HCL AppScan® Enterprise 的新功能
本節說明此版本中的新 AppScan Enterprise 產品功能和加強功能,以及相關的淘汰和預期變更。
HCL AppScan® Enterprise 10.2.0 的新功能
- 問題嚴重性和 CVSS 評分現在是以 CVSS 3.1 評分為基礎。任何新掃描都將以 CVSS 3.1 評分為基礎。升級前掃描發現項目將使用 CVSS 2.0 評分保留下來,直到重新掃描為止。如需相關資訊,請參閱 CVSS 3.1 規格。請確定 AppScan Standard 和 AppScan Enterprise 都採用相同的 10.2.0 版本,以便整合作業能如預期般運作。
- 現在,唯讀使用者只要啟用廣域選項便能在問題上進行註解。
- 精細的存取控制,以限制對於問題狀態的修改。
- 問題的狀態變更時必須要有註解。
- 新 API 用於報告掃描的發現項目。API: /issues/(jobID)
- 「活動日誌」會以多層次過濾和其他改善功能進行更新。
-
已更新的法規相符性報告範本:[美國] 加州消費者隱私權法案 (CCPA) - AB-375。
APAR 修正程式清單
已修正下列授權程式分析報告 (APAR):
| APAR 編號 | 說明 |
|---|---|
| KB0068965 | 在 AppScan Enterprise 中所設定之警示傳送的報告中,遺漏嚴重性標頭(重要、高、低,參考資訊) |
| KB0074147 | 重新測試安全問題時,當中如含有多種積極攻擊變式,可能會導致誤判 |
| KB0075778 | 當簡稱在 AppScan Enterprise 中配置為 AppScan Source 主機名稱時,AppScan Enterprise 和 AppScan Source 整合便無法運作 |
| KB0082136 | AppScan Enterprise 中遺漏 TcpSourcePort 和 SourceInterfaceIP 選項 |
| KB0084932 | 在某些實例中,AppScan Enterprise 未將使用者存取權變更記載至活動日誌報告 |
| KB0087169 | AppScan Source 無法在英文以外的語言環境中將評量發佈至 AppScan Enterprise |
| KB0090230 | 使用自訂範本透過 AppScan Enterprise Swagger 建立 DAST 掃描會造成問題 |
| KB0093324 | AppScan Source 的嚴重性變更(中至低)在發佈或透過監視標籤匯入後不會反映在 AppScan Enterprise 中 |
| KB0094173 | 在某些掃描的 AppScan Enterprise 和 Standard 所顯示的結果中發現差異 |
| KB0095164 | post /issueimport/{appId}/{scannerId} API 的運作應不受指定參數順序影響 |
| KB0095837 | 開始進行 ADAC 工作時,不會檢查使用者安全許可權 |
| KB0095868 | Standard 使用者建立之工作的工作擁有者在管理員於 ADAC 中加以編輯後,會變更為管理員 |
| KB0095919 | 即使已將工作擁有者變更為管理員,掃描工作仍會針對 Standard 使用者而執行 |
| KB0098572 | 「日誌保留」會轉換為十六進位值,而非十進位值 |
| KB0099738 | LDAP 使用者搜尋並未顯示完整的使用者清單 |
| KB0102486 | 使用外部瀏覽器記錄的多步驟順序匯出失敗 |
| KB0102819 | 透過啟用「頁面限制」的 ADAC 進行完整掃描時,該掃描在探索階段中沒有找到任何內容 |
修正和安全更新
此版本中的新安全規則包括:- MaxLengthVuln - 搜尋具有非常大限制的 "maxlength" 屬性
- LeakedSecretTokens - 在回應中搜尋秘密記號
- SecurityRule_AbstractContentSecurityPolicyRule - 新增抽象 CSP 規則(包含常見偵測和變化)
- attNoHttpsRedirection - 使用 HTTP 架構時,檢查是否發生 HTTPS 重新導向。
- attText4Shell - 已新增 Text4Shell 漏洞的新規則 (CVE-2022-42889)
- attGraphqlIntrospectionMutation - 檢查是否已在 GraphQL API oHttpsRedirection 中啟用自我檢查 - 已新增在使用 HTTP 架構時,檢查是否發生 HTTPS 重新導向
這裡列出了此版本中的修正程式、更新和 RFE 完整清單。
已在此版本中變更
預設掃描範本已升級。因此,如果您使用升級的範本,請確認您的自動化 Script 以反映 xpath 修改之處。若要獲得更佳的掃描涵蓋範圍和結果,請使用最新的範本。
已在此版本中移除
無
即將進行的變更
將在未來版本中移除下列項目:
- 問題上的 CVSS 屬性字段將被刪除並替換為不可編輯的 CVSS 矢量字符串。
- 使用來自 AppScan Source/AppScan Standard 的模板創建作業將從“掃描”選項卡中移除。來自 AppScan Source/Standard 的結果可以使用 Monitor 選項卡導入。
- Web 服務、關鍵少數和開發人員錦囊測試原則將遭到移除,因為現在使用其他原則可以達成類似的結果。如需相關資訊,請參閱預先定義的測試原則。
- 未來的版本將會移除內嵌的 Internet Explorer 瀏覽器。
- QRadar 整合支援。