新機能

このセクションでは、このリリースにおける AppScan Standard 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。

新しい AppScan Standard へようこそ

  • 全く新しいユーザー・エクスペリエンスの導入

    真新しい外観、改善されたワークフロー、より良いガイダンス、簡単になった自己トラブルシューティング

  • 迅速かつクリアなスキャン評価

    新しいダッシュボードは、スキャンの正常性と結果サマリーを含む重要なスキャン情報を収集します。

  • 新規ダーク・モード

    自分に最適なモード (明るいまたは暗い) を選択してください

HCL AppScan Standard 10.0.7 の新機能

  • 新しいユーザー・エクスペリエンスと改善されたユーザー・エクスペリエンス:
    • スキャンを開始するための新しいホーム・ページ
    • 画面左側のナビゲーション・バーを使用すると、ワークフローのメイン・ステップに素早くアクセスできます
    • ダッシュボードは、スキャンの実行に合わせて、重要なスキャン・データと更新をリアルタイムで収集します
    • 「問題」ビューと「タスク」ビューは、新しい「問題」ビューに統合されます
    • レスポンシブ UI 設計
    • 再設計されたスキャン・ログ。
    • 「再設計されたオプション」ダイアログ・ボックス (「ツール」> 「オプション」)
    • ライト・モードまたは新しいダーク・モードの作業プリファレンスを選択します
    こちらで実際の変更点のハイライトを確認してください。
  • OS サポート: Windows Server 2022 (Enterprise および Pro)、および Windows 11
  • TLS 1.3 がサポートされています (2 つの新規オペレーティング・システムの場合のみ)
  • MFA: TOTP および URL 生成 OTP のサポート ( 「OTP の設定」を参照)
  • セキュリティー問題を CSV 形式にエクスポートします ( 「CSV にエクスポート」を参照)
  • 新しい業界標準のレポート:
    • 「CWE/SANS 上位 25 の最も危険なエラー」が「CWE 上位 25 の最も危険なソフトウェアの脆弱性 2021」に置き換えられました
    • 「OWASP TOP 10 - 2021」

フィックスとセキュリティー更新

このリリースの新しいセキュリティー・ルールには、以下が含まれます。
  • attApacheHttpPathTraversalUnix - Apache HTTP Server のパス・トラバーサルの脆弱性 (CVE-2021-41773)
  • attZencartRemoteCommandExecutionAdns - ZenCart での認証済み RCE (CVE-2021-3291)
  • attApacheHttpPathTraversalUnix - Apache HTTP サーバー・パス・トラバーサルおよび RCE (CVE-2021-42013)
  • attAPIBrokenFunctionLevelAuthorization - 破損した機能レベル権限に関する API セキュリティー・ルール (他の HTTP メソッドで元の要求を確認)
  • attConfluenceRemoteCommandExecutionAdns - ADNS を使用した Confluence サーバー Webwork OGNL 注入 (CVE-2021-26084)
  • attAPIMassAssignment - 大量割り当てに関する API セキュリティー・ルール (管理パラメーター/オブジェクトを使用して要求し、アクセス権を取得)
  • attAPILackResourcesRateLimit - リソースの不足とレート制限に関する API セキュリティー・ルール (サーバーに負荷をかける要求パラメーターに大きな値を設定)
  • attCSRFinGraphQL - GraphQL エンドポイントでの CSRF の脆弱性の検出
  • attCSPInjection - Web サイトが CSP ポリシー注入に対して脆弱な場合に検出
  • attAPIImproperAssetsManagement - ImproperAssets 管理に関する API セキュリティー・ルール (未露出パスの要求)
  • attAPIImproperAssetsManagementDomain - ImproperAssets 管理に関する API セキュリティー・ルール (未露出ドメインの要求)
  • attbootstrapXSS - 古くなったブートストラップ・ルールの検出
このリリースの修正、更新、および RFE の完全なリストについては、AppScan Standard の修正リストを参照してください。

このリリースでは削除されました

  • スキャン・エキスパート

今後の変更

以下は将来のリリースで削除される予定です。
  • 他のポリシーを使用して同様の結果が得られたので、Web サービス、厳選テスト、開発者必需テストの手周防・ポリシーは削除されます (こちらを参照)。
  • 古い UI はこのリリースでアクセス可能ですが、将来のリリースでは完全に削除されます (こちらを参照)