HCL AppScan® Enterprise 的新功能
HCL AppScan® Enterprise 10.1.0 的新功能
本節說明此版本中的新產品功能和加強功能,以及相關的淘汰和預期變更。
- 用於掃描 GraphQL Web API 的新範本。如需相關資訊,請參閱使用 GraphQL 範本建立掃描。
- 已重做動作型 Web 搜索器:AppScan 的動作型 Web 搜索器經過全面改版,現在提供:
- 改良的記憶體使用,以及
- 類似或較佳的涵蓋範圍
雖然不太可能發生,但如果應用程式的涵蓋範圍減少,請連絡支援中心。
- 現在支援透過 SQL 鑑別來連線至 SQL Server 資料庫。
- 將登入或掃描檔案中的機密資訊加密。
- 將 DAST 問題從一個 AppScan Enterprise 實例匯入另一個實例。
- IAST 改善項目:
- .NET Core 支援
- JAVA 代理程式的 WebSocket 支援
- HTTP2 現在支援 AppScan Enterprise Web 主控台。用戶端及伺服器上必須針對 HTTP/2 啟用 TLS 1.2。
APAR 修正程式清單
已修正下列授權程式分析報告 (APAR):
APAR 編號 | 說明 |
---|---|
KB0074640 | 編輯使用者群組沒有授權選項 |
KB0078311 | 將評量發佈至 AppScan Enterprise 會導致掃描分頁中出現「已暫停(無法執行匯入 Script)」狀態 |
KB0089195 | 最佳化 SP - ap_App_Formula_Update |
KB0089387 | 錯誤的使用者代理程式會顯示在掃描結果的流量資料中 |
KB0089535 | 如果使用瀏覽器外掛程式記錄內容掃描工作的登入,會針對 Internet Explorer 以外的瀏覽器不正確的訊息 |
KB0090266 | 如果用來建立掃描的範本包含非 ASCII 字元,則使用 ASE REST API 建立的掃描在執行掃描時可能會失敗 |
KB0091555 | 在 bindDN 密碼中使用 carat 符號 (^) 時,AppScan Enterprise 配置精靈會失敗 |
KB0092139 | 在「監視器」視圖中依「掃描名稱」過濾時,會顯示及列出問題數目的差異。 |
KB0092639 | 重新測試及流量日誌是以掃描開始時間建立,而非以重設開始時間來建立 |
KB0092666 | CRWAE1701E 掃描正在關閉,因為其包含不允許進行安全測試的網域。 |
KB0095393 | 僅測試仍在執行「探索」階段的掃描 |
KB0095992 | 掃描工作已暫停,並出現錯誤訊息「INSERT 語句與 FOREIGN KEY 限制訊息衝突」 |
KB0097121 | AppScan Enterprise 「keylogin」 REST API 的說明文件增強 |
KB0099075 | 在某些 REST API 中,無法適當處理某些語言的編碼 |
KB0099087 | 無法使用 CSV 檔將應用程式匯入 AppScan Enterprise 的監視器分頁 |
KB0099538 | 具有實例名稱的 SQL 伺服器包含 '\' 字元時,並未針對 IAST 和 DBService 適當設定 |
KB0099643 | 未根據所要求的回應類型 「no-html-encoding」 傳回 REST API 呼叫的錯誤訊息 |
修正和安全更新
此版本中的新安全規則包括:- attWebminFileManagerRCECVE20220824 - 已在檔案管理程式中新增 Webmin RCE 的偵測 (CVE-2022-0824)
- attNoHttpsRedirection - 已新增在使用 HTTP 架構時,檢查是否發生 HTTPS 重新導向
這裡列出了此版本中的修正程式、更新和 RFE 完整清單。
已在此版本中移除
- Internet Explorer (IE) 瀏覽器支援 10.0 和 11.0 版。
- 從 Mobile Analyzer 報告匯入問題。
即將進行的變更
將在未來版本中移除下列項目:
- Web 服務、關鍵少數和開發人員錦囊測試原則將遭到移除,因為現在使用其他原則可以達成類似的結果。如需相關資訊,請參閱預先定義的測試原則。
- 將捨棄 CVSS 2.0 評分,並以 CVSS 3.1 取代。
- 編輯問題 CVSS 等級的功能。