HCL AppScan® Enterprise 中的新增功能
本节介绍此版本中的新增 AppScan Enterprise 产品功能和增强功能,以及相关弃用和预期变更。
HCL AppScan® Enterprise 10.2.0 中的新增功能
- 问题严重性和 CVSS 得分现在基于 CVSS 3.1 评分。任何新的扫描都将基于 CVSS 3.1 评分。升级前的扫描结果将使用 CVSS 2.0 评分保留,直至重新扫描为止。有关更多信息,请参阅 CVSS 3.1 规范。确保 AppScan Standard 和 AppScan Enterprise 为同一版本 10.2.0 上,以便集成按预期工作。
- 如果启用了全局选项,只读用户现在可以评论问题。
- 精细的访问控制,以限制对问题状态的修改。
- 强制要求对问题状态变更进行评论。
- 用于报告扫描结果的新 API。API: /issues/(jobID)
- 为活动日志更新了多层过滤和其他改进。
-
更新了合规性报告模板:[美国]《加利福尼亚州消费者隐私法案》(CCPA) - AB-375。
APAR 修复列表
修复了以下授权程序分析报告 (APAR):
| APAR 编号 | 描述 |
|---|---|
| KB0068965 | AppScan Enterprise 中设置的警报发送的报告中缺少严重程度标头(严重、高、低、信息) |
| KB0074147 | 在重新测试包含多个阳性攻击变体的安全问题时,可能会导致假阳性 |
| KB0075778 | 在 AppScan Enterprise 中将短名称配置为 AppScan Source 主机名时,AppScan Enterprise 和 AppScan Source 集成不起作用 |
| KB0082136 | AppScan Enterprise 中缺少 TcpSourcePort 和 SourceInterfaceIP 选项 |
| KB0084932 | 在某些情况下,AppScan Enterprise 不会将用户访问变更记录到活动日志报告中 |
| KB0087169 | AppScan Source 无法在非英语语言环境中将评估发布到 AppScan Enterprise |
| KB0090230 | 使用定制模板通过 AppScan Enterprise Swagger 创建 DAST 扫描会导致问题 |
| KB0093324 | 在通过“监控”选项卡发布或导入后,AppScan Enterprise 中不会反映 AppScan Source 的严重程度更改(从“中等”更改为“低”) |
| KB0094173 | 在某些扫描中,在 AppScan Enterprise 和 Standard 中显示的结果中发现差异 |
| KB0095164 | 无论指定的参数顺序如何,post /issueimport/{appId}/{scannerId} API 都应有效 |
| KB0095837 | 启动 ADAC 作业时,不检查用户安全权限 |
| KB0095868 | 由 Standard 用户创建的作业的作业所有者在 ADAC 中被管理员编辑后更改为管理员 |
| KB0095919 | 扫描作业正在为 Standard 用户运行,即使作业所有者已更改为管理员 |
| KB0098572 | 日志保留转换为十六进制值,而不是十进制值 |
| KB0099738 | LDAP 用户搜索不显示完整的用户列表 |
| KB0102486 | 使用外部浏览器记录的多步骤序列导出失败 |
| KB0102819 | 在启用页面限制的情况下,通过 ADAC 执行完整扫描时,扫描在浏览阶段找不到任何内容 |
修复和安全更新
此发行版中的新安全规则包括:- MaxLengthVuln - 搜索具有非常大约束的“maxlength”属性
- LeakedSecretTokens - 在响应中搜索机密令牌
- SecurityRule_AbstractContentSecurityPolicyRule - 添加了新的抽象 CSP 规则(包含常见的检测和变异)
- attNoHttpsRedirection - 在使用 HTTP 方案时检查 HTTPS 重定向。
- attText4Shell - 为 Text4Shell 漏洞添加了新规则 (CVE-2022-42889)
- attGraphqlIntrospectionMutation - 检查是否在 GraphQL API 中启用了自我检查 oHttpsRedirection - 在使用 HTTP 架构时添加了对 HTTPS 重定向的检查
此处列出了此发行版中修订、更新和 RFE 的完整列表。
已在此发行版中更改
缺省扫描模板已升级。因此,如果您使用的是升级的模板,请验证您的自动化脚本以反映 xpath 修改。要获得更好的扫描覆盖范围和结果,请使用最新的模板。
在此版本中删除
无
即将推出的变更
以下功能将在将来的版本中删除:
- 问题上的 CVSS 属性字段将被删除并替换为不可编辑的 CVSS 矢量字符串。
- 使用来自 AppScan Source/AppScan Standard 的模板创建作业将从“扫描”选项卡中移除。来自 AppScan Source/Standard 的结果可以使用 Monitor 选项卡导入。
- Web 服务、“关键的少数”和“开发者精要”测试策略将被删除,因为现在可以使用其他策略实现类似的结果。有关信息,请参阅预定义的测试策略。
- 嵌入式 Internet Explorer 浏览器将在将来版本中移除。
- QRadar 集成支持。