HCL AppScan® Enterprise 中的新增功能
HCL AppScan® Enterprise 10.1.0 中的新增功能
本部分介绍此版本中的新增产品功能和增强功能,以及相关弃用和预期变更。
- 用于扫描 GraphQL Web API 的新模板。有关更多信息,请参阅使用 GraphQL 模板创建扫描。
- 重新设计了基于操作的 Web 搜寻器:AppScan 基于操作的 Web 搜寻器进行了彻底的改进,现在提供:
- 优化内存消耗,同时
- 具有类似或更高的覆盖范围
虽然不太可能,但是如果应用程序的覆盖范围降低,请与支持人员联系。
- 现在支持使用 SQL 认证连接到 SQL Server 数据库。
- 对登录或扫描文件中的敏感信息进行加密。
- 将 DAST 问题从一个 AppScan Enterprise 实例导入到另一个实例。
- IAST 改进:
- .NET Core 支持
- Java 代理程序的 WebSocket 支持
- AppScan Enterprise Web 控制台现在支持 HTTP2。必须在客户机和服务器上启用 TLS 1.2 以使用 HTTP/2。
APAR 修复列表
修复了以下授权程序分析报告 (APAR):
APAR 编号 | 描述 |
---|---|
KB0074640 | 编辑用户组没有许可证选项 |
KB0078311 | 发布到 AppScan Enterprise 的评估导致在扫描选项卡中产生“已暂挂(未能运行导入脚本)”状态 |
KB0089195 | Optimize SP - ap_App_Formula_Update |
KB0089387 | 在扫描结果中的流量数据中显示错误的用户代理程序 |
KB0089535 | 使用浏览器插件记录内容扫描作业的登录时,对 Internet Explorer 以外的浏览器显示错误的消息 |
KB0090266 | 如果用于创建扫描的模板包含非 ASCII 字符,使用 ASE REST API 创建的扫描在运行扫描时可能会失败 |
KB0091555 | 当在 bindDN 密码中使用 carat 符号 (^) 时,AppScan Enterprise 配置向导失败 |
KB0092139 | 在“监控”视图中按“扫描名称”过滤时,显示的问题数和列出的问题数有差异。 |
KB0092639 | 使用扫描开始时间而不是重置开始时间创建重新测试和流量日志 |
KB0092666 | CRWAE1701E 扫描将要关闭,因为扫描中包含了不允许进行安全测试的域。 |
KB0095393 | “仅测试”扫描仍在运行“探索”阶段 |
KB0095992 | 扫描作业被暂挂,并显示错误消息“INSERT 语句与 FOREIGN KEY 约束消息冲突” |
KB0097121 | AppScan Enterprise "keylogin" REST API 的文档增强功能 |
KB0099075 | 某些语言的编码在某些 REST API 中处理不正确 |
KB0099087 | 无法使用 CSV 文件将应用程序导入 AppScan Enterprise 的监控选项卡 |
KB0099538 | 没有为 IAST 和 DBService 正确配置具有实例名称的 SQL Server,因为实例名称中包含 '\' 字符 |
KB0099643 | 没有按请求的响应类型 "no-html-encoding" 返回 REST API 调用的错误消息 |
修复和安全更新
此发行版中的新安全规则包括:- attWebminFileManagerRCECVE20220824 - 在文件管理器中添加了对 Webmin RCE 的检测 (CVE-2022-0824)
- attNoHttpsRedirection - 在使用 HTTP 方案时添加了对 HTTPS 重定向的检查
此处列出了此发行版中修订、更新和 RFE 的完整列表。
在此版本中删除
- V10.0 和 V11.0 对 Internet Explorer (IE) 浏览器的支持。
- 从 Mobile Analyzer 报告导入问题。
即将推出的变更
以下功能将在将来的版本中删除:
- Web 服务、“关键的少数”和“开发者精要”测试策略将被删除,因为现在可以使用其他策略实现类似的结果。有关信息,请参阅预定义的测试策略。
- CVSS 2.0 评分将被删除并替换为 CVSS 3.1。
- 能够编辑问题的 CVSS 评级。