Nouveautés

Cette section décrit les nouvelles fonctionnalités et améliorations du produit AppScan Standard dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).

Nouveautés dans HCL AppScan Standard 10.2.0

  • La gravité du problème et le score CVSS sont désormais basés sur CVSS version 3.1. Les examens exécutés à l'aide du score 2.0 peuvent avoir un score 3.1 appliqué (ce qui peut modifier certains scores et gravités des problèmes) ou être affichés tels quels.
  • Une nouvelle gravité critique pour les problèmes de sécurité a été ajoutée, conformément à CVSS 3.1.
  • La boîte de dialogue Configuration précédente a été repensée, réorganisée et intégrée en tant que vue native dans l'interface utilisateur principale.
  • L'examen d'API Web est désormais configuré via la nouvelle vue Configuration (voir API).
  • Les assistants d'examen ont été remplacés par des prédéfinitions dans la nouvelle vue Configuration, qui vous montre les options essentielles pour une configuration rapide.
  • Les examens incrémentiels sont désormais disponibles dans le menu Fichier (Fichier > Nouveau > Examen incrémentiel).
  • Modèle de rapport sur la conformité à la réglementation mis à jour : [Etats-Unis] California Consumer Privacy Act (CCPA) - AB-375.

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :
  • MaxLengthVuln - Recherche d'attributs "maxlength" avec une contrainte très importante
  • LeakedSecretTokens - Recherche de jetons secrets dans la réponse
  • SecurityRule_AbstractContentSecurityPolicyRule - Ajout d'une nouvelle règle CSP abstraite (contenant la détection et la mutation communes)
  • attNoHttpsRedirection - Vérification pour la redirection HTTPS lorsque le schéma HTTP est utilisé
  • attText4Shell - Ajout d'une nouvelle règle pour la vulnérabilité Text4Shell (CVE-2022-42889)
  • attGraphqlIntrospectionMutation - Vérification de l'activation de l'introspection dans l'API GraphQL

Pour obtenir la liste complète des correctifs, des mises à jour des règles de sécurité et des RFE dans cette version, reportez-vous à liste de correctifs AppScan Standard.

Modifié dans cette édition

  • L'option d'utilisation d'un navigateur Internet Explorer externe a été supprimée dans cette version, car IE n'est plus pris en charge par Microsoft.
  • Les données d'examen exportées au format XML et les rapports pertinents indiquent désormais quelle version CVSS a été utilisée pour évaluer la gravité du problème et la chaîne vectorielle CVSS complète.
  • Dans la vue Configuration, la stratégie de test et l'optimisation du test ont été combinées en un seul panneau.
  • La possibilité de basculer vers l'ancienne interface utilisateur a été supprimée.
  • Les modifications de la configuration prennent effet immédiatement, sans devoir cliquer sur OK.
  • Les examens incrémentiels sont désormais disponibles dans le menu Fichier (Fichier > Nouveau > Examen incrémentiel).

Modifications à venir

Les options suivantes seront supprimées dans une version future :
  • Le navigateur Internet Explorer intégré sera supprimé dans une version ultérieure d'AppScan.
  • Les stratégies de test Services Web, Minimum indispensable et Fondamentaux du développeur seront supprimées, car des résultats similaires peuvent maintenant être obtenus à l'aide d'autres stratégies (voir ici)
  • Possibilité d'exporter les résultats de l'examen au format XML pour les versions d'AppScan Enterprise antérieures à la version 9.0.3.1.