HCL AppScan® Enterprise の新機能

このセクションでは、このリリースにおける AppScan Enterprise 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。

HCL AppScan® Enterprise の新機能10.4.0

  • IAST 登録で DAST スキャンの精度と効率が改善されました。詳細については、ブログを参照してください。
  • AppScan Enterprise サードパーティーの脆弱なコンポーネントの更新:
    • 脆弱性コンポーネント用の新規 API を追加:
      API 名説明
      get/vulnerablecomponent/server/statusサーバーの脆弱なコンポーネントの更新ステータスを取得します。
      post/vulnerableコンポーネント/更新AppScan Enterprise Server で脆弱なコンポーネントパッケージの最新バージョンを更新します。
      get/vulnerablecomponent/client/statusクライアントの脆弱なコンポーネントの更新ステータスを取得します。
    • スキャン範囲を改善するために最新の CVE が含まれます。
    • ASD で検出されたサードパーティの脆弱なコンポーネントが、AppScan Enterprise Monitorタブのコンポーネントビューに表示されるようになりました。
    • コンポーネントが AppScan Enterprise Security レポートで使用できるようになりました。
    • ジョブ ID API ( GET /issues/{jobId} ) は、サードパーティの脆弱なコンポーネントのCWE と CVE ID を共有できるようになりました。
  • AppScan Enterprise は、ログイン資格情報とその他の PII を安全に保存するために、暗号化された Appスキャン Activity 記録ファイルをサポートするようになりました。
  • スキャンされた URL が AppScan Enterprise Security レポートに追加され、ユーザーがスキャン範囲を測定できるようになりました。
  • 新規法規制順守レポート: [SA] 個人情報保護法 (PoPIA), 2013。
  • 法規制レポートの更新:
    • [US]フェデラルリスクと権限管理プログラム (FedRAMP)、Rev. 5。
    • [US] DISA のアプリケーションセキュリティと開発 Stig、V5R2。
    • [US] 連邦情報セキュリティ近代化法 (FISMA)、2014。
  • Microsoft SQL Server 2022 Standard および Enterprise バージョンのサポートが追加されました。

IAST の変更

.NET:
  • .Net.
  • 改善された IAST ログに日付と時刻が含まれるようになりました。
  • 新しい問題タイプ - 検出された API が、アプリケーションの API の完全なリストをレポートする問題のその他の問題タイプを置き換えます。
  • デリケートな API ログが必要 問題タイプが、ILogger、Nlog、serilog、log4net を使用しているユーザーに対してサポートされるようになりました。
NodeJS:
  • 日付と時刻の両方を含めるように IAST ログを更新しました。
  • コンソール出力のエラーメッセージが改善されました。
Java:
  • 新しい問題タイプ - 検出された API が、アプリケーションの API の完全なリストをレポートする問題のその他の問題タイプを置き換えます。
  • デプロイメントプロセスの改善: Java バージョン 9 以降では、BC_SB 環境変数を設定する必要はありません。
  • Java の追加フレームワークサポート: Spring 6。
  • ユーザーが正しくないプロキシ設定をしたときのエラーメッセージが改善されました。
  • IAST ログに日付と時刻が含まれるようになりました。

APAR 修正リスト

以下のプログラム診断依頼書 (APAR) が修正されました。

APAR 番号 説明
KB0106642 AppScan Enterprise と AppScan Standard では発行数が異なる場合があります。
KB0106569 ジョブ統計ページからの大きなサイズのスキャンファイルのダウンロードが、「スキャン」タブの下にある。
KB0105848 ジョブ名と FolderItemId を合わせた長さが 255 文字を超える場合、ジョブは削除できません。

フィックスとセキュリティー更新

このリリースの新しいセキュリティー・ルールには、以下が含まれます。
  • 複数のルールでのクレジットカード検出の精度を改善:
    • o SecurityRule_GD_creditCardAmericanExpress
    • SecurityRule_GD_creditCardAmericanExpressNotSSL
    • SecurityRule_GD_creditCardDinersClub
    • SecurityRule_GD_creditCardDinersClubNotSSL
    • SecurityRule_GD_creditCardDiscover
    • SecurityRule_GD_creditCardDiscoverNotSSL
    • SecurityRule_GD_creditCardMasterCard
    • SecurityRule_GD_creditCardMasterCardNotSSL
    • SecurityRule_GD_creditCards
    • SecurityRule_GD_creditCardsNotSSL
    • SecurityRule_GD_creditCardVisa
    • SecurityRule_GD_creditCardVisaNotSSL
  • attText4Shell - RCE 用の Tailored Web Server 検出のサポートを追加しました。
  • attZencartRemotecommandExecutionAdnsCVE20213291 - RCE 用に Tailored Web Server 検出のサポートが追加されました。
  • attSessionFixation - 前に要求のない要求をテストすることを避けるように、検出ルールを変更しました。
  • attAPIBrokenオブジェクトレベル認証 - すべての数字のディレクトリをテストするための拡張ルール. (Inc と Dec)
  • CORSArbitraryOrigin - あらゆる場所ににせの Origin ヘッダーを含めるように変更しました。
  • Chat はバージョン 116 に更新され、セキュリティを強化し、重大な脆弱性CVE-2023-4863 に対応します。詳細については、 Chromium のバージョン 116 への更新を参照してください。

このリリースの修正、更新、RFE の完全なリストは、ここです。

このリリースで変更

モニター」タブの「ポートフォリオ&アプリケーション」タブに表示される変数に対する 100 件の検索制限は削除されました。これにより、ユーザーはすべての変数の表示と検索のカスタマイズを行うことができます。

このリリースでは削除されました

  • Microsoft がこれらのプラットフォームの EOS を発表したため、Windows Server 2012 と Windows Server 2012 R2 のサポートは非推奨です。
  • 組み込みの Internet Explorer ブラウザが削除されます。

今後の変更

以下は将来のリリースで削除される予定です。

  • 課題の CVSS 属性フィールドは、編集不可の CVSS ベクトル文字列に置換されます。
  • 「AppScan Source を使用してジョブを作成」および「スキャン」タブから AppScan Standard テンプレートが削除されます。AppScan Source と AppScan Standard の結果は、「モニター」タブを使用してインポートできるようになります。
  • 他のポリシーを使用して同様の結果が得られたので、Web サービス、厳選テスト、開発者必需テストのポリシーは削除されます。AppScan Source/AppScan Standard からのテンプレートを使用したジョブの作成は、「スキャン」タブから削除されます。
  • WebSphere Portal スキャンが削除されます。