HCL AppScan® Enterprise 的新功能

HCL AppScan® Enterprise 中的新增功能10.5.0

改進的歷史數據管理和報告：
- AppScan Enterprise 現在儲存從 AppScan Source 匯入的掃描的歷史資料。此功能可協助 AppScan Source 使用者在從 AppScan Source 匯入問題後在 AppScan Enterprise 中尋找重新掃描的歷史記錄。為了檢索歷史數據，AppScan Enterprise 10.5.0 中引入了兩個新 API：
  - historicdata/issues
  - historicdata/metadata
- 歷史資料 API 預設為停用狀態，可以透過聯絡支援團隊來啟用
只讀權限：這項新權限是為一級支援使用者引入的。此權限授予使用者以下能力：
- 查看整個組織的掃描和日誌
- 造訪唯讀使用者的新掃描詳細資訊頁面
這有助於調試整個組織的掃描，而不會有意外修改的風險。
“監視器”標籤中的新屬性：
- 監視器標籤使用者介面 (UI) 已進行修改，以包含從 AppScan Source 匯入的新元件和分支元資料列。
- 應用程式過濾器現在包括元件和分支過濾器。
透過 IAST 訂閱，AppScan Enterprise 現在可以透過提供每個已識別問題的呼叫堆疊資訊來提供更深入的漏洞洞察。
AppScan 現在在 PDF 和 HTML 報告中以嚴重程度提供已識別漏洞總數的詳細資訊。
新增了兩項新的行業標準測試策略：
- OWASP 十大 API 安全風險 - 2023 年
- OWASP 前 10 名 - 2021
更新的監理合規報告：
- 2023 年 OWASP API 安全 10 強
- [US] DISA 的應用程式安全和開發 STIG。V5R3
- CWE 2023 年 25 個最危險的軟體弱點
- 支付卡產業資料安全標準 (PCI DSS) - V4

IAST 變化

爪哇：

新增了對Vert.x™ Web 應用程式框架的支援。
新增了新方法來指定代理程式的代理程式以存取 AppScan Enterprise：
- 環境變數： IAST_PROXY_HOST和IAST_PROXY_PORT
- 自訂 Java 屬性： Iast.proxyHost和Iast.proxyPort

。

新增了對 .

APAR 修正程式清單

已修正下列授權程式分析報告 (APAR)：


APAR 編號	說明
KB0110378	預設設定精靈錯誤地建立範本。
KB0110497	諮詢資訊顯示問題類型「API 安全：物件層級授權損壞」的錯誤。

修正和安全更新

此版本中的新安全規則包括：

postMessageInfoLeak -
WordPressQEMPluginXSSCVE202323491 -
ApacheStrutsFileUploadRCE - 新增了「透過檔案上傳的 Apache Struts RCE」的新測試 (CVE-2023-50164)
attWordPressInPostPluginXSSCVE202328666 - 偵測 CVE-2023-
attApacheStrutsCVE20190230
attAPIBrokenObjectLevelAuthorizationPath - 新增了「損壞的物件層級授權」的路徑變體
attOracleWebLogicRemoteCommandExecution
attOracleWebLogicRemoteCommandExecution
漏洞組件資料庫更新至1.3版本

此處列出了此版本的修復、更新和 RFE 的完整清單。

已在此版本中變更

AppScan此更新可確保問題原因及其描述以兩種格式清晰顯示。
GET/issues和GET/issues/v2 API 端點已更新為預設按時間倒序傳回掃描名稱。此修改可確保首先顯示最近執行的掃描，然後顯示在逐漸更早的日期和時間執行的掃描。此更新在瀏覽過去的掃描時提供了更直觀和用戶友好的體驗。

已在此版本中移除

「監控」標籤上不再提供 OWASP API 安全 2019 年業界標準 10 強報告。
「掃描」標籤不再支援 CWE Top 25 2021 和 DISA VR1 報告。

即將進行的變更

將在未來版本中移除下列項目：

問題上的 CVSS 屬性欄位將替換為不可編輯的 CVSS 向量字串。
Web 服務和測試策略將被刪除。如需相關資訊，請參閱預先定義的測試原則。