HCL AppScan® Enterprise 的新功能

本節說明此版本中的 AppScan Enterprise 新產品功能和加強功能,以及相關的淘汰和預期變更。

HCL AppScan® Enterprise 中的新增功能10.4.0

  • 透過 IAST 訂閱增強 DAST 掃描準確性和效率。有關更多信息,請參閱博客
  • AppScan Enterprise 第三方易受攻擊的元件更新:
    • 為易受攻擊的元件添加了新的 API:
      API名稱說明
      取得/易受攻擊的元件/伺服器/狀態取得伺服器的易受攻擊元件更新狀態。
      發布/有漏洞的元件/更新在 AppScan Enterprise Server 中更新易受攻擊的元件包的最新版本。
      獲取/易受攻擊的元件/客戶端/狀態取得客戶端的易受攻擊元件更新狀態。
    • 包括最新的 CVE,以獲得更好的掃描覆蓋範圍。
    • 在 ASD 中偵測到的第三方易受攻擊的元件現在可以在 AppScan Enterprise Monitor標籤 - 元件視圖中看到。
    • AppScan Enterprise Security 報告中現在提供了元件。
    • 作業 ID API ( GET /issues/{jobId} )現在可以共享第三方易受攻擊元件的 CWE 和 CVE ID。
  • AppScan Enterprise 現在支援加密的 AppScan 活動記錄文件,確保登入憑證和其他 PII 的安全儲存。
  • 將掃描的 URL 新增至 AppScan Enterprise Security 報告中,使用戶能夠測量掃描覆蓋範圍。
  • 新的監管合規報告:[SA] 個人資訊保護法 (PoPIA),2013 年。
  • 更新的監理合規報告:
    • [美國] 聯邦風險和授權管理計劃 (FedRAMP),修訂版 5。
    • [美國] DISA 的應用程式安全和開發 STIG,V5R2。
    • [美國] 聯邦資訊安全現代化法案 (FISMA),2014 年。
  • 新增了對 Microsoft SQL Server 2022 標準版和企業版的支援。

IAST 變化

。網:
  • 增強了對在 .Net Framework 和 .Net Core 中使用 System.Net.WebClient 的客戶的支援。
  • 改進的 IAST 日誌現在包括日期和時間。
  • 新的問題類型 - 偵測到的 API,取代了報告應用程式 API 完整清單的問題的其他問題類型。
  • 敏感 API 需要 使用 ILogger、Nlog、Serilog 和 log4net 的客戶現在支援記錄問題類型。
節點JS:
  • 更新了 IAST 日誌以包含日期和時間。
  • 改進了控制台輸出中的錯誤訊息。
爪哇:
  • 新的問題類型 - 偵測到的 API,取代了報告應用程式 API 完整清單的問題的其他問題類型。
  • 改進的部署流程:Java 版本 9 及更高版本中不再需要設定 BC_SB 環境變數。
  • 對 Java 的附加框架支援:Spring 6。
  • 改進了用戶設定不正確的代理設定時的錯誤訊息。
  • IAST 日誌現在包含日期和時間。

APAR 修正程式清單

已修正下列授權程式分析報告 (APAR):

APAR 編號 說明
KB0106642 在某些情況下,AppScan Enterprise 和 AppScan Standard 之間的問題計數存在差異。
KB0106569 從掃描標籤下的作業統計頁面下載大型掃描檔案失敗。
KB0105848 當作業名稱和FolderItemId 的總長度超過255 個字元時,無法刪除作業。

修正和安全更新

此版本中的新安全規則包括:
  • 提高了多項規則中信用卡檢測的準確性:
    • o SecurityRule_GD_CreditCardAmericanExpress
    • SecurityRule_GD_CreditCardAmericanExpressNotSSL
    • SecurityRule_GD_CreditCardDinersClub
    • SecurityRule_GD_CreditCardDinersClubNotSSL
    • SecurityRule_GD_CreditCardDiscover
    • SecurityRule_GD_CreditCardDiscoverNotSSL
    • SecurityRule_GD_CreditCardMasterCard
    • SecurityRule_GD_CreditCardMasterCardNotSSL
    • SecurityRule_GD_CreditCards
    • SecurityRule_GD_CreditCardsNotSSL
    • SecurityRule_GD_CreditCardVisa
    • SecurityRule_GD_CreditCardVisaNotSSL
  • attText4Shell - 新增了對 RCE 的客製化 Web 伺服器偵測支援。
  • attZencartRemoteCommandExecutionAdnsCVE20213291 - 新增了對 RCE 的客製化 Web 伺服器偵測支援。
  • attSessionFixation - 修改了偵測規則以避免測試沒有先前請求的請求。
  • attAPIBrokenObjectLevelAuthorization - 擴展規則以測試所有數位目錄(Inc 和 Dec)。
  • CORSarbitraryOrigin - 修改為在各處包含偽造的 Origin 標頭。
  • Chromium 已更新至版本 116 以增強安全性並解決關鍵漏洞CVE-2023-4863 。有關更多信息,請參閱Chromium 更新至版本 116

此處列出了此版本的修復、更新和 RFE 的完整清單。

已在此版本中變更

取消了「監控」標籤中「投資組合和應用程式」標籤中查看變數的 100 個搜尋限制,允許使用者查看所有變數並自訂搜尋。

已在此版本中移除

  • 隨著 Microsoft 宣布針對這些平台推出 EOS,對 Windows Server 2012 和 Windows Server 2012 R2 的支援已被棄用。
  • 嵌入式 Internet Explorer 瀏覽器已刪除。

即將進行的變更

將在未來版本中移除下列項目:

  • 問題上的 CVSS 屬性欄位將替換為不可編輯的 CVSS 向量字串​​。
  • 使用 AppScan Source 建立作業,AppScan Standard 範本將從掃描標籤中刪除。AppScan Source 和 AppScan Standard 結果將能夠使用「監控」標籤匯入。
  • Web 服務、關鍵少數和開發人員錦囊測試原則將遭到移除,因為現在使用其他原則可以達成類似的結果。如需相關資訊,請參閱預先定義的測試原則
  • WebSphere 入口網站掃描將會被刪除。