Nouveautés d'HCL AppScan® Enterprise
Cette section décrit les nouvelles fonctions et améliorations du produit AppScan Enterprise dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).
Nouveautés d'HCL AppScan® Enterprise 10.2.0
- La gravité du problème et le score CVSS sont désormais basés sur la notation de CVSS 3.1. Tout nouvel examen sera basé sur la notation de CVSS 3.1. Les constatations d'examen avant la mise à niveau seront conservées à l'aide de la notation de CVSS 2.0 jusqu'au nouvel examen. Pour plus d'informations, reportez-vous à la rubrique Spécification CVSS 3.1. Assurez-vous qu'AppScan Standard et qu'AppScan Enterprise utilisent la version 10.2.0, pour que les intégrations fonctionnent comme prévu.
- Les utilisateurs en lecture seule peuvent désormais commenter les problèmes si l'option globale est activée.
- Contrôle d'accès granulaire pour limiter la modification du statut du problème.
- Commentaire obligatoire sur le changement de statut d'un problème.
- Nouvelle API permettant de signaler les constatations de l'examen. API : /issues/(jobID)
- Le journal d'activité est mis à jour avec le filtrage multi-niveaux et d'autres améliorations.
-
Modèle de rapport sur la conformité à la réglementation mis à jour : [Etats-Unis] California Consumer Privacy Act (CCPA) - AB-375.
Liste de correctifs APAR
Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :
| N° d'APAR | Description |
|---|---|
| KB0068965 | En-têtes de gravité manquants (critique, élevé, faible, informatif) dans un rapport envoyé par l'ensemble d'alertes dans AppScan Enterprise |
| KB0074147 | De faux positifs peuvent se produire lors du nouveau test des problèmes de sécurité qui contiennent plusieurs variantes d'attaque positives |
| KB0075778 | L'intégration d'AppScan Enterprise et d'AppScan Source ne fonctionne pas lorsqu'un nom abrégé est configuré comme nom d'hôte d'AppScan Source dans AppScan Enterprise |
| KB0082136 | Les options TcpSourcePort et SourceInterfaceIP sont manquantes dans AppScan Enterprise |
| KB0084932 | Dans certains cas, AppScan Enterprise n'inscrit pas les modifications d'accès utilisateur dans le rapport Journal d'activité |
| KB0087169 | AppScan Source ne parvient pas à publier les évaluations dans AppScan Enterprise dans des paramètres régionaux non anglais |
| KB0090230 | La création d'un examen DAST via AppScan Enterprise Swagger à l'aide d'un modèle personnalisé entraîne des problèmes |
| KB0093324 | Le changement de gravité (moyen à faible) depuis AppScan Source n'est pas répercuté dans AppScan Enterprise après la publication ou l'importation via l'onglet Surveillance |
| KB0094173 | Ecart trouvé dans les résultats affichés dans AppScan Enterprise et Standard dans certains examens |
| KB0095164 | L'API post /issueimport/{appId}/{scannerId} doit fonctionner indépendamment de l'ordre des paramètres spécifié |
| KB0095837 | Lors du démarrage d'un travail ADAC, le droit de sécurité de l'utilisateur n'est pas coché |
| KB0095868 | Le propriétaire du travail créé par l'utilisateur Standard devient Administrateur, après avoir été modifié par l'administrateur dans ADAC |
| KB0095919 | Le travail d'examen est en cours d'exécution pour un utilisateur Standard, même après que le propriétaire du travail a été remplacé par Administrateur |
| KB0098572 | La conservation des journaux est convertie en valeur hexadécimale au lieu de valeur décimale |
| KB0099738 | La recherche d'utilisateurs LDAP n'affiche pas la liste complète des utilisateurs |
| KB0102486 | Echec de l'exportation d'une séquence en plusieurs étapes enregistrée à l'aide d'un navigateur externe |
| KB0102819 | Lorsque vous effectuez un examen complet via ADAC avec l'option Limite de page activée, l'examen ne trouve rien dans la phase Explorer |
Correctifs et mises à jour de sécurité
Les nouvelles règles de sécurité de cette version sont les suivantes :- MaxLengthVuln - Recherche d'attributs "maxlength" avec une contrainte très importante
- LeakedSecretTokens - Recherche de jetons secrets dans la réponse
- SecurityRule_AbstractContentSecurityPolicyRule - Ajout d'une nouvelle règle CSP abstraite (contenant la détection et la mutation communes)
- attNoHttpsRedirection - Vérification pour la redirection HTTPS lorsque le schéma HTTP est utilisé
- attText4Shell - Ajout d'une nouvelle règle pour la vulnérabilité Text4Shell (CVE-2022-42889)
- attGraphqlIntrospectionMutation - Vérification si l'introspection est activée dans l'API GraphQL oHttpsRedirection - Ajout d'une vérification pour la redirection HTTPS lorsque le schéma HTTP est utilisé
La liste complète des correctifs, des mises à jour et des RFE de cette édition est répertoriée ici.
Modifié dans cette édition
Les modèles d'examen par défaut sont mis à niveau. Par conséquent, vérifiez vos scripts d'automatisation pour refléter les modifications xpath si vous utilisez les modèles mis à niveau. Pour une meilleure couverture d'examen et de meilleurs résultats, utilisez les modèles les plus récents.
Supprimé dans cette version
None
Modifications à venir
Les fonctionnalités suivantes seront supprimées dans une future version :
- Le champ d'attribut CVSS sur les problèmes sera supprimé et remplacé par une chaîne vectorielle CVSS non modifiable.
- Créer une tâche à l'aide d'un modèle à partir d'AppScan Source/AppScan Standard sera supprimé de l'onglet Analyses. Les résultats d'AppScan Source/Standard peuvent être importés à l'aide de l'onglet Monitor.
- Les stratégies de test Web Services, The Vital Few et Developer Essentials seront supprimées, car des résultats similaires peuvent maintenant être obtenus à l'aide d'autres stratégies. Pour plus d'informations, voir Stratégies de test prédéfines.
- Le navigateur Internet Explorer intégré sera supprimé dans une version ultérieure.
- Prise en charge de l'intégration de QRadar.