Mises à jour précédentes de 2019 à 2020

• Renommé :
  • Statut > Statut du problème
  • Valeur de gravité > Gravité
  • Fichier source > Nom du fichier
• Ajouté : ID externe et CVSS
• Supprimé : Protocole

• La création d'un rapport d'application « NIST Special Publication 800-53 » crée plutôt un rapport « Sarbanes-Oxley Act (SOX) ».
• Les problèmes de sécurité open source ne sont pas indiqués comme non conformes, bien qu'ils soient inclus dans les stratégies d'application

• Les données d'application sont désormais (comme prévu) incluses dans les rapports uniquement lorsque la case Métadonnées > Couverture est cochée dans l'interface utilisateur, ou le drapeau Couverture utilisé dans l'API REST.
• PRB0067750 : Le niveau d'optimisation change lorsque le travail d'examen est transféré pour l'agent de numérisation est terminé.

• Mise en œuvre d'une fonction API qui renvoie le nombre de problèmes par statut
• Ajout de l'API des domaines
• Les fonctions Swagger incluent désormais les éventuels codes de réponse aux erreurs

• Les examens "en cours de vérification" peuvent désormais être supprimés
• Swagger peut désormais être ouvert automatiquement à partir de la page des paramètres de l'interface utilisateur si l'utilisateur est connecté

• La technologie IAST est désormais appelée "Session de surveillance IAST" ou "Session IAST" plutôt que "Examen IAST".
• Assistant simplifié pour le lancement d'une session IAST
• Le téléchargement d'agent inclut désormais toujours la clé de l'agent.

• Notification des erreurs améliorée
• Les derniers caractères de la clé de licence FlexNet sont désormais exposés sur GetTenantInfo (Obtenir les infos du titulaire)

• Modification de la structure des conseils personnalisés SAST.
• Page de garde unifiée pour tous les rapports.
• Rapports XML DAST : L'ordre des sections « Groupe d'URL » et « Groupe d'entités » dans les rapports XML DAST a été modifié. Les autres versions du rapport ne sont pas concernées.

• Le nom et le contenu du groupe de correctifs SAST correspondent désormais à ce qui s'affiche dans l'interface utilisateur et dans les rapports d'application.
• Les rapports d'examen SAST comprennent désormais les conseils personnalisés, comme dans les rapports d'application.
• Mise à jour de la page de garde et ajout de la table des matières, pour correspondre aux rapports d'application.
• Ajout de cases à cocher Discussion et Historique dans les options des métadonnées.

• Vous pouvez maintenant trier les colonnes Problèmes et AppScan Presence dans l'onglet Tous les problèmes en cliquant sur l'en-tête de la colonne.
• Ajout de la saisie semi-automatique dans le champ URL lors de la création d'un examen dynamique.

• 37 nouveaux articles
• Amélioration de 29 règles
• Ces améliorations vous permettront au final de réduire votre nombre total de constatations.
• Toutefois, à cause des mises à jour, des constatations existantes peuvent s'afficher en tant que nouvelles constatations.

• La liste par défaut n'affiche désormais que les problèmes non conformes (Nouveau, Ouvert, En cours, Réouvert)
• Affichage du nouveau filtre
• Examens SAST : Un lien Groupe de correctifs est ajouté à chaque problème dans la liste Tous les problèmes afin d'ouvrir l'onglet Groupe de correctifs pour ce problème.

• Vous pouvez à présent générer un rapport, même en l'absence de problème ou lorsque tous les problèmes sont conformes.
• Examens SAST : Section "Problèmes par groupe de correctifs" ajoutée au rapport Sécurité des applications

• Modifier le statut par problème
• Ajouter des notes par groupe de correctifs
• Filtrer les problèmes en fonction de la conformité à une ou plusieurs règles spécifiques

GET /api/v2/Issues/{scope}/{scopeId}

Cette fonction renvoie des problèmes pour la portée donnée (Application, examen ou exécution d'examen). Elle accepte les paramètres odata standard (filtre et pagination) et elle dispose également d'un paramètre qui détermine si des règles doivent être appliquées afin de filtrer des problèmes, et lesquelles. Cette nouvelle fonction remplace toutes les fonctions suivantes (qui sont à présent marquées comme étant obsolètes) :

GET /api/V2/Issues/Count

GET /api/v2/Apps/{id}/NonCompliantCount

GET /api/v2/Apps/{id}/NonCompliantIssues

GET /api/v2/Apps/{id}/Issues

GET /api/v2/Apps/{id}/IssuesAsPage

GET /api/v2/Apps/{id}/IssuesCount

GET /api/v2/Scans/Executions/{executionId}/Issues

GET /api/v2/Scans/{scanId}/Executions/{executionId}/Issues

GET /api/v2/Scans/{scanId}/NonCompliantIssues

GET /api/v2/Scans/{scanId}/NonCompliantCount

GET /api/v2/Scans/{scanId}/Issues

La dernière mise à jour de l'interface GUI d'AppScan sur Cloud, AppScan Go!, introduit la possibilité de spécifier la vitesse des examens complets. Les examens complets offrent les analyses les plus exhaustives afin d'identifier le nombre maximum de vulnérabilités. En outre, les examens complets sont ceux qui prennent le plus de temps.

Pour profiter de cette vitesse d'examen, téléchargez et installez la version la plus récente d'AppScan Go!.

• Les plug-ins téléchargent automatiquement la version la plus récente de l'Utilitaire de ligne de commande Static Analyzer lorsqu'ils s'exécutent.
• Si vous essayez de préparer du code à examiner à l'aide de la version 7.x ou antérieure de l'Utilitaire de ligne de commande Static Analyzer, un message d'erreur s'affiche. Procédez à une mise à niveau vers la version la plus récente de l'Utilitaire de ligne de commande Static Analyzer en fonction de votre système d'exploitation (Windows, Linux, Mac).
• Si vous utilisez AppScan Go!, acceptez et installez la mise à jour la plus récente, le cas échéant.

• Identifie de nouveaux cookies créés par JavaScript ; amélioration des filtres URL ; amélioration de la couverture
• Analyse améliorée des attaques par script intersite : Meilleure détection de script intersite basé sur DOM
• Amélioration de la détection d'arrêt de serveur/application : La pulsation de panne du serveur/de l'application teste désormais l'intégralité de l'URL d'accueil pour l'examen, au lieu de se concentrer uniquement sur le chemin racine, ce qui améliore la précision.

Le nouveau processus de transfert Java permet une gestion plus intelligente des projets Java en vue de déterminer les fichiers à analyser et ceux qui seront considérés comme des dépendances. Au lieu d'avoir recours à un processus fastidieux de décompression de tous les fichiers war, jar, sub jar, etc., puis de sauvegarde de tous les fichiers décompressés sur un disque avant de déterminer les fichiers à analyser, le processus de transfert utilise une approche précise permettant d'évaluer le projet Java.

-DSTAGE_INFO=true
For example:
D:\apps\app\appscan prepare -n app -DSTAGE_INFO=true
Discovering targets...
Target added: app
Validating...
Staging D:\apps\app\app.jar
Evaluating Entry: app.jar.files/lib/tomcat-coyote-7.0.12.jar
Java Packages To Be Analyzed For app:
        com.app.java.test
No problems found during validation.
Generating IRX file...
IRX file generation successful.

• Cette nouvelle fonction des examens DAST (active par défaut et contrôlée lors de la configuration de l'examen) accélère l'examen lorsque vous accordez davantage d'importance à la rapidité des résultats qu'à un examen minutieux et en profondeur. Voir Optimisation du test.
• La section Informations générales des rapports d'examen DAST indique à présent si l'examen a été optimisé ou non.

• Lorsque vous créez un examen, le statut des tests pour l'application passe à "En cours".
• Lorsque vous réinitialisez une application (interface : Editer > Réinitialiser > Tout supprimer… | API : Applications/Réinitialiser/Supprimer les problèmes), le statut des tests de l'application passe à "Non démarré".

• Filtres ajoutés à la fonctionnalité de l'API GET Presence, par exemple :GET: ..Presences/?$select=PresenceName%2C%20Idrenvoie une liste de toutes les instances Presence et de leurs identifiants :
• Télécharger un fichier d'examen DAST à l'aide de :GET ..Scans/DynamicAnalyzerScanFile/{executionId}

• Norme de sécurité des données d'application de paiement
• US DISA's Application Security and Development STIG. V4R3

Les améliorations incluent les améliorations des performances, l'exclusion automatique de fichiers tiers, une amélioration de l'analyse des règles et des correctifs d'erreurs.

• Norme internationale - ISO 27001
• International Standard - ISO 27002
• NIST Special Publication 800-53
• Classification des menaces par le consortium WASC v2.0

• CANADA Freedom of Information and Protection of Privacy Act (FIPPA)
• US Electronic Funds and Transfer Act (EFTA)
• US Federal Information Security Mgmt. Act (FISMA)
• US Sarbanes-Oxley Act (SOX)

• Vous pouvez désormais exécuter AppScan Presence en tant que service sous Linux, ainsi que sous Windows.
• Dans Windows, AppScan Presence est désormais lancé via des fichiers EXE.