Nouveautés d'HCL AppScan® Enterprise

Avis important

Pour HCL AppScan Enterprise 10.0.2 et versions ultérieures, une licence HCL est requise. HCL AppScan Enterprise 10.0.2 et versions ultérieures ne sont pas compatibles avec les licences IBM. Consultez la documentation du produit pour obtenir des instructions sur l'installation d'une licence HCL. Pour en savoir plus, contactez votre représentant HCL ou le support HCL.

Nouveautés d'HCL AppScan® Enterprise 10.0.5

Cette section décrit les nouvelles fonctionnalités et améliorations du produit dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).

IAST (Interactive Application Security Testing)

La publication d'IAST est maintenant officielle.
Outre Java, IAST prend désormais en charge .NET et Node.js. Pour plus d'informations sur IAST, voir Interactive Application Security Testing (IAST) dans AppScan Enterprise.

Informations "Comment résoudre le problème"

Nouveau contenu amélioré des recommandations de conseils et de correctifs pour de nombreux problèmes, réunis dans le nouveau format Comment résoudre le problème
Nouvelles informations détaillées "Comment résoudre le problème" pour de nombreux langages de code.

Plug-in Azure DevOps ajouté. Voir la documentation du plug-in.

Utilitaire d'administration ASE : amélioration pour activer la modification automatisée du mot de passe. Pour plus d'informations, voir Réinitialisation du mot de passe du compte de service à l'aide d'AdminUtil.

Améliorations des performances et de l'évolutivité

Mise à niveau du rapport de conformité : DISA STIG V5R1

Test de sécurité

Amélioration de l'analyse XSS grâce à la validation par navigateur pour certaines règles.
Nouveaux tests d'application :
- Stratégie de référent – Détecter les stratégies de référent mal configurées ou non sécurisées.
- Injection d'en-tête de l'hôte – Tester si l'en-tête de l'hôte est analysé dynamiquement dans l'application.
- Origine arbitraire de CORS – Tester si la stratégie CORS provient de la valeur arbitraire de l'en-tête d'origine.
Nouveaux tests d'infrastructure :
- CVE-2020-5398 - Détecter le téléchargement de fichiers réfléchis sur Spring Framework.
- CVE-2020-7246 - Exécution de commande à distance sur qdPM.
- CVE-2020-9006 - Injection SQL du plug-in WordPress Popup Builder.
- CVE-2020-11022/11023 - Détecter le XSS dans JQuery avant la version 3.5.0.
- CVE-2020-17530 - Evaluation d'OGNL multiples forcée Apache Struts 2.

Correctifs et mises à jour de sécurité

Les correctifs et mises à jour de sécurité sont répertoriés ici.

Supprimé dans cette édition

Détection de logiciels malveillants
Catégorisation X-Force dans Conseils et Détails du problème
Les informations spécifiques à .NET, J2EE et PHP ne sont plus incluses dans les rapports, mais de nouvelles informations spécifiques au code pour de nombreuses langues, y compris les trois suivantes, sont disponibles dans l'interface utilisateur.
Serveur AppScan Enterprise sur système d'exploitation Windows 32 bits
Plug-in AppScan Enterprise pour navigateur Internet Explorer

Suppression prévue dans une version future

Les options suivantes seront supprimées dans une version future :

Prise en charge de SSL 3.0.
Stratégies de test : Web Services, The Vital Few et Developer Essentials, car des résultats similaires peuvent maintenant être obtenus à l'aide d'autres stratégies. Pour plus d'informations, voir Stratégies de test prédéfines.
Intégration à IBM SiteProtector.