HCL AppScan® Enterprise 的新功能
本節說明此版本中的 AppScan Enterprise 新產品功能和加強功能,以及相關的淘汰和預期變更。
HCL AppScan® Enterprise 中的新增功能10.4.0
- 透過 IAST 訂閱增強 DAST 掃描準確性和效率。有關更多信息,請參閱博客。
- AppScan Enterprise 第三方易受攻擊的元件更新:
- 為易受攻擊的元件添加了新的 API:
API名稱 說明 取得/易受攻擊的元件/伺服器/狀態 取得伺服器的易受攻擊元件更新狀態。 發布/有漏洞的元件/更新 在 AppScan Enterprise Server 中更新易受攻擊的元件包的最新版本。 獲取/易受攻擊的元件/客戶端/狀態 取得客戶端的易受攻擊元件更新狀態。 - 包括最新的 CVE,以獲得更好的掃描覆蓋範圍。
- 在 ASD 中偵測到的第三方易受攻擊的元件現在可以在 AppScan Enterprise Monitor標籤 - 元件視圖中看到。
- AppScan Enterprise Security 報告中現在提供了元件。
- 作業 ID API ( GET /issues/{jobId} )現在可以共享第三方易受攻擊元件的 CWE 和 CVE ID。
- 為易受攻擊的元件添加了新的 API:
- AppScan Enterprise 現在支援加密的 AppScan 活動記錄文件,確保登入憑證和其他 PII 的安全儲存。
- 將掃描的 URL 新增至 AppScan Enterprise Security 報告中,使用戶能夠測量掃描覆蓋範圍。
- 新的監管合規報告:[SA] 個人資訊保護法 (PoPIA),2013 年。
- 更新的監理合規報告:
- [美國] 聯邦風險和授權管理計劃 (FedRAMP),修訂版 5。
- [美國] DISA 的應用程式安全和開發 STIG,V5R2。
- [美國] 聯邦資訊安全現代化法案 (FISMA),2014 年。
- 新增了對 Microsoft SQL Server 2022 標準版和企業版的支援。
IAST 變化
。網:
- 增強了對在 .Net Framework 和 .Net Core 中使用 System.Net.WebClient 的客戶的支援。
- 改進的 IAST 日誌現在包括日期和時間。
- 新的問題類型 - 偵測到的 API,取代了報告應用程式 API 完整清單的問題的其他問題類型。
- 敏感 API 需要 使用 ILogger、Nlog、Serilog 和 log4net 的客戶現在支援記錄問題類型。
節點JS:
- 更新了 IAST 日誌以包含日期和時間。
- 改進了控制台輸出中的錯誤訊息。
爪哇:
- 新的問題類型 - 偵測到的 API,取代了報告應用程式 API 完整清單的問題的其他問題類型。
- 改進的部署流程:Java 版本 9 及更高版本中不再需要設定 BC_SB 環境變數。
- 對 Java 的附加框架支援:Spring 6。
- 改進了用戶設定不正確的代理設定時的錯誤訊息。
- IAST 日誌現在包含日期和時間。
APAR 修正程式清單
已修正下列授權程式分析報告 (APAR):
修正和安全更新
此版本中的新安全規則包括:- 提高了多項規則中信用卡檢測的準確性:
- o SecurityRule_GD_CreditCardAmericanExpress
- SecurityRule_GD_CreditCardAmericanExpressNotSSL
- SecurityRule_GD_CreditCardDinersClub
- SecurityRule_GD_CreditCardDinersClubNotSSL
- SecurityRule_GD_CreditCardDiscover
- SecurityRule_GD_CreditCardDiscoverNotSSL
- SecurityRule_GD_CreditCardMasterCard
- SecurityRule_GD_CreditCardMasterCardNotSSL
- SecurityRule_GD_CreditCards
- SecurityRule_GD_CreditCardsNotSSL
- SecurityRule_GD_CreditCardVisa
- SecurityRule_GD_CreditCardVisaNotSSL
- attText4Shell - 新增了對 RCE 的客製化 Web 伺服器偵測支援。
- attZencartRemoteCommandExecutionAdnsCVE20213291 - 新增了對 RCE 的客製化 Web 伺服器偵測支援。
- attSessionFixation - 修改了偵測規則以避免測試沒有先前請求的請求。
- attAPIBrokenObjectLevelAuthorization - 擴展規則以測試所有數位目錄(Inc 和 Dec)。
- CORSarbitraryOrigin - 修改為在各處包含偽造的 Origin 標頭。
- Chromium 已更新至版本 116 以增強安全性並解決關鍵漏洞CVE-2023-4863 。有關更多信息,請參閱Chromium 更新至版本 116 。
此處列出了此版本的修復、更新和 RFE 的完整清單。
已在此版本中變更
取消了「監控」標籤中「投資組合和應用程式」標籤中查看變數的 100 個搜尋限制,允許使用者查看所有變數並自訂搜尋。
已在此版本中移除
- 隨著 Microsoft 宣布針對這些平台推出 EOS,對 Windows Server 2012 和 Windows Server 2012 R2 的支援已被棄用。
- 嵌入式 Internet Explorer 瀏覽器已刪除。
即將進行的變更
將在未來版本中移除下列項目:
- 問題上的 CVSS 屬性欄位將替換為不可編輯的 CVSS 向量字串。
- 使用 AppScan Source 建立作業,AppScan Standard 範本將從掃描標籤中刪除。AppScan Source 和 AppScan Standard 結果將能夠使用「監控」標籤匯入。
- Web 服務、關鍵少數和開發人員錦囊測試原則將遭到移除,因為現在使用其他原則可以達成類似的結果。如需相關資訊,請參閱預先定義的測試原則。
- WebSphere 入口網站掃描將會被刪除。