HCL AppScan® Enterprise 的新功能

HCL AppScan® Enterprise 10.1.0 的新功能

本節說明此版本中的新產品功能和加強功能,以及相關的淘汰和預期變更。
  • 用於掃描 GraphQL Web API 的新範本。如需相關資訊,請參閱使用 GraphQL 範本建立掃描
  • 已重做動作型 Web 搜索器:AppScan 的動作型 Web 搜索器經過全面改版,現在提供:
    • 改良的記憶體使用,以及
    • 類似或較佳的涵蓋範圍

      雖然不太可能發生,但如果應用程式的涵蓋範圍減少,請連絡支援中心。

  • 現在支援透過 SQL 鑑別來連線至 SQL Server 資料庫。
  • 將登入或掃描檔案中的機密資訊加密。
  • 將 DAST 問題從一個 AppScan Enterprise 實例匯入另一個實例。
  • IAST 改善項目:
    • .NET Core 支援
    • JAVA 代理程式的 WebSocket 支援
  • HTTP2 現在支援 AppScan Enterprise Web 主控台。用戶端及伺服器上必須針對 HTTP/2 啟用 TLS 1.2。

APAR 修正程式清單

已修正下列授權程式分析報告 (APAR):

APAR 編號 說明
KB0074640 編輯使用者群組沒有授權選項
KB0078311 將評量發佈至 AppScan Enterprise 會導致掃描分頁中出現「已暫停(無法執行匯入 Script)」狀態
KB0089195 最佳化 SP - ap_App_Formula_Update
KB0089387 錯誤的使用者代理程式會顯示在掃描結果的流量資料中
KB0089535 如果使用瀏覽器外掛程式記錄內容掃描工作的登入,會針對 Internet Explorer 以外的瀏覽器不正確的訊息
KB0090266 如果用來建立掃描的範本包含非 ASCII 字元,則使用 ASE REST API 建立的掃描在執行掃描時可能會失敗
KB0091555 在 bindDN 密碼中使用 carat 符號 (^) 時,AppScan Enterprise 配置精靈會失敗
KB0092139 在「監視器」視圖中依「掃描名稱」過濾時,會顯示及列出問題數目的差異。
KB0092639 重新測試及流量日誌是以掃描開始時間建立,而非以重設開始時間來建立
KB0092666 CRWAE1701E 掃描正在關閉,因為其包含不允許進行安全測試的網域。
KB0095393 僅測試仍在執行「探索」階段的掃描
KB0095992 掃描工作已暫停,並出現錯誤訊息「INSERT 語句與 FOREIGN KEY 限制訊息衝突」
KB0097121 AppScan Enterprise 「keylogin」 REST API 的說明文件增強
KB0099075 在某些 REST API 中,無法適當處理某些語言的編碼
KB0099087 無法使用 CSV 檔將應用程式匯入 AppScan Enterprise 的監視器分頁
KB0099538 具有實例名稱的 SQL 伺服器包含 '\' 字元時,並未針對 IAST 和 DBService 適當設定
KB0099643 未根據所要求的回應類型 「no-html-encoding」 傳回 REST API 呼叫的錯誤訊息

修正和安全更新

此版本中的新安全規則包括:
  • attWebminFileManagerRCECVE20220824 - 已在檔案管理程式中新增 Webmin RCE 的偵測 (CVE-2022-0824)
  • attNoHttpsRedirection - 已新增在使用 HTTP 架構時,檢查是否發生 HTTPS 重新導向

這裡列出了此版本中的修正程式、更新和 RFE 完整清單。

已在此版本中移除

  • Internet Explorer (IE) 瀏覽器支援 10.0 和 11.0 版。
  • 從 Mobile Analyzer 報告匯入問題。

即將進行的變更

將在未來版本中移除下列項目:

  • Web 服務、關鍵少數和開發人員錦囊測試原則將遭到移除,因為現在使用其他原則可以達成類似的結果。如需相關資訊,請參閱預先定義的測試原則
  • 將捨棄 CVSS 2.0 評分,並以 CVSS 3.1 取代。
  • 編輯問題 CVSS 等級的功能。