HCL AppScan® Enterprise 中的新增功能
本部分介绍此版本中的新 AppScan Enterprise 产品功能和增强功能,以及相关的弃用和预期更改。
HCL AppScan® Enterprise 中的新增功能10.5.0
- 改进的历史数据管理和报告:
- AppScan Enterprise 现在存储从 AppScan Source 导入的扫描的历史数据。此功能可帮助 AppScan Source 用户在从 AppScan Source 导入问题后在 AppScan Enterprise 中查找重新扫描的历史记录。为了检索历史数据,AppScan Enterprise 10.5.0 中引入了两个新 API:
- historicdata/issues
- historicdata/metadata
- 历史数据 API 默认为禁用,请联系支持团队启用。
- AppScan Enterprise 现在存储从 AppScan Source 导入的扫描的历史数据。此功能可帮助 AppScan Source 用户在从 AppScan Source 导入问题后在 AppScan Enterprise 中查找重新扫描的历史记录。为了检索历史数据,AppScan Enterprise 10.5.0 中引入了两个新 API:
- 只读权限:这一新权限是为一级支持用户引入的。此权限授予用户以下能力:
- 查看整个组织的扫描和日志
- 访问只读用户的新扫描详细信息页面
-
“监视器”选项卡中的新属性:
- 监视器选项卡用户界面 (UI) 已进行修改,以包含从 AppScan Source 导入的新组件和分支元数据列。
- 应用程序过滤器现在包括组件和分支过滤器。
- 通过 IAST 订阅,AppScan Enterprise 现在可以通过提供每个已识别问题的调用堆栈信息来提供更深入的漏洞洞察。
- AppScan 现在在 PDF 和 HTML 报告中按严重级别提供已识别漏洞总数的详细信息。
- 添加了两项新的行业标准测试策略:
- OWASP 十大 API 安全风险 - 2023 年
- OWASP 前 10 名 - 2021
- 更新的监管合规报告:
- 2023 年 OWASP API 安全 10 强
- [US] DISA 的应用程序安全和开发 STIG。V5R3
- CWE 2023 年 25 个最危险的软件弱点
- 支付卡行业数据安全标准 (PCI DSS) - V4
IAST 变化
爪哇:
- 添加了对Vert.x™ Web 应用程序框架的支持。
- 添加了新方法来指定代理的代理以访问 AppScan Enterprise:
- 环境变量:
IAST_PROXY_HOST
和IAST_PROXY_PORT
- 自定义 Java 属性:
Iast.proxyHost
和Iast.proxyPort
- 环境变量:
。
- 添加了对 .
APAR 修复列表
修复了以下授权程序分析报告 (APAR):
修复和安全更新
此发行版中的新安全规则包括:postMessageInfoLeak -
WordPressQEMPluginXSSCVE202323491 - 添加用于 CVE-2023-23491
ApacheStrutsFileUploadRCE - 添加了“通过文件上传的 Apache Struts RCE”的新测试 (CVE-2023-50164)
attWordPressInPostPluginXSSCVE202328666 - 检测 CVE-2023-
attApacheStrutsCVE20190230
attAPIBrokenObjectLevelAuthorizationPath - 添加了“损坏的对象级别授权”的路径变体
attOracleWebLogicRemoteCommandExecution
attOracleWebLogicRemoteCommandExecution
漏洞组件数据库更新至1.3版本
此处列出了此版本的修复、更新和 RFE 的完整列表。
已在此发行版中更改
- AppScan此更新可确保问题原因及其描述以两种格式清晰显示。
- GET/issues和GET/issues/v2 API 端点已更新为默认按时间倒序返回扫描名称。此修改可确保首先显示最近执行的扫描,然后显示在逐渐更早的日期和时间执行的扫描。此更新在浏览过去的扫描时提供了更直观和用户友好的体验。
在此版本中删除
- “监控”选项卡上不再提供 OWASP API 安全 2019 年行业标准 10 强报告。
- “扫描”选项卡不再支持 CWE Top 25 2021 和 DISA VR1 报告。
即将推出的变更
以下功能将在将来的版本中删除:
- 问题上的 CVSS 属性字段将替换为不可编辑的 CVSS 矢量字符串。
- Web 服务和测试策略将被删除。有关信息,请参阅预定义测试策略。