HCL AppScan® Enterprise の新機能
このセクションでは、このリリースにおける AppScan Enterprise 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。
HCL AppScan® Enterprise の新機能 10.2.0
- 問題の重大度と CVSS スコアリングが、CVSS に基づくようになりました。新しいスキャンはすべて、CVSS 3.1 スコアリングに基づいて行われます。アップグレード前のスキャン結果は、再スキャンまで CVSS 2.0 スコアリングを使用して保持されます。詳細については、CVSS 仕様を参照してください。統合が正常に機能するように、AppScan Standard と AppScan Enterprise が同じバージョン (10.2.0) にインストールされていることを確認します。
- グローバル・オプションが有効になっている場合、読み取り専用ユーザーが問題にコメントできるようになりました。
- 問題の状態の変更を制限するためのきめ細かなアクセス制御。
- 問題の状態変更に関するコメントを必須にします。
- スキャン結果をレポートする新しい API。API: /issues/(jobID)
- アクティビティー ログは、マルチレベルのフィルタリングやその他の改善により更新されます。
-
次のコンプライアンス・レポート・テンプレートが更新されました: [US] California Consumer Privacy Act (CCPA) - AB-375。
APAR 修正リスト
以下のプログラム診断依頼書 (APAR) が修正されました。
| APAR 番号 | 説明 |
|---|---|
| KB0068965 | AppScan Enterprise で設定されたアラートによって送信されたレポートに、重大度ヘッダーが欠落しています (クリティカル、高、低、情報) |
| KB0074147 | 複数のポジティブな攻撃バリエーションを含むセキュリティー問題を再テストするときに、誤検知が発生する可能性があります |
| KB0075778 | AppScan Enterprise で AppScan Source ホスト名として短い名前が構成されている場合、AppScan Enterprise と AppScan Source の統合が機能しません |
| KB0082136 | TcpSourcePort オプションと SourceInterfaceIP オプションが AppScan Enterprise にありません |
| KB0084932 | AppScan Enterprise が、一部のインスタンスのアクティビティー・ログに、ユーザー・アクセスの変更を記録していません |
| KB0087169 | AppScan Source は、英語以外のロケールで AppScan Enterprise に評価を公開できません |
| KB0090230 | カスタム・テンプレートを使用して AppScan Enterprise Swagger から DAST スキャンを作成すると、問題が発生します |
| KB0093324 | AppScan Source からの重大度の変更 (中から低) は、「モニター」タブから公開またはインポートした後、AppScan Enterprise に反映されません |
| KB0094173 | 一部のスキャンで、AppScan Enterprise と Standard に表示される結果に不一致が見つかりました |
| KB0095164 | post /issueimport/{appId}/{scannerId} API は、指定されたパラメーターの順序を無視して動作します |
| KB0095837 | ADAC ジョブを開始するときに、ユーザー・セキュリティー権限がチェックされません |
| KB0095868 | 標準ユーザーが作成したジョブのジョブ所有者は、ADAC で管理者が編集した後、管理者に変更されます |
| KB0095919 | ジョブ所有者が管理者に変更された後でも、スキャン・ジョブは標準ユーザーに対して実行しています |
| KB0098572 | ログ保持期間が 10 進数ではなく 16 進数の値に変換されます |
| KB0099738 | LDAP ユーザー検索では、ユーザーの完全なリストは表示されません |
| KB0102486 | 外部ブラウザーを使用して記録されたマルチステップ・シーケンスのエクスポートに失敗します |
| KB0102819 | ページ制限を有効にした状態で ADAC を介してフル・スキャンを実行しても、探査フェーズでは何も検出されません |
フィックスとセキュリティー更新
このリリースの新しいセキュリティー・ルールには、以下が含まれます。- MaxLengthVuln - 非常に大きな制約を持つ「maxlength」属性を検索します
- LeakedSecretTokens - 応答内の秘密トークンを検索します
- SecurityRule_AbstractContentSecurityPolicyRule - 新しい抽象 CSP ルールが追加されました (一般的な検出と改変を含む)
- attNoHttpsRedirection - HTTP スキーム使用時の HTTPS リダイレクトをチェックします。
- attText4Shell - Text4Shell 脆弱性 (CVE-2022-42889) の新しいルールが追加されました
- attGraphqlIntrospectionMutation - GraphQL API で Introspection が有効化されているかどうかを確認します。attNoHttpsRedirection - HTTP スキーム使用時の HTTPS リダイレクトのチェックが追加されました
このリリースのフィックス、更新、および RFE の完全なリストはこちらです。
このリリースで変更
デフォルトのスキャン・テンプレートがアップグレードされました。したがって、アップグレードされたテンプレートを使用している場合は、xpath の変更が反映されているか自動化スクリプトを検証してください。スキャン範囲と結果を改善するには、最新のテンプレートを使用してください。。
このリリースでは削除されました
なし
今後の変更
以下は将来のリリースで削除される予定です。
- 課題の CVSS 属性フィールドは削除され、編集不可能な CVSS ベクトル文字列に置き換えられます。
- AppScan Source/AppScan Standard からのテンプレートを使用したジョブの作成は、「スキャン」タブから削除されます。 AppScan Source/Standard からの結果は、「モニター」タブを使用してインポートできます。
- 他のポリシーを使用して同様の結果が得られたので、Web サービス、厳選テスト、開発者必需テストのポリシーは削除されます。詳しくは、「事前定義テスト・ポリシー」を参照してください。
- 組み込みの Internet Explorer ブラウザーは、今後のバージョンで削除されます。
- QRadar 統合のサポート。