Mises à jour précédentes de 2023

Cette séparation des technologies de balayage statique et Open Source permet une plus grande flexibilité dans les stratégies de test. Vous pouvez examiner uniquement les bibliothèques Open Source à l'aide de la SCA et traiter les problèmes dans une vue d'examen unique spécifique à la SCA ou exécuter un balayage statique et Open Source sur les fichiers, selon les besoins de votre organisation.

Les options de test de l'assistant DAST vous permettent de spécifier si vous souhaitez envoyer des tests aux pages de connexion et de déconnexion.

Les groupes d'actifs sont un moyen utile de gérer l'accès des utilisateurs aux données. Grâce à cette interface utilisateur mise à jour, vous pouvez facilement définir et gérer des groupes d'actifs, et ainsi mieux gérer les membres de l'équipe qui travaillent avec des données spécifiques.

AppScan sur Cloud identifie les vulnérabilités de sécurité dans les feuilles de style en cascade, y compris les scripts intersites, les injections et la validation.

L'Utilitaire de ligne de commande Static Analyzer peut être configuré pour exploiter un environnement WebSphere afin d'utiliser le compilateur JSP inclus avec WebSphere.

AppScan sur Cloud a amélioré la vérification du contenu PHP dans les fichiers HTML.

L'équipe de développement de AppScan examine régulièrement les fonctionnalités et le code, en effectuant des ajustements sur une base continue pour fournir une fonctionnalité de balayage optimale.

• Correction du message affiché lorsque l'utilisateur définit des paramètres proxy incorrects.
• Mise à jour du journal IAST pour inclure la date et l'heure.

• « API détectées » est un nouveau type de problème utilisé à la place du type de problème « Divers » pour les problèmes qui indiquent la liste complète des API de l'application.
• Amélioration du processus de déploiement : La définition de la variable d'environnement BC_SB n'est plus nécessaire dans Java versions 9 et ultérieures.
• Prise en charge d'une structure supplémentaire pour Java : Spring 6.
• Tests OWASP : Journalisation améliorée à des fins de démonstration. Pour plus d'informations, voir OWASP Benchmark avec l'agent IAST.

• Prise en charge de l'examen incrémentiel qui raccourcit considérablement les nouveaux examens DAST en identifiant de nouvelles zones et modifications dans l'application et en concentrant l'examen sur celles-ci.

• Une mise à jour : Comme décrit dans Nouveau le 5 septembre 2023, seuls les résultats AppScan Standard chargés dans AppScan sur Cloud via AppScan Connect incluront les résultats des composants vulnérables. A l'heure actuelle, l'examen DAST sur ASoC ne prend pas en charge cette fonctionnalité.

• Vue d'examen unique : Inclut désormais l'option d'affichage des problèmes actifs, en plus du nombre total de problèmes et des nouveaux problèmes. Les problèmes actifs sont ceux qui ont le statut « Nouveau (obsolète) », « Ouvert », « En cours » ou « Réouvert ». En outre, des améliorations ont été apportées au graphique « Problèmes par gravité ».
• Vous pouvez désormais attribuer jusqu'à trois instances Presence uniques et limiter l'examen de l'application à ces instances uniquement.

Utilisez les options --enableSecrets et --secretsOnly pour examiner les secrets.

• Créer une application : La nouvelle configuration rapide vous permet de créer l'application en attribuant un nom et un groupe d'actifs uniquement. Vous pouvez ajouter des paramètres supplémentaires ultérieurement à l'aide de la boîte de dialogue Editer une application.
• Les utilisateurs disposant d'un droit peuvent désormais créer un nouveau groupe d'actifs à partir des boîtes de dialogue Créer et Editer une application.

• L'assistant de configuration des examens prend désormais en charge l'ajout de domaines supplémentaires à l'examen.
• Tableau de bord : Le graphique « Applications avec le plus de problèmes actifs » remplace le graphique « Types de problèmes courants ».
• L'option permettant de sélectionner un environnement de transfert ou de production a été supprimée en raison de l'ajout de nouvelles options de configuration telles que le remplissage automatique du formulaire. Pour plus de détails, voir Pourquoi ne puis-je plus indiquer que l'environnement doit être Transfert ou Production ?

• Créer une API d'examen : Le nombre de threads DAST prend désormais en charge jusqu'à 20 threads.
• Les informations Open Source sont désormais affichées avec des données plus consolidées et plus précises, au niveau de la bibliothèque et non au niveau du fichier.

• Mise à jour des icônes et logos
• Correctifs d'erreurs d'ordre général

• Améliorations des performances
• Ajout de nouvelles vulnérabilités :
  • L'API Sensitive nécessite une journalisation – CWE 778, (A09:2021 –Journalisation et surveillance de sécurité dans la liste OWASP Top 10 2021). Prise en charge pour les applications utilisant log4j.
  • Injection d'expression régulière (CWE 624).
• Détection d'API : Un nouveau problème signale toutes les API détectées dans une application. Prise en charge pour les applications Spring.

• Correction de bogues et amélioration des performances
• Prise en charge de WebSockets dans .NET Core
• Nouveaux types de vulnérabilités : En-tête « Content-Security-Policy » manquant (CWE 1032), en-tête de sécurité « Referrer Policy » manquant (CWE 200)
• Support de base pour les clients qui utilisent System.Net.WebClient