SAST(Static application security testing)는 웹 애플리케이션 및 API의 소스 코드를 스캔하여 보안 위험으로 변할 수 있는 취약점을 찾습니다. 이러한 유형의 코드 스캐닝의 지속적인 과제 중 하나는 이러한 도구가 엄청난 수의 결과를 생성할 수 있다는 것입니다. 이러한 조사 결과 중 어떤 것이 수정이 필요한 심각한 취약점인지 파악하는 것은 어렵고 시간이 많이 걸리는 작업일 수 있습니다.
HCL AppScan은 스캔 결과 수를 수천에서 수백으로 대폭 줄이고 오탐지를 실질적으로 제거하는 빌트인 AI를 시작으로 이러한 과제를 해결하는 데 도움이 되는 다양한 솔루션을 보유하고 있습니다.
클라우드 네이티브 플랫폼(HCL AppScan on Cloud and HCL AppScan 360º)에 수정 그룹(Fix Groups)을 추가하면 결과를 하나의 수정으로 모든 것을 수정할 수 있도록 공통점에 따라 그룹화함으로써 분류(triage) 및 수정(remediation) 시간이 크게 향상됩니다.
HCL AppScan supports three types of Fix Groups:
Common Fix Point – 이 수정 그룹은 정적 스캐너가 데이터 흐름 분석을 수행하여 추적 결과를 생성하는 .Net 및 Java와 같은 컴파일된 언어에 적용됩니다. 이 수정 그룹은 추적이 공통 노드를 통해 흐르는 동일한 취약점 유형과 모든 결과를 결합합니다. 해당 공통 노드에서 문제를 수정하면 이 수정 그룹 내의 모든 결과를 해결할 수 있습니다.
Common API – 공통 API 그룹은 프로젝트 전체에서 사용 중인 특정 API와 관련된 모든 결과를 수집합니다. 그런 다음 다른 API를 사용하거나 원래 API가 사용되는 방식을 변경하여 이러한 문제를 모두 그룹으로 함께 해결할 수 있습니다.
Common Open Source – 오픈 소스 그룹은 취약한 라이브러리와 관련된 모든 문제를 표시합니다. 라이브러리 취약점이 식별되면 라이브러리를 업데이트하거나 변경하여 모든 관련 문제를 그룹으로 해결할 수 있습니다.
How the different Fix Groups are used
Fix group main view
새로운 Fix Group view에는 Fix group 작업이 분류 프로세스에 얼마나 효율적인지 이해하는 두 가지 KPI가 있습니다. 수행할 교정 작업의 총 수 및 해당 작업과 관련된 그룹에서 발견된 문제의 총 수입니다.
새로운 Fix Group 디자인에는 사용자가 해당되는 경우 결과를 정렬하기 위해 다양한 필터를 적용할 수 있는 그리드가 포함된 개선된 UI가 있습니다. Fix Group 유형, 심각도, 정책 등을 기준으로 열을 정렬할 수 있습니다.
이 검토에서 행을 선택하면 Fix group 세부 정보 창이 열리며 이제 여러 설명을 추가하고 각 Fix group에 대한 감사를 볼 수 있는 옵션이 있습니다.
Fix group issues
이제 사용자가 열에서 Fix Group ID를 클릭하여 각 그룹과 관련된 문제를 볼 수 있도록 Fix Group 문제 보기가 업데이트되었습니다. 화면 상단에서 상세 내용을 확인할 수 있으며, 댓글을 보거나 추가할 수 있습니다. Fix Group 문제 표가 수정 그룹 유형별 관련 열로 재구성되었습니다. 예를 들어 Common Fix Point에 대해 소스, 싱크 및 파일 이름을 사용할 수 있습니다. Common API에 대한 컨텍스트 및 파일 이름이 표시됩니다. 오픈 소스 CVE의 위치가 나열되어 있습니다.
이미 정적 분석을 위해 HCL AppScan on Cloud 또는 HCL AppScan 360°를 사용하고 있는 경우 Fix Groups를 사용해 보고 이 향상된 기능이 어떻게 분류 및 문제 해결을 가속화할 수 있는지 직접 확인하십시오.
아직 HCL AppScan SAST를 사용하고 있지 않다면 무료 평가판을 통해 이 강력한 기술이 애플리케이션 보안을 어떻게 변화시킬 수 있는지 확인해 보세요. 국내에 최초로 AppScan을 공급하고 전담 기술 인력과 다수의 레퍼런스를 보유하고 있는 'HCL AppScan 전문 파트너 - 소프트와이드시큐리티'로 연락 부탁드립니다.
▶ HCL AppScan
https://softwidesec/Appscan
SAST(Static application security testing)는 웹 애플리케이션 및 API의 소스 코드를 스캔하여 보안 위험으로 변할 수 있는 취약점을 찾습니다. 이러한 유형의 코드 스캐닝의 지속적인 과제 중 하나는 이러한 도구가 엄청난 수의 결과를 생성할 수 있다는 것입니다. 이러한 조사 결과 중 어떤 것이 수정이 필요한 심각한 취약점인지 파악하는 것은 어렵고 시간이 많이 걸리는 작업일 수 있습니다.
HCL AppScan은 스캔 결과 수를 수천에서 수백으로 대폭 줄이고 오탐지를 실질적으로 제거하는 빌트인 AI를 시작으로 이러한 과제를 해결하는 데 도움이 되는 다양한 솔루션을 보유하고 있습니다.
클라우드 네이티브 플랫폼(HCL AppScan on Cloud and HCL AppScan 360º)에 수정 그룹(Fix Groups)을 추가하면 결과를 하나의 수정으로 모든 것을 수정할 수 있도록 공통점에 따라 그룹화함으로써 분류(triage) 및 수정(remediation) 시간이 크게 향상됩니다.
HCL AppScan supports three types of Fix Groups:
Common Fix Point – 이 수정 그룹은 정적 스캐너가 데이터 흐름 분석을 수행하여 추적 결과를 생성하는 .Net 및 Java와 같은 컴파일된 언어에 적용됩니다. 이 수정 그룹은 추적이 공통 노드를 통해 흐르는 동일한 취약점 유형과 모든 결과를 결합합니다. 해당 공통 노드에서 문제를 수정하면 이 수정 그룹 내의 모든 결과를 해결할 수 있습니다.
Common API – 공통 API 그룹은 프로젝트 전체에서 사용 중인 특정 API와 관련된 모든 결과를 수집합니다. 그런 다음 다른 API를 사용하거나 원래 API가 사용되는 방식을 변경하여 이러한 문제를 모두 그룹으로 함께 해결할 수 있습니다.
Common Open Source – 오픈 소스 그룹은 취약한 라이브러리와 관련된 모든 문제를 표시합니다. 라이브러리 취약점이 식별되면 라이브러리를 업데이트하거나 변경하여 모든 관련 문제를 그룹으로 해결할 수 있습니다.
How the different Fix Groups are used
Fix group main view
새로운 Fix Group view에는 Fix group 작업이 분류 프로세스에 얼마나 효율적인지 이해하는 두 가지 KPI가 있습니다. 수행할 교정 작업의 총 수 및 해당 작업과 관련된 그룹에서 발견된 문제의 총 수입니다.
새로운 Fix Group 디자인에는 사용자가 해당되는 경우 결과를 정렬하기 위해 다양한 필터를 적용할 수 있는 그리드가 포함된 개선된 UI가 있습니다. Fix Group 유형, 심각도, 정책 등을 기준으로 열을 정렬할 수 있습니다.
이 검토에서 행을 선택하면 Fix group 세부 정보 창이 열리며 이제 여러 설명을 추가하고 각 Fix group에 대한 감사를 볼 수 있는 옵션이 있습니다.
Fix group issues
이제 사용자가 열에서 Fix Group ID를 클릭하여 각 그룹과 관련된 문제를 볼 수 있도록 Fix Group 문제 보기가 업데이트되었습니다. 화면 상단에서 상세 내용을 확인할 수 있으며, 댓글을 보거나 추가할 수 있습니다. Fix Group 문제 표가 수정 그룹 유형별 관련 열로 재구성되었습니다. 예를 들어 Common Fix Point에 대해 소스, 싱크 및 파일 이름을 사용할 수 있습니다. Common API에 대한 컨텍스트 및 파일 이름이 표시됩니다. 오픈 소스 CVE의 위치가 나열되어 있습니다.
이미 정적 분석을 위해 HCL AppScan on Cloud 또는 HCL AppScan 360°를 사용하고 있는 경우 Fix Groups를 사용해 보고 이 향상된 기능이 어떻게 분류 및 문제 해결을 가속화할 수 있는지 직접 확인하십시오.
아직 HCL AppScan SAST를 사용하고 있지 않다면 무료 평가판을 통해 이 강력한 기술이 애플리케이션 보안을 어떻게 변화시킬 수 있는지 확인해 보세요. 국내에 최초로 AppScan을 공급하고 전담 기술 인력과 다수의 레퍼런스를 보유하고 있는 'HCL AppScan 전문 파트너 - 소프트와이드시큐리티'로 연락 부탁드립니다.
▶ HCL AppScan
https://softwidesec/Appscan