Nouveautés d'HCL AppScan® Enterprise
Cette section décrit les nouvelles fonctions et améliorations du produit AppScan Enterprise dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).
Nouveautés d'HCL AppScan® Enterprise 10.5.0
- Gestion et reporting améliorés des données historiques :
- AppScan Enterprise stocke désormais les données historiques pour les analyses importées depuis AppScan Source. Cette fonctionnalité aide les utilisateurs d'AppScan Source à trouver l'historique des nouvelles analyses dans AppScan Enterprise après avoir importé leurs problèmes depuis AppScan Source. Pour récupérer les données historiques, deux nouvelles API sont introduites dans AppScan Enterprise 10.5.0 :
- historicdata/issues
- historicdata/metadata
- L'API des données historiques est désactivée par défaut et peut être activée en contactant l'équipe d'assistance.
- AppScan Enterprise stocke désormais les données historiques pour les analyses importées depuis AppScan Source. Cette fonctionnalité aide les utilisateurs d'AppScan Source à trouver l'historique des nouvelles analyses dans AppScan Enterprise après avoir importé leurs problèmes depuis AppScan Source. Pour récupérer les données historiques, deux nouvelles API sont introduites dans AppScan Enterprise 10.5.0 :
- Autorisations en lecture seule : cette nouvelle autorisation a été introduite pour les utilisateurs de support de premier niveau. Cette autorisation accorde aux utilisateurs la possibilité de :
- Afficher les analyses et les journaux dans toute l'organisation
- Accédez à la nouvelle page de détails de l'analyse pour les utilisateurs en lecture seule
- Nouveaux attributs dans l'onglet Moniteur :
- L'interface utilisateur (UI) de l'onglet Moniteur a été réorganisée pour inclure les nouvelles colonnes de métadonnées Composant et Branche, qui sont importées depuis AppScan Source.
- Le filtre par application inclut désormais le filtre Composant et Branche.
- Avec un abonnement IAST, AppScan Enterprise offre désormais des informations plus approfondies sur les vulnérabilités en fournissant des informations sur la pile d'appels pour chaque problème identifié.
- AppScan fournit désormais une répartition du nombre total de vulnérabilités identifiées par niveau de gravité dans les rapports PDF et HTML.
- Ajout de deux nouvelles politiques de test standard du secteur :
- OWASP Top 10 des risques de sécurité des API - 2023
- OWASP Top 10 - 2021
- Rapports de conformité réglementaire mis à jour :
- Top 10 de la sécurité des API OWASP 2023
- [États-Unis] STIG de sécurité et de développement des applications de DISA. V5R3
- CWE Top 25 des faiblesses logicielles les plus dangereuses 2023
- La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) - V4
Modifications de l'IAST
- Ajout de la prise en charge du framework d'application Web Vert.x.™
- Ajout de nouvelles méthodes pour spécifier un proxy à l'agent pour accéder à AppScan Enterprise :
- Variables d'environnement :
IAST_PROXY_HOST
etIAST_PROXY_PORT
- Propriétés Java personnalisées :
Iast.proxyHost
etIast.proxyPort
- Variables d'environnement :
- Ajout de la prise en charge de .NET 8
Liste de correctifs APAR
Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :
Correctifs et mises à jour de sécurité
Les nouvelles règles de sécurité de cette version sont les suivantes :postMessageInfoLeak - postMessage() - Ajouté pour détecter d'éventuelles fuites d'informations
WordPressQEMPluginXSSCVE202323491 - Ajouté pour la détection CVE-2023-23491
ApacheStrutsFileUploadRCE - Ajout d'un nouveau test pour "Apache Struts RCE via File Upload" (CVE-2023-50164)
attWordPressInPostPluginXSSCVE202328666 - Détection pour CVE-2023-28666
attApacheStrutsCVE20190230RCEOGNL - Ajout de la prise en charge de la détection de serveur Web sur mesure pour RCE
attAPIBrokenObjectLevelAuthorizationPath - Ajout de variantes de chemin pour « Autorisation au niveau de l'objet brisé »
attOracleWebLogicRemoteCommandExecutionVulnerabilityInWindowsExtDns - Ajout de la prise en charge de la détection de serveur Web sur mesure pour RCE
attOracleWebLogicRemoteCommandExecutionVulnerabilityInUnixExtDns - Ajout de la prise en charge de la détection de serveur Web sur mesure pour RCE
Base de données des composants vulnérables mise à jour vers la version 1.3
La liste complète des correctifs, mises à jour et RFE de cette version est répertoriée ici .
Modifié dans cette édition
- AppScan Enterprise Scanner inclut désormais des rapports améliorés sur les problèmes de composants vulnérables dans les fichiers PDF et HTML exportés. Cette mise à jour garantit que la cause du problème et ses descriptions sont affichées clairement dans les deux formats.
- Les points de terminaison de l'API GET/issues et GET/issues/v2 ont été mis à jour pour renvoyer par défaut les noms d'analyse dans l'ordre chronologique inverse. Cette modification garantit que l'analyse exécutée la plus récemment apparaît en premier, suivie par les analyses exécutées à des dates et heures progressivement antérieures. Cette mise à jour offre une expérience plus intuitive et conviviale lors de la navigation dans les analyses précédentes.
Supprimé dans cette édition
- Le rapport OWASP API Security Top 10 2019 Industry Standard n'est plus disponible dans l'onglet Surveiller .
- Les rapports CWE Top 25 2021 et DISA VR1 ne sont plus pris en charge dans l'onglet Scans .
Modifications à venir
Les options suivantes seront supprimées dans une version future :
- Le champ d'attribut CVSS sur les problèmes sera remplacé par une chaîne vectorielle CVSS non modifiable.
- Les services Web et les politiques de test seront supprimés. Pour plus d'informations, consultez Stratégies de test prédéfinies .