーションとしても展開できるため、必要な設定が少なく、セットアップに要する時間が短いです。スキャンを迅速に開始し、Web サーバーが起動した後に IAST を導入し、サーバーを再起動せずに IAST エージェントを削除できます。また、エージェントは、アップデートされたバージョンがあるかどうかを検出し、それをダウンロードして、自動的に自己アップグレードを行います (ASoC のみ)。
特許取得済みの .NET ソリューション
特許取得済みの .NET ソリューション
.NET向け特許取得済みのIASTソリューションは、ネイティブコードではなくマネージドコードで実行することで、比類のないスピードと効率性を実現します。そのため、.NETコアの最適化を無効にする必要がありません。エージェントは.NETランタイム内で動作するため、より詳細な可視性が得られ、より広範な問題検出と高度な機能強化が可能になります。
誤検出の排除
誤検出の排除
さらに、HCL AppScan IAST は、アプリケーションを通過する情報を追跡する高度なアルゴリズムの特許も取得しています。検出された脆弱性が追加のチェックを自動的にトリガーするため、最終レポートの誤検出は大幅に削減されます。
このチェックには、コードフローをリアルタイムで複製し、それに対してさまざまな方法で攻撃を試みる複雑なアルゴリズムが含まれています。独自の実用的なサニタイジングコードを記述した場合、HCL AppScan IAST はそれを検出し、それを通過する問題についてはレポートしません。
関連リソース
HCL AppScan と自動相関による修正の優先順位付け
