Nouveautés d'HCL AppScan® Enterprise

Cette section décrit les nouvelles fonctions et améliorations du produit AppScan Enterprise dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).

Nouveautés d'HCL AppScan® Enterprise 10.5.0

  • Gestion et reporting améliorés des données historiques :
    • AppScan Enterprise stocke désormais les données historiques pour les analyses importées depuis AppScan Source. Cette fonctionnalité aide les utilisateurs d'AppScan Source à trouver l'historique des nouvelles analyses dans AppScan Enterprise après avoir importé leurs problèmes depuis AppScan Source. Pour récupérer les données historiques, deux nouvelles API sont introduites dans AppScan Enterprise 10.5.0 :
      • historicdata/issues
      • historicdata/metadata
    • L'API des données historiques est désactivée par défaut et peut être activée en contactant l'équipe d'assistance.
  • Autorisations en lecture seule : cette nouvelle autorisation a été introduite pour les utilisateurs de support de premier niveau. Cette autorisation accorde aux utilisateurs la possibilité de :
    • Afficher les analyses et les journaux dans toute l'organisation
    • Accédez à la nouvelle page de détails de l'analyse pour les utilisateurs en lecture seule
    Cela facilite le débogage des analyses dans toute l’organisation sans risque de modifications involontaires.
  • Nouveaux attributs dans l'onglet Moniteur :
    • L'interface utilisateur (UI) de l'onglet Moniteur a été réorganisée pour inclure les nouvelles colonnes de métadonnées Composant et Branche, qui sont importées depuis AppScan Source.
    • Le filtre par application inclut désormais le filtre Composant et Branche.
  • Avec un abonnement IAST, AppScan Enterprise offre désormais des informations plus approfondies sur les vulnérabilités en fournissant des informations sur la pile d'appels pour chaque problème identifié.
  • AppScan fournit désormais une répartition du nombre total de vulnérabilités identifiées par niveau de gravité dans les rapports PDF et HTML.
  • Ajout de deux nouvelles politiques de test standard du secteur :
    • OWASP Top 10 des risques de sécurité des API - 2023
    • OWASP Top 10 - 2021
  • Rapports de conformité réglementaire mis à jour :
    • Top 10 de la sécurité des API OWASP 2023
    • [États-Unis] STIG de sécurité et de développement des applications de DISA. V5R3
    • CWE Top 25 des faiblesses logicielles les plus dangereuses 2023
    • La norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) - V4

Modifications de l'IAST

JAVA:
  • Ajout de la prise en charge du framework d'application Web Vert.x.
  • Ajout de nouvelles méthodes pour spécifier un proxy à l'agent pour accéder à AppScan Enterprise :
    • Variables d'environnement : IAST_PROXY_HOST et IAST_PROXY_PORT
    • Propriétés Java personnalisées : Iast.proxyHost et Iast.proxyPort
.FILET:
  • Ajout de la prise en charge de .NET 8

Liste de correctifs APAR

Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :

N° d'APAR Description
KB0110378 L'assistant de paramètres par défaut ne crée pas correctement des modèles.
KB0110497 Les informations de conseil affichent une erreur pour le type de problème « Sécurité de l'API : autorisation au niveau de l'objet brisée.

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :

  • postMessageInfoLeak - postMessage() - Ajouté pour détecter d'éventuelles fuites d'informations

  • WordPressQEMPluginXSSCVE202323491 - Ajouté pour la détection CVE-2023-23491

  • ApacheStrutsFileUploadRCE - Ajout d'un nouveau test pour "Apache Struts RCE via File Upload" (CVE-2023-50164)

  • attWordPressInPostPluginXSSCVE202328666 - Détection pour CVE-2023-28666

  • attApacheStrutsCVE20190230RCEOGNL - Ajout de la prise en charge de la détection de serveur Web sur mesure pour RCE

  • attAPIBrokenObjectLevelAuthorizationPath - Ajout de variantes de chemin pour « Autorisation au niveau de l'objet brisé »

  • attOracleWebLogicRemoteCommandExecutionVulnerabilityInWindowsExtDns - Ajout de la prise en charge de la détection de serveur Web sur mesure pour RCE

  • attOracleWebLogicRemoteCommandExecutionVulnerabilityInUnixExtDns - Ajout de la prise en charge de la détection de serveur Web sur mesure pour RCE

  • Base de données des composants vulnérables mise à jour vers la version 1.3

La liste complète des correctifs, mises à jour et RFE de cette version est répertoriée ici .

Modifié dans cette édition

  • AppScan Enterprise Scanner inclut désormais des rapports améliorés sur les problèmes de composants vulnérables dans les fichiers PDF et HTML exportés. Cette mise à jour garantit que la cause du problème et ses descriptions sont affichées clairement dans les deux formats.
  • Les points de terminaison de l'API GET/issues et GET/issues/v2 ont été mis à jour pour renvoyer par défaut les noms d'analyse dans l'ordre chronologique inverse. Cette modification garantit que l'analyse exécutée la plus récemment apparaît en premier, suivie par les analyses exécutées à des dates et heures progressivement antérieures. Cette mise à jour offre une expérience plus intuitive et conviviale lors de la navigation dans les analyses précédentes.

Supprimé dans cette édition

  • Le rapport OWASP API Security Top 10 2019 Industry Standard n'est plus disponible dans l'onglet Surveiller .
  • Les rapports CWE Top 25 2021 et DISA VR1 ne sont plus pris en charge dans l'onglet Scans .

Modifications à venir

Les options suivantes seront supprimées dans une version future :

  • Le champ d'attribut CVSS sur les problèmes sera remplacé par une chaîne vectorielle CVSS non modifiable.
  • Les services Web et les politiques de test seront supprimés. Pour plus d'informations, consultez Stratégies de test prédéfinies .