HCL AppScan® Enterprise 中的新增功能

HCL AppScan® Enterprise 10.1.0 中的新增功能

本部分介绍此版本中的新增产品功能和增强功能,以及相关弃用和预期变更。
  • 用于扫描 GraphQL Web API 的新模板。有关更多信息,请参阅使用 GraphQL 模板创建扫描
  • 重新设计了基于操作的 Web 搜寻器:AppScan 基于操作的 Web 搜寻器进行了彻底的改进,现在提供:
    • 优化内存消耗,同时
    • 具有类似或更高的覆盖范围

      虽然不太可能,但是如果应用程序的覆盖范围降低,请与支持人员联系。

  • 现在支持使用 SQL 认证连接到 SQL Server 数据库。
  • 对登录或扫描文件中的敏感信息进行加密。
  • 将 DAST 问题从一个 AppScan Enterprise 实例导入到另一个实例。
  • IAST 改进:
    • .NET Core 支持
    • Java 代理程序的 WebSocket 支持
  • AppScan Enterprise Web 控制台现在支持 HTTP2。必须在客户机和服务器上启用 TLS 1.2 以使用 HTTP/2。

APAR 修复列表

修复了以下授权程序分析报告 (APAR):

APAR 编号 描述
KB0074640 编辑用户组没有许可证选项
KB0078311 发布到 AppScan Enterprise 的评估导致在扫描选项卡中产生“已暂挂(未能运行导入脚本)”状态
KB0089195 Optimize SP - ap_App_Formula_Update
KB0089387 在扫描结果中的流量数据中显示错误的用户代理程序
KB0089535 使用浏览器插件记录内容扫描作业的登录时,对 Internet Explorer 以外的浏览器显示错误的消息
KB0090266 如果用于创建扫描的模板包含非 ASCII 字符,使用 ASE REST API 创建的扫描在运行扫描时可能会失败
KB0091555 当在 bindDN 密码中使用 carat 符号 (^) 时,AppScan Enterprise 配置向导失败
KB0092139 在“监控”视图中按“扫描名称”过滤时,显示的问题数和列出的问题数有差异。
KB0092639 使用扫描开始时间而不是重置开始时间创建重新测试和流量日志
KB0092666 CRWAE1701E 扫描将要关闭,因为扫描中包含了不允许进行安全测试的域。
KB0095393 “仅测试”扫描仍在运行“探索”阶段
KB0095992 扫描作业被暂挂,并显示错误消息“INSERT 语句与 FOREIGN KEY 约束消息冲突”
KB0097121 AppScan Enterprise "keylogin" REST API 的文档增强功能
KB0099075 某些语言的编码在某些 REST API 中处理不正确
KB0099087 无法使用 CSV 文件将应用程序导入 AppScan Enterprise 的监控选项卡
KB0099538 没有为 IAST 和 DBService 正确配置具有实例名称的 SQL Server,因为实例名称中包含 '\' 字符
KB0099643 没有按请求的响应类型 "no-html-encoding" 返回 REST API 调用的错误消息

修复和安全更新

此发行版中的新安全规则包括:
  • attWebminFileManagerRCECVE20220824 - 在文件管理器中添加了对 Webmin RCE 的检测 (CVE-2022-0824)
  • attNoHttpsRedirection - 在使用 HTTP 方案时添加了对 HTTPS 重定向的检查

此处列出了此发行版中修订、更新和 RFE 的完整列表。

在此版本中删除

  • V10.0 和 V11.0 对 Internet Explorer (IE) 浏览器的支持。
  • 从 Mobile Analyzer 报告导入问题。

即将推出的变更

以下功能将在将来的版本中删除:

  • Web 服务、“关键的少数”和“开发者精要”测试策略将被删除,因为现在可以使用其他策略实现类似的结果。有关信息,请参阅预定义的测试策略
  • CVSS 2.0 评分将被删除并替换为 CVSS 3.1。
  • 能够编辑问题的 CVSS 评级。