Nouveautés d'HCL AppScan® Enterprise
Nouveautés d'HCL AppScan® Enterprise 10.1.0
Cette section décrit les nouvelles fonctionnalités et améliorations du produit dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).
- Nouveau modèle pour l'examen d'une API Web GraphQL. Pour plus d'informations, voir Création d'un examen à l'aide du modèle GraphQL.
- Moteur de balayage du Web basé sur les actions retravaillé : Le moteur de balayage du Web basé sur les actions d'AppScan a fait l'objet d'une profonde révision et propose désormais les éléments suivants :
- Amélioration de la consommation de mémoire, avec
- Couverture similaire ou améliorée
Dans le cas peu probable d'une couverture réduite pour votre application, veuillez contacter le support.
- L'authentification SQL est désormais prise en charge pour la connexion à la base de données SQL Server.
- Chiffrement des informations sensibles dans les fichiers de connexion ou d'examen.
- Importez des problèmes DAST d'une instance AppScan Enterprise vers une autre.
- Améliorations IAST :
- Prise en charge de .NET Core
- Prise en charge de WebSocket pour l'agent Java
- La console Web AppScan Enterprise est désormais prise en charge avec HTTP2. TLS 1.2 doit être activé sur le client et le serveur pour HTTP/2.
Liste de correctifs APAR
Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :
| N° d'APAR | Description |
|---|---|
| KB0074640 | Editer un groupe d'utilisateurs ne dispose pas d'une option de licence |
| KB0078311 | L'évaluation publiée dans AppScan Enterprise génère le statut "Suspendu (Echec de l'exécution du script d'importation)" dans l'onglet Examen |
| KB0089195 | Optimize SP - ap_App_Formula_Update |
| KB0089387 | Un agent d'utilisateur incorrect s'affiche dans les données de trafic du résultat de l'examen |
| KB0089535 | L'enregistrement d'une connexion pour un travail d'examen de contenu à l'aide d'un plug-in de navigateur affiche un message incorrect pour les autres navigateurs qu'Internet Explorer. |
| KB0090266 | Les examens créés à l'aide de l'API REST ASE peuvent échouer lors de l'exécution de l'examen si le modèle utilisé pour créer des examens contient des caractères non ASCII |
| KB0091555 | L'assistant de configuration AppScan Enterprise échoue lorsqu'un symbole de caret (^) est utilisé dans le mot de passe bindDN |
| KB0092139 | Lors du filtrage par "Nom de l'examen" dans la vue Surveillance, il existe une différence dans le nombre de problèmes affichés et répertoriés. |
| KB0092639 | Les journaux de retest et de trafic sont créés avec l'heure de début de l'examen au lieu de l'heure de début de la réinitialisation |
| KB0092666 | CRWAE1701E L'examen est en cours d'arrêt, car il inclut des domaines qui ne sont pas autorisés pour le test de sécurité. |
| KB0095393 | Tester uniquement les examens qui exécutent toujours la phase d'exploration |
| KB0095992 | Les travaux d'examen sont suspendus avec le message d'erreur "L'instruction INSERT est en conflit avec le message de contrainte CLE EXTERNE" |
| KB0097121 | Améliorations de la documentation pour l'API REST "keylogin" AppScan Enterprise |
| KB0099075 | Le codage dans certaines langues n'est pas géré correctement dans certaines API REST |
| KB0099087 | Impossible d'importer des applications dans l'onglet Surveillance d'AppScan Enterprise à l'aide de fichiers CSV |
| KB0099538 | Le serveur SQL avec un nom d'instance n'est pas configuré correctement pour IAST et DBService lorsqu'il contient le caractère "\" |
| KB0099643 | Les messages d'erreur pour les appels d'API REST ne sont pas renvoyés conformément au type de réponse demandé "no-html-encoding" |
Correctifs et mises à jour de sécurité
Les nouvelles règles de sécurité de cette version sont les suivantes :- attWebminFileManagerRCECVE20220824 - Ajout de la détection de Webmin RCE dans le gestionnaire de fichiers (CVE-2022-0824)
- attNoHttpsRedirection - Ajout d'une vérification pour la redirection HTTPS lorsque le schéma HTTP est utilisé
La liste complète des correctifs, des mises à jour et des RFE de cette édition est répertoriée ici.
Supprimé dans cette édition
- Prise en charge du navigateur Internet Explorer (IE) pour les versions 10.0 et 11.0.
- Importez des problèmes à partir du rapport Mobile Analyzer.
Modifications à venir
Les options suivantes seront supprimées dans une version future :
- Les stratégies de test Web Services, The Vital Few et Developer Essentials seront supprimées, car des résultats similaires peuvent maintenant être obtenus à l'aide d'autres stratégies. Pour plus d'informations, voir Stratégies de test prédéfines.
- L'établissement de scores de CVSS 2.0 sera supprimé et remplacé par CVSS 3.1.
- Possibilité d'éditer des évaluations de CVSS sur un problème.