HCL AppScan® Enterprise の新機能

HCL AppScan® Enterprise の新機能 10.1.0

このセクションでは、このリリースにおける製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。
  • GraphQL Web API をスキャンするための新しいテンプレート。詳しくは、『GraphQL テンプレートを使用したスキャンの作成』を参照してください。
  • 作成し直されたアクション・ベースの Web クローラー: AppScan のアクション・ベースの Web クローラーに対して徹底的にオーバーホールが実施されました。具体的には以下のとおりです。
    • メモリー使用量を改善
    • 同等かそれ以上の対象範囲

      万一アプリケーションの対象範囲が縮小された場合は、サポートにお問い合わせください。

  • SQL Server データベースに接続できるように、SQL 認証がサポートされるようになりました。
  • ログイン・ファイルまたはスキャン・ファイル内の機密情報を暗号化します。
  • AppScan Enterprise インスタンス間で DAST 問題をインポートします。
  • IAST の改善点:
    • .NET Core サポート
    • Java エージェントの WebSocket サポート
  • HTTP2 で AppScan Enterprise Web コンソールがサポートされるようになりました。HTTP/2 のクライアントとサーバーで TLS 1.2 を有効にする必要があります。

APAR 修正リスト

以下のプログラム診断依頼書 (APAR) が修正されました。

APAR 番号 説明
KB0074640 ユーザー・グループの編集にライセンス・オプションがない
KB0078311 評価が AppScan Enterprise に公開されると、スキャン・タブで「中断状態 (インポート・スクリプトを実行できませんでした)」という状況になる
KB0089195 SP - ap_App_Formula_Update を最適化
KB0089387 誤ったユーザー・エージェントがスキャン結果のトラフィック・データに表示される
KB0089535 Internet Explorer 以外のブラウザーの場合、ブラウザー・プラグインを使用してコンテンツ・スキャン・ジョブのログインを記録すると、正しくないメッセージが表示される
KB0090266 ASE REST API を使用してスキャンを作成した場合、スキャンの作成に使用したテンプレートに非 ASCII 文字が含まれていると、スキャンの実行が失敗する可能性がある
KB0091555 bindDN パスワードにカラット記号 (^) が使用されていると、AppScan Enterprise 構成ウィザードが失敗する
KB0092139 「モニター」ビューで「スキャン名」でフィルタリングすると、表示される問題とリストに示される問題の数が異なる
KB0092639 再テストおよびトラフィック・ログが、リセット開始時刻ではなくスキャン開始時刻で作成される
KB0092666 CRWAE1701E セキュリティー・テストに許可されていないドメインが含まれているため、スキャンがシャットダウンしている
KB0095393 テストのみスキャンがまだ探査フェーズを実行している
KB0095992 スキャン・ジョブが中断して、「INSERT ステートメントが FOREIGN KEY 制約メッセージと矛盾している」というエラー・メッセージが表示される
KB0097121 AppScan Enterprise 「keylogin」REST API に関する資料の拡張
KB0099075 一部の言語でのエンコードが一部の REST API で正しく処理されない
KB0099087 CSV ファイルを使用して AppScan Enterprise の「モニター」タブにアプリケーションをインポートできない
KB0099538 SQL サーバーにインスタンス名が付与されている場合、名前に「\」文字が含まれていると、SQL サーバーが IAST および DBService 用に正しく構成されない
KB0099643 REST API 呼び出しのエラー・メッセージが、要求した応答タイプ「no-html-encoding」に従って返されない

フィックスとセキュリティー更新

このリリースの新しいセキュリティー・ルールには、以下が含まれます。
  • attWebminFileManagerRCECVE20220824 - ファイル・マネージャーでの Webmin RCE の検出が追加されました (CVE-2022-0824)
  • attNoHttpsRedirection - HTTP スキーム使用時の HTTPS リダイレクトのチェックが追加されました

このリリースのフィックス、更新、および RFE の完全なリストはこちらです。

このリリースでは削除されました

  • Internet Explorer (IE) v10.0 および v11.0 ブラウザーのサポート。
  • Mobile Analyzer レポートからの問題のインポート。

今後の変更

以下は将来のリリースで削除される予定です。

  • 他のポリシーを使用して同様の結果が得られたので、Web サービス、厳選テスト、開発者必需テストのポリシーは削除されます。詳しくは、「事前定義テスト・ポリシー」を参照してください。
  • CVSS 2.0 のスコアリングは破棄され、CVSS 3.1 に置き換えられます。
  • 問題の CVSS レーティングを編集する機能。