ソフトウェア構成分析 (SCA) を使用すると、オープンソースのソフトウェアコンポーネントに起因する重大な脆弱性からアプリケーションを保護できます。当社の SCA テクノロジは、常時最新の情報に更新されるデータベースを利用して、こうしたコンポーネントがもたらす脆弱性を検出します。
HCL AppScan SCA は、アプリケーションのライフサイクルにおけるさまざまなステージにシームレスに統合できます。そのため、セキュリティチーム、リリースマネージャー、その他のスタッフは、特定のフォルダーやコンテナー/イメージ内のコンポーネントを迅速に評価し、既知の脆弱性を持つパッケージや、ライセンスの問題が疑われるパッケージを効率的に特定することができます。
コンテナスキャンによるクラウドセキュリティ
コンテナスキャンによるクラウドセキュリティ
HCL AppScan は、当社のソフトウェアコンポジション解析 (SCA) テクノロジを使用して、コンテナを動作させずに Docker コンテナ (またはコンテナイメージ) のすべての内容をスキャンする、革新的なコンテナスキャン・ソリューションを開発しました。
ソフトウェア・サプライチェーンのセキュリティ
ソフトウェア・サプライチェーンのセキュリティ
ソフトウェア・サプライチェーンのセキュリティ向上は、ビジネスを保護するために非常に重要です。HCL AppScan SCA は、オープンソースパッケージ、バージョン、ライセンス、脆弱性を検出し、包括的レポートのためにこれらデータのインベントリーを作成します。
ソースコード・スキャン
ソースコード・スキャン
HCL AppScan は、SCA ツールがソースコード・スキャンの改善に使用する、オープンソースやサードパーティのパッケージの独自データベースを構築しています。SCA は、ソフトウェア内のパッケージを特定して解析し、ファイルハッシュ、バイナリなどを含む複数のソースからの情報を持つデータベースと比較します。
このデータベースでは、さまざまなソースから情報が集約されるとともに、自動化されたプロセスにより新たな脆弱性が常時監視されるため、情報が日々最新の状態に更新されます。ソースとしては、最もよく使用されるセキュリティ脆弱性データベース (NVD、GitHub Advisory Database、Microsoft MSRC) のほか、あまり知られていないさまざまなセキュリティアドバイザリーやオープンソース・プロジェクトの問題トラッカーが使用されます。
SCA と SAST の組み合わせによる包括的ソリューション
SCA と SAST の組み合わせによる包括的ソリューション
HCL AppScan SCA は、自動的に静的分析 (HCL AppScan SAST) と組み合わせて実行させることができるため、独自のコードとサードパーティのコンポーネントの両方の脆弱性を同時にテストすることができます。
SDLC 全体にわたる SCA
SDLC 全体にわたる SCA
HCL AppScan SCA は、アプリケーション開発ライフサイクルのさまざまなポイントで統合可能です。開発者は統合開発環境 (IDE) から直接、プロジェクトに組み込まれたオープンソースパッケージを評価できます。
セキュリティマネージャーおよびリリースマネージャーは、CLI と GUI ツールを使用して、特定のフォルダーやコンテナー/イメージ内のすべてのコンポーネントを迅速に評価し、オープンソースパッケージを特定することができます。
パイプラインにおけるその他のポイントでの統合に使用できる広範なプラグイン、および HCL AppScan の REST API を使用すると、さらにその他の必要な統合/自動化を定義できます。
関連リソース
HCL AppScan の新しいコンテナースキャン機能による追加のクラウドセキュリティーの提供
