HCL AppScan® Enterprise の新機能
このセクションでは、このリリースにおける AppScan Enterprise 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。
HCL AppScan® Enterprise の新機能10.5.0
- 過去のデータの管理とレポートの改善:
- AppScan Enterprise は、AppScan Source からインポートされたスキャンの履歴データを保存するようになりました。この機能を使用すると、AppScan Source から自分の問題をインポートした後、AppScan Enterprise 内で再スキャンの履歴を検索することができます。履歴データを取得するために、AppScan Enterprise 10.5.0 で 2 つの新規 API が導入されました。
- historicdata/issues
- historicdata/metadata
- Historical Data API はデフォルトでは無効になっており、サポートチームに連絡することで有効にすることができます。
- AppScan Enterprise は、AppScan Source からインポートされたスキャンの履歴データを保存するようになりました。この機能を使用すると、AppScan Source から自分の問題をインポートした後、AppScan Enterprise 内で再スキャンの履歴を検索することができます。履歴データを取得するために、AppScan Enterprise 10.5.0 で 2 つの新規 API が導入されました。
- 読み取り専用許可: この新規許可は、第 1 レベルサポートユーザーに導入されました。この許可は、ユーザーに以下の権限を付与します。
- 組織のスキャンとログの表示
- 読み取り専用ユーザー用の新しいスキャンの詳細ページにアクセス
- 「モニター」タブの新規属性:
- 「モニター」タブのユーザー・インターフェース (UI) が改善され、AppScan Source からインポートされる新規の「コンポーネント」列と「ブランチ・メタデータ」列が含まれるようになりました。
- アプリケーション単位のフィルタにコンポーネントとブランチフィルタが含まれるようになりました。
- AppScan Enterprise は IAST サブスクリプションを利用すると、特定された問題ごとにコールスタック情報を提供することにより、より詳細な脆弱性インサイトを提供するようになりました。
- AppScan は、特定された脆弱性の合計数の重大度別の内訳を、PDF と HTML レポートで提供するようになりました。
- 2 つの新しい業界標準テストポリシーを追加:
- OWASP Top 10 API セキュリティリスク - 2023
- OWASP Top 10 - 2021
- 法規制順守レポートの更新:
- OWASP API Security Top 10 2023
- [US] DISA のアプリケーションセキュリティと開発の STIG。V5R3
- CWE 2023 年最も危険なソフトウェアの脆弱性トップ 25
- PayCard Industry Data Security Standard (PCI DSS) - V4
IAST の変更
- Vert.x™ Web アプリケーションフレームワークのサポートが追加されました。
- AppScan Enterprise にアクセスするためにエージェントのプロキシーを指定する新規メソッドが追加されました。
- 環境変数:
IAST_PROXY_HOSTとIAST_PROXY_PORT - カスタム Java プロパティ:
Iast.proxyhostおよびIast.proxyPort
- 環境変数:
- .NET 8 のサポートの追加
APAR 修正リスト
以下のプログラム診断依頼書 (APAR) が修正されました。
フィックスとセキュリティー更新
このリリースの新しいセキュリティー・ルールには、以下が含まれます。postMessageInfoLeak - postMessage() - 情報漏えいの可能性を検出するために追加されました。
WordPressQEMPluginXSSCVE202323491 - CVE-2023-23491 検出用に追加
ApacheStrutsFileUploadRCE - 「ファイルアップロードを介した Apache Struts RCE」の新しいテストを追加 (CVE-2023-50164)
attWordPressInPostPluginXSSCVE202328666 - CVE-2023-28666 の検出
attApacheStrutsCVE20190230RCEOGNL - RCE 用の Tailored Web Server 検出のサポートを追加しました
attAPIBrokenオブジェクトレベル認証パス - 「破損したオブジェクトレベルの認証」 のパスバリエーションを追加しました
attOracleWebLogicRemotecommandExecutionVulnerabilityInWindowsExtDns - RCE 用に Tailored Web Server 検出のサポートを追加しました
attOracleWebLogicRemotecommandExecutionVulnerabilityInUnixExtDns - RCE 用に Tailored Web Server 検出のサポートを追加しました
脆弱なコンポーネントデータベースがバージョン 1.3 に更新されました
このリリースの修正、更新、RFE の完全なリストは、ここです。
このリリースで変更
- AppScan Enterprise Analyzer には、エクスポートされた PDF および HTML ファイル内の脆弱なコンポーネントの問題に関するレポートが拡張されました。この更新では、問題の原因とその説明が両方の形式で明確に表示されます。
- GET/IssuesとGET/Issues/v2 API エンドポイントが更新され、デフォルトで古い順にスキャン名を返すようになりました。この変更により、最後に実行されたスキャンが最初に表示され、古い日時に実行されたスキャンが順に表示されます。この更新では、過去のスキャンのナビゲートが、より直観的で使いやすいものになっています。
このリリースでは削除されました
- OWASP API セキュリティ 2019 年業界標準トップ 10 レポートは、「監視」タブから使用できなくなりました。
- CWE Top 25 2021 と DISA VR1 レポートは、[スキャン] タブではサポートされなくなりました。
今後の変更
以下は将来のリリースで削除される予定です。
- 課題の CVSS 属性フィールドは、編集不可の CVSS ベクトル文字列に置き換えられます。
- Web サービスとテストポリシーが削除されます。AppScan Source/AppScan Standard からのテンプレートを使用したジョブの作成は、「スキャン」タブから削除されます。