Mises à jour précédentes de 2021 à 2022

• Prise en charge du suivi des taches pour les clients à l'aide de la bibliothèque com.fasterxml.jackson pour JSON.
• Prise en charge du suivi des taches pour les clients à l'aide de la structure org.glassfish.jersey.
• Optimisations internes.

• Mettez à jour Apache commons-text de la version 1.9 à la version 1.10.0 pour atténuer un CVE connu (CVE-2022-42889).
• Mettez à jour Apache httpClient vers apache HttpClient5 pour atténuer une vulnérabilité dans l'ancien httpClient.
• Prise en charge du suivi des taches pour les clients à l'aide de la bibliothèque org.owasp.encoder.Encode.
• Amélioration de la prise en charge du suivi des taches pour les clients à l'aide de la bibliothèque Gson, y compris la prise en charge de la fonction Gson htmlSafe.

• Mise à jour du client d'analyse statique vers la version 8.0.1514.
• Précision améliorée pour les scanners Java et Kotlin.
• Correctifs d'erreurs d'ordre général.

• Amélioration des performances.
• Nouvelle option de configuration pour masquer les mots de passe, voir ici.

Comme annoncé précédemment, pour l'examen de sites privés, AppScan Presence v1 est désormais remplacé par AppScan Presence v2, publié en mars 2022. Pour l'examen de site privé, Presence v2 doit désormais être installé. Voir AppScan Presence.

• Prise en charge de TOTP (mot de passe unique basé sur le temps). Voir Examens DAST.
• La vue d'examen unique inclut désormais les compteurs de données d'exploration (nombre de cookies, d'en-têtes, etc. trouvés).

• Option de format SARIF ajoutée à la boîte de dialogue Exporter les problèmes.
• La vue d'examen unique inclut désormais la liste des langues trouvées et (si l'abonnement inclut SCA) les compteurs pour les bibliothèques et licences open source trouvées.

• Prise en charge du suivi des données envoyées via WebSockets.
• Prise en charge étendue de l'API REST Spring : Prise en charge des variables de chemin REST en tant que sources.
• Prise en charge du suivi des taches pour les clients à l'aide de la bibliothèque Gson.
• Lors de l'utilisation de Java 9 et versions ultérieures, un indicateur (BC_SB) doit être défini dans les propriétés Java pour suivre correctement les taches. Les utilisateurs sont désormais alertés si cet indicateur n'est pas défini.

• vue Applications : Filtrer par Évaluation des risques, Groupe d'actifs, Impact sur l'activité, Unité d'activité, Statut du test, Gravité maximale. Sélectionnez des dates de début et de fin.
• Vue Examens : Filtrer par technologie et statut (inchangé).
• Vue Tous les problèmes : Filtrer par Gravité, Statut, Technologie d'examen, Active les stratégies, Type de problème. Sélectionnez des dates de début et de fin.
• Vue Problèmes de l'examen : Filtrer par Gravité, Statut, Premier trouvé, Stratégies activées. Sélectionnez des dates de début et de fin.

• La section Nouvelles préférences de l'onglet Examen > Configuration montre comment les e-mails de notification (Envoyer/Ne pas envoyer) et l'activation des examens (Autoriser/Ne pas autoriser) sont configurés pour l'examen.
• La boîte de dialogue Réexamen mise à jour vous permet de modifier ces deux paramètres lors du réexamen.

Notez que si l'examen automatique d'API à l'aide d'un fichier Postman Collection importé est pris en charge dans AppScan Standard 10.0.8, le chargement d'un examen Postman Collection vers ASoC n'est actuellement pas pris en charge.

• Vous pouvez désormais modifier le niveau de gravité d'un problème ou de plusieurs problèmes en même temps (voir Editer la gravité du problème).
• Nouvelle indication pour les examens qui sont "Terminés", mais avec moins de 100 % de pages visitées et/ou 100 % d'éléments testés. Nouveau filtre "Examens partiels" pour afficher/masquer ces examens (voir Examens partiels).
• Administrateurs : Dans l'affectation de rôle, les droits "Créer un examen" et "Réexamen" sont désormais séparés, de sorte que les utilisateurs peuvent être autorisés à effectuer l'un ou l'autre, ou les deux.

• Prise en charge de JBoss EAP (Enterprise Application Platform) versions 6, 7
• Amélioration de la lisibilité des rapports :
  • Imprimer le contenu de la matrice/mappe
  • Exemple de génération dynamique d'exploitation basé sur l'entrée utilisateur actuelle
• Algorithme XSS amélioré

• Stratégie "OWASP Open API Top 10 2019" ajoutée
• Ajout de la gravité critique à la carte d'examen et au graphique des problèmes d'examen unique

• Ajout de colonnes de description et de résolution open source SAST aux rapports CSV
• Ajout de compteurs de gravité critique aux rapports de sécurité

• Le nouvel HCL AppScan Traffic Recorder (précédemment appelé proxy DAST) est désormais disponible sur la page Plug-ins et API ASoC. Voir HCL AppScan Traffic Recorder.
• Trois nouveaux plug-ins JetBrains ont été ajoutés : CLion, GoLand et RubyMine.

Cela signifie que les examens DAST démarrés à partir de l'API ou des plug-ins ne seront pas envoyés à l'équipe d'activation des examens pour révision (voir Statut de l'examen : En cours de révision) sauf si l'utilisateur définit spécifiquement le paramètre sur false.

Pour les examens démarrés via l'interface utilisateur, le paramètre par défaut "Autoriser l'intervention" reste inchangé.

• Nouveaux environnements pris en charge : Serveur Jetty, Quarkus JVM (Nœud JVM), structure Resteasy
• Mises à jour de sécurité :
  • Nouvelle vulnérabilité : Réflexion non sécurisée (CWE 470). Référence : https://cwe.mitre.org/data/definitions/470.html
  • Nouvelle vulnérabilité : Ouvrir la redirection (CWE 601). Référence : https://cwe.mitre.org/data/definitions/601.html
  • Amélioration de la précision des algorithmes d'analyse d'injection - affecte CWE 78 : Injection de commandes du système d'exploitation)
  • Eliminer les faux positifs potentiels lorsque la page est introuvable - affecte CWE 352 (CSRF) et 523 (transport des données d'identification non protégé)
  • Informations supplémentaires ajoutées aux problèmes de CWE 352 (CSRF) et CWE 523 (transport des données d'identification non protégé)

• CLion
• GoLand
• RubyMine

• Amélioration des informations de trace d'appel pour toutes les vulnérabilités
• L'URL de collecteur est maintenant l'URL de problème principale

• manipulation des valeurs des paramètres. Alternativement, gérez les: L'instance Presence existante (V1) est toujours prise en charge, mais ne sera pas prise en charge après le 1er octobre 2022.
• manipulation des valeurs des paramètres. Alternativement, gérez les: La nouvelle instance Presence (V2) n'inclut pas le proxy DAST. Si vous en avez besoin, vous pouvez télécharger et utiliser l'instance Presence existante (V1).

• Flux de création d'examen amélioré pour les examens DAST
• Exploration guidée et planificateur ajoutés lors de la création d'un examen DAST à partir d'un fichier
• Ajout de la possibilité de créer un rapport de licence open source au niveau de l'application
• Ajout de la possibilité d'ajouter un commentaire à plusieurs problèmes

• Rapport CWE/SANS Top 25 ASREG dans ASoC remplacé par CWE Top 25 Most Dangerous Software Weaknesses 2021
• Tableau des bibliothèques ajouté au récapitulatif du rapport open source

• Ajout de la possibilité d'ajouter un commentaire à plusieurs problèmes

• Sélectionner les jours de la semaine au cours desquels un examen planifié va s'exécuter
• Ajouter un planning à un examen existant
• Supprimer le planning d'un examen planifié
• La date de fin de récurrence (dernière date à laquelle un examen est planifié pour s'exécuter) s'affiche désormais dans l'entrée de l'examen

• XXE sur la classe JaxB (CWE 661). Cette classe potentiellement vulnérable est mentionnée dans la documentation OWASP XXE : https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#jaxb-unmarshaller
• Problème d'information JSON XSS (CWE 79), une variante XSS de données vulnérables écrites dans la réponse comme JSON

• Les cartes d'examen ont été redéfinies et incluent désormais un lien vers les problèmes par gravité dans l'examen.
• Plug-in Rider ajouté à la page "Plug-ins & API".

• Ajout de la possibilité de définir la "Date de fin de récurrence" à partir de l'API d'examen post-DAST.
• Ajout de la prise en charge de l'affichage des problèmes trouvés pour la première fois dans l'application.
• Propriété de langue ajoutée aux nouveaux problèmes SAST.

• Examens planifiés : Vous pouvez désormais planifier un examen DAST pour qu'il s'exécute ultérieurement, avec ou sans répétition (Créer un examen > étape Planifier). Vous pouvez éditer une planification configurée (menu Actions d'examen > Modifier la planification). Les nouvelles icônes indiquent le statut "Planifié" et "Répéter" des examens.
• IAST Ajout de la possibilité de mettre à jour la configuration de l'agent IAST.
• Déconnexion automatique : Les utilisateurs sont désormais déconnectés s'il n'y a pas d'activité pendant 30 minutes.
• Les unités commerciales peuvent désormais être fusionnées (Administrateurs uniquement : Organisation > Paramètres
• Vue d'examen unique : Les colonnes sont désormais cliquables et conduisent à une liste filtrée dans l'onglet des problèmes.

• Prise en charge de la planification des examens (avec des paramètres supplémentaires).
• Prise en charge de la fusion de deux unités commerciales et possibilité d'ajouter une limite au nombre d'unités commerciales autorisées dans l'organisation.

• Administrateurs uniquement : Nouvelle vue Paramètres ajoutée (Organisation > Paramètres), pour créer et gérer des unités commerciales.
• IAST Lors de la suppression d'un agent, l'interface utilisateur vous offre désormais la possibilité de supprimer uniquement la configuration de l'agent, ou la configuration de l'agent ainsi que les problèmes découverts par l'agent.
• Nouveau statut d'examen ajouté : "Initialisation" (avant le démarrage de l'examen).

• Interrompre l'exécution lorsque la consommation de mémoire (seuil) est trop élevée
• Nouveau paramètre de fichier de configuration pour spécifier les noms des applications à surveiller
• Indicateurs de débogage de mémoire et GC
• Consommation réduite de la mémoire
• Nouvelles fonctions de sécurité :
  • Règle CSRF améliorée (moins de FP)
  • Amélioration de la couverture de la règle Connexion non sécurisée
• Fixe : Bogue XSS sur Spring

• Interrompre l'exécution lorsque la consommation de mémoire (seuil) est trop élevée
• Filtrer les problèmes pour éviter qu'ils ne soient signalés sur la base de l'en-tête/du nom du cookie.
• Améliorations des performances
• Onglet Informations sur les problèmes pour les problèmes IAST :
  • Nouvelle section Informations supplémentaires
  • Exemple d'exploitation inclus pour de nombreux autres problèmes
• Nouvelles fonctions de sécurité :
  • Algorithme de traversée de répertoires
  • Amélioration de la couverture de la règle Connexion non sécurisée
• Fixe : Bogue lorsque des problèmes sont envoyés à ASoC/ASE

• Interrompre l'exécution lorsque la consommation de mémoire (seuil) est trop élevée
• Filtrer les problèmes pour éviter qu'ils ne soient signalés sur la base de l'en-tête/du nom du cookie.
• Onglet Informations sur les problèmes pour les problèmes IAST :
  • Nouvelle section Informations supplémentaires
  • Exemple d'exploitation inclus pour de nombreux autres problèmes
• Nouvelles fonctions de sécurité :
  • Algorithme de traversée de répertoires
  • Amélioration de la couverture de la règle Connexion non sécurisée
• Fixe : Erreur EPIPE de gestion de la communication

• Les sessions sont désormais affichées dans la vue Examens
• Le rapport d'examen peut être créé
• Si vous avez arrêté manuellement une session IAST, vous pouvez à présent la redémarrer à partir de l'interface utilisateur même si l'agent est déconnecté. La surveillance commence automatiquement lorsque l'agent est connecté. Auparavant, cela n'était possible que via l'API.

• Nouvelle page d'examen unique :
  • Permet d'accéder à des données détaillées sur l'examen, avec trois onglets : Présentation, Problèmes, Configuration et le volet journal d'examen (voir Vue Examen unique.
  • Affiche l'état en temps réel des examens en cours d'exécution.
  • Le journal d'examen peut désormais être consulté pendant l'examen.
  • Nouvel indicateur pour les analyses qui ont été traitées par un responsable de l'équipe d'assistance aux examens pour revoir leur configuration.
• Ajouts de l'assistant d'examen :
  • Choisissez d'explorer automatiquement ou avec des conseils (voir A propos de l'analyse dynamique (DAST) et Explorer avec un guide).
  • Charger un fichier via l'exploration manuelle ou en plusieurs étapes
  • Configurez la limite du débit des demandes.
• API :
  • Créez un examen avec plusieurs fichiers.
  • Choisissez entre l'exploration automatique et l'exploration avec conseils.
  • Délai d'attente automatique ajouté
  • Le nombre de problèmes nouveaux pour l'application est désormais inclus dans les résultats de l'examen.

• Prend désormais en charge le chargement d'un fichier CONFIG.
• La surveillance reflétera désormais les modifications que vous avez apportées au fichier CONFIG sur votre serveur local.
• Onglet Informations sur les problèmes pour les problèmes IAST :
  • Nouvelle section Informations supplémentaires.
  • Exemple d'exploitation inclus pour de nombreux autres problèmes.
• Mises à jour des règles de sécurité :
  • algorithme avancé de traversée de répertoires
  • Désérialisation - Xtream, xmlDecode
  • Réduire FP sur escapeHtml
• Correctifs et améliorations de la mémoire pour le serveur wildfly.

• Nouvelle fonction « Faire appel à un expert » ajoutée
• L'exportation aux formats CSV/JSON a été ajoutée aux pages des applications et des problèmes.
• Créer un examen : Ajout de la configuration du délai d'attente et du nombre d'unités d'exécution
• Ajout d'un ID de groupe fixe (« ID de groupe ») dans le panneau des problèmes
• IAST Informations supplémentaires ajoutées au panneau des problèmes
• Les configurations et les filtres des colonnes sont désormais sauvegardés entre les sessions
• Exemples d'applications CSV : Colonnes Description et Balises supprimées
• Nouveau plug-in : Github

• Ajout de la possibilité d'ajouter des commentaires à ScanExecution
• Configuration DAST : Ajout de la possibilité de configurer Nombre d'unités d'exécution et Délai d'attente de communication

• L'agent Node.js (version 1.1.0) est désormais pris en charge en plus de Java et .NET
• Agent .NET (version 1.2.2) :
  • Prend désormais en charge .NET 4.6.2
  • Mises à jour de la bibliothèque
  • Prise en charge de la définition de l'hôte et du jeton via des variables d'environnement et le fichier Web.config
• Agent Java (version 1.8.10000 :
  • Améliorations des performances
  • Prise en charge des environnements JRE 32 bits
  • Prise en charge des environnements JAVA pour la fonction de rattachement automatique
  • Nouvelles règles pour détecter la sécurisation Spring (réduire Spring FP)
• Remplacez les noms des variables d'environnement par IAST_HOST et IAST_ACCESS_TOKEN
• Rapport attCookieNotSecureSSL au lieu de SessionManagement.Cookies
• Rapports simplifiés
• Correctifs de bogues

• Différentes bibliothèques Java mises à jour vers des versions plus récentes
• Proxy Server prend désormais en charge les connexions TLS
• Vous pouvez désormais démarrer un proxy d'enregistrement avec une plage de ports plutôt qu'un port spécifique (le port le plus bas disponible de la plage sera utilisé)
• Vous pouvez désormais définir le port du serveur proxy dans Settings.json.
• Correction d'un bogue lors de l'importation de certificats JKS vers le serveur proxy

• Accepter l'invitation à rejoindre une organisation à partir de la boîte de dialogue « Choisir une organisation »
• Ajout d'informations sur la suite de chiffrement dans les détails du problème

• ID d'examen ajouté au modèle ScanExecution
• Exportation de données au format CSV

• IAST Ajout d'un tableau d'informations supplémentaires.
• Ajout d'un tableau des groupes de correctifs au format CSV du rapport de sécurité.

• Activez ou désactivez la notification par e-mail à la fin de l'analyse.
• Exécutez l'examen en tant qu'examen personnel.

• Barre de menus réductible avec un nouvel ordre et plusieurs nouveaux éléments de menu.
• Naviguez entre toutes les vues avec des éléments de navigation.
• Page Applications : Le flux de l'assistant de création d'application a été mis à jour.
• Application mono-page : Un nouveau tableau de bord vous donne une présentation graphique du statut de votre application avec l'évaluation des risques et le statut de conformité, le statut de l'examen, les problèmes par gravité, les types de problèmes les plus courants découverts, et plus encore.
• Règles :
  • La page Stratégies améliorées affiche désormais une liste de stratégies et les applications associées à chaque stratégie, plutôt que l'inverse.
  • De nombreuses nouvelles stratégies prédéfinies peuvent désormais être associées à vos applications.
  • La stratégie de ligne de base est désormais définie directement à partir de la page Application, plutôt que de la page Stratégies.
• Assistant de création d'examens : Flux amélioré et, pour les examens DAST, il existe désormais un chemin distinct pour créer des examens avec un fichier chargé.
• Les préférences d'e-mail et d'examen personnel sont désormais définies sur la nouvelle page Récapitulatif.
• Sélectionnez les colonnes à afficher dans les tableaux, ajustez la largeur et modifiez l'ordre des colonnes.
• Partagez des pages avec d'autres utilisateurs autorisés en leur envoyant simplement le lien (ID) vers la page spécifique.

• Contenu nouveau et mis à jour pour de nombreux problèmes.
• Comment résoudre le problème : Les sections Conseils et Recommandations de correction ont été regroupées dans un onglet complet, « Comment résoudre le problème ».
• Pour de nombreux problèmes, le contenu personnalisé « Comment résoudre le problème » pour des langages de code spécifiques est disponible.
• Partagez des problèmes avec d'autres utilisateurs autorisés en leur envoyant simplement le lien (ID) vers le problème spécifique dans l'application.

• De nouvelles applications sont désormais affectées par défaut à l'impact sur l'activité « Moyen », mais les applications existantes dont la valeur par défaut précédente est « Non définie » ne seront pas modifiées. La valeur « Non définie » peut toujours être affectée à une application manuellement.
• Si une application contient un examen terminé, même s'il n'y a pas de problèmes actifs, l'évaluation des risques est maintenant définie sur « Faible » (auparavant, elle était définie sur « Inconnue »).

• Prise en charge de Tomcat 10
• Amélioration du suivi de tache
• Règles de détection d'injection de commandes du système d'exploitation révisées