HCL AppScan® Enterprise の新機能
重要な通知
HCL AppScan Enterprise バージョン 10.0.2 以降では、HCL ライセンスが必要です。HCL AppScan Enterprise バージョン 10.0.2 以降では、IBM ライセンスはサポートされません。HCL ライセンスのインストールの手順については、製品資料を参照してください。詳細については、HCL の担当者または HCL サポートにお問い合わせください。
HCL AppScan® Enterprise 10.0.5 の新機能
このセクションでは、このリリースにおける製品の新機能と拡張機能のほか、推奨されない機能と、予想される変更についても説明します。
IAST (インタラクティブ・アプリケーション・セキュリティー・テスト)
- IAST が正式にリリースされました。
- IAST では、Java に加え、.NET と Node.js をサポートするようになりました。詳しくは、「AppScan Enterprise におけるインタラクティブ・アプリケーション・セキュリティー・テスト (IAST)」を参照してください。
「修正方法」情報
- 多くの問題に関する「アドバイザリーと推奨される修正」のコンテンツが新しく改善され、新しい「修正方法」形式に統合されました。
- 多くのコード言語に対応する、新しい詳細なコード固有の「修正方法」情報。
Azure DevOps プラグインが追加されました。プラグインのドキュメントを参照してください。
ASE 管理ユーティリティー: パスワードの変更を自動化できるように拡張されました。詳しくは、「AdminUtil を使用したサービス・アカウント・パスワードのリセット」を参照してください。
パフォーマンスとスケーラビリティーの強化
コンプライアンス・レポートのアップグレード: DISA STIG V5R1
セキュリティー・テスト
- 一部のルールでのブラウザー・ベースの検証による XSS 分析の改善。
- 新しいアプリケーション・テスト:
- リファラー・ポリシー – 誤って構成されているか、またはセキュリティーで保護されていないリファラー・ポリシーを検出。
- ホスト・ヘッダーの挿入 – アプリケーションでホスト・ヘッダーが動的に解析されているかどうかをテスト。
- CORS の任意の発信元 – CORS ポリシーが任意の発信元ヘッダー値から発信されているかどうかをテスト。
- 新しいインフラストラクチャー・テスト:
- CVE-2020-5398 - Spring フレームワークでの反映されたファイルのダウンロードを検出。
- CVE-2020-7246 - qdPM でのリモート・コマンドの実行。
- CVE-2020-9006 - WordPress 向けポップアップ・ビルダー・プラグインの SQL 注入。
- CVE-2020-11022/11023 - バージョン 3.5.0 以前の JQuery における XSS の検出。
- CVE-2020-17530 - Apache Struts 2 複数の OGNL 評価を強制。
フィックスとセキュリティー更新
- フィックスとセキュリティー更新はここにリストされます。
このリリースでは削除されました
- マルウェアの検出
- アドバイザリーおよび問題の詳細での X-Force 分類
- .NET、J2EE、および PHP 固有の情報がレポートに含まれなくなりましたが、この 3 つを含め、多くの言語の新しいコード固有の情報が UI で使用できます。
- 32 ビット Windows オペレーティング・システム上の AppScan Enterprise Server。
- Internet Explorer ブラウザー用の AppScan Enterprise プラグイン。
将来のリリースでの削除予定
以下は将来のリリースで削除される予定です。
- SSL 3.0 サポート。
- テスト・ポリシー: Web サービス、厳選テスト、開発者必需テスト。他のポリシーでも同様の結果が得られるようになりました。詳しくは、「事前定義テスト・ポリシー」を参照してください。
- IBM SiteProtector との統合。