HCL AppScan® Enterprise 中的新增功能
重要声明
对于 HCL AppScan Enterprise V10.0.2 及更高版本,需要 HCL 许可证。HCL AppScan Enterprise V10.0.2 及更高版本不支持 IBM 许可证。有关安装 HCL 许可证的说明,请参阅产品文档。如需获取更多信息,请联系您的 HCL 代表或 HCL 支持人员。
HCL AppScan® Enterprise 10.0.5 中的新增功能
本部分介绍此版本中的新产品功能和增强功能,以及相关弃用和预期变更。
交互式应用程序安全测试 (IAST)
- IAST 现已正式发布。
- 除 Java 外,IAST 现在还支持 .NET 和 Node.js。有关更多信息,请参阅 AppScan Enterprise 中的交互式应用程序安全测试 (IAST)。
“修复方法”信息
- 针对许多问题新增和改进了咨询和修复建议内容,整合到新的“修复方法”格式中
- 针对许多代码语言新增了和详细说明特定于代码的“修复方法”信息
Azure DevOps 插件已添加。请参阅插件文档 。
ASE 管理实用程序:已增强,可支持自动更改密码。有关详细信息,请参阅使用 AdminUtil 重置服务帐户密码。
性能和可伸缩性提升
合规性报告升级:DISA STIG V5R1
安全测试
- 通过基于浏览器的验证改进了某些规则的 XSS 分析。
- 新增的应用程序测试:
- Referrer 策略 – 检测配置错误或不安全的 referrer 策略。
- 主机头注入 – 测试是否在应用程序中动态解析主机头
- CORS 任意来源 – 测试 CORS 策略是否源自任意来源头值。
- 新增的基础结构测试:
- CVE-2020-5398 - 检测 Spring 框架上的反射型文件下载。
- CVE-2020-7246 - qdPM 上的远程命令执行。
- CVE-2020-9006 - 弹窗构建器 WordPress 插件 SQL 注入。
- CVE-2020-11022/11023 - 在 3.5.0 版本之前的 JQuery 中检测 XSS。
- CVE-2020-17530 - Apache Struts 2 强制多 OGNL 评估。
修订和安全更新
- 此处列出了修订和安全更新。
在此版本中删除
- 恶意软件检测
- 建议和问题详细信息中的 X-Force 分类
- 报告中不再包括特定于 .NET、J2EE 和 PHP 的信息,但 UI 中会提供许多语言(包括这三种语言)的特定于代码的新信息。
- 在 32 位 Windows 操作系统上运行的 AppScan Enterprise 服务器
- 适用于 Internet Explorer 浏览器的 AppScan Enterprise 插件
将在将来的版本中删除
以下功能将在将来的版本中删除:
- SSL 3.0 支持。
- 测试策略:Web 服务、关键的少数和开发者精要,因为现在可以使用其他策略实现类似的结果。有关信息,请参阅预定义的测试策略。
- 与 IBM SiteProtector 集成