HCL AppScan® Enterprise の新機能
HCL AppScan® Enterprise の新機能 10.1.0
このセクションでは、このリリースにおける製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。
- GraphQL Web API をスキャンするための新しいテンプレート。詳しくは、『GraphQL テンプレートを使用したスキャンの作成』を参照してください。
- 作成し直されたアクション・ベースの Web クローラー: AppScan のアクション・ベースの Web クローラーに対して徹底的にオーバーホールが実施されました。具体的には以下のとおりです。
- メモリー使用量を改善
- 同等かそれ以上の対象範囲
万一アプリケーションの対象範囲が縮小された場合は、サポートにお問い合わせください。
- SQL Server データベースに接続できるように、SQL 認証がサポートされるようになりました。
- ログイン・ファイルまたはスキャン・ファイル内の機密情報を暗号化します。
- AppScan Enterprise インスタンス間で DAST 問題をインポートします。
- IAST の改善点:
- .NET Core サポート
- Java エージェントの WebSocket サポート
- HTTP2 で AppScan Enterprise Web コンソールがサポートされるようになりました。HTTP/2 のクライアントとサーバーで TLS 1.2 を有効にする必要があります。
APAR 修正リスト
以下のプログラム診断依頼書 (APAR) が修正されました。
APAR 番号 | 説明 |
---|---|
KB0074640 | ユーザー・グループの編集にライセンス・オプションがない |
KB0078311 | 評価が AppScan Enterprise に公開されると、スキャン・タブで「中断状態 (インポート・スクリプトを実行できませんでした)」という状況になる |
KB0089195 | SP - ap_App_Formula_Update を最適化 |
KB0089387 | 誤ったユーザー・エージェントがスキャン結果のトラフィック・データに表示される |
KB0089535 | Internet Explorer 以外のブラウザーの場合、ブラウザー・プラグインを使用してコンテンツ・スキャン・ジョブのログインを記録すると、正しくないメッセージが表示される |
KB0090266 | ASE REST API を使用してスキャンを作成した場合、スキャンの作成に使用したテンプレートに非 ASCII 文字が含まれていると、スキャンの実行が失敗する可能性がある |
KB0091555 | bindDN パスワードにカラット記号 (^) が使用されていると、AppScan Enterprise 構成ウィザードが失敗する |
KB0092139 | 「モニター」ビューで「スキャン名」でフィルタリングすると、表示される問題とリストに示される問題の数が異なる |
KB0092639 | 再テストおよびトラフィック・ログが、リセット開始時刻ではなくスキャン開始時刻で作成される |
KB0092666 | CRWAE1701E セキュリティー・テストに許可されていないドメインが含まれているため、スキャンがシャットダウンしている |
KB0095393 | テストのみスキャンがまだ探査フェーズを実行している |
KB0095992 | スキャン・ジョブが中断して、「INSERT ステートメントが FOREIGN KEY 制約メッセージと矛盾している」というエラー・メッセージが表示される |
KB0097121 | AppScan Enterprise 「keylogin」REST API に関する資料の拡張 |
KB0099075 | 一部の言語でのエンコードが一部の REST API で正しく処理されない |
KB0099087 | CSV ファイルを使用して AppScan Enterprise の「モニター」タブにアプリケーションをインポートできない |
KB0099538 | SQL サーバーにインスタンス名が付与されている場合、名前に「\」文字が含まれていると、SQL サーバーが IAST および DBService 用に正しく構成されない |
KB0099643 | REST API 呼び出しのエラー・メッセージが、要求した応答タイプ「no-html-encoding」に従って返されない |
フィックスとセキュリティー更新
このリリースの新しいセキュリティー・ルールには、以下が含まれます。- attWebminFileManagerRCECVE20220824 - ファイル・マネージャーでの Webmin RCE の検出が追加されました (CVE-2022-0824)
- attNoHttpsRedirection - HTTP スキーム使用時の HTTPS リダイレクトのチェックが追加されました
このリリースのフィックス、更新、および RFE の完全なリストはこちらです。
このリリースでは削除されました
- Internet Explorer (IE) v10.0 および v11.0 ブラウザーのサポート。
- Mobile Analyzer レポートからの問題のインポート。
今後の変更
以下は将来のリリースで削除される予定です。
- 他のポリシーを使用して同様の結果が得られたので、Web サービス、厳選テスト、開発者必需テストのポリシーは削除されます。詳しくは、「事前定義テスト・ポリシー」を参照してください。
- CVSS 2.0 のスコアリングは破棄され、CVSS 3.1 に置き換えられます。
- 問題の CVSS レーティングを編集する機能。