新機能

このセクションでは、このリリースにおける AppScan Standard 製品の新機能と拡張機能の他、推奨されない機能と、予想される変更についても説明します。

HCL AppScan Standard 10.2.0 の新機能

  • 問題の重大度と CVSS スコアリングが、バージョン 3.1 の CVSS に基づくようになりました。2.0 のスコアリングを使用して実行されるスキャンでは、3.1 のスコアリングを適用するか (これにより、一部の問題のスコアと重大度が変更される可能性があります)、そのまま表示することができます。
  • CVSS 3.1 に合わせて、セキュリティー問題の新しい重大度として、重大が追加されました。
  • 以前の「構成」ダイアログ・ボックスは、メイン・ユーザー・インターフェースのネイティブ・ビューとして、改良、再編成、および統合されました。
  • Web API スキャンは、新しい「構成」ビューを使用して構成されるようになりました (「API」を参照)。
  • スキャン・ウィザードが新しい「構成」ビューの「プリセット」に置き換えられ、素早い設定に必要なオプションが表示されます。
  • 増分スキャンが「ファイル」メニューから使用可能になりました (「ファイル」 > 「新規」 > 「増分スキャン」)。
  • 次のコンプライアンス・レポート・テンプレートが更新されました: [US] California Consumer Privacy Act (CCPA) - AB-375。

フィックスとセキュリティー更新

このリリースの新しいセキュリティー・ルールには、以下が含まれます。
  • MaxLengthVuln - 非常に大きな制約を持つ「maxlength」属性を検索します
  • LeakedSecretTokens - 応答内の秘密トークンを検索します
  • SecurityRule_AbstractContentSecurityPolicyRule - 新しい抽象 CSP ルールが追加されました (一般的な検出と改変を含む)
  • attNoHttpsRedirection - HTTP スキーム使用時の HTTPS リダイレクトをチェックします
  • attText4Shell - Text4Shell 脆弱性 (CVE-2022-42889) の新しいルールが追加されました
  • attGraphqlIntrospectionMutation - GraphQL API でイントロスペクションが有効になっているかどうかをチェックします

このリリースの修正、セキュリティー・ルールの更新、および RFE の完全なリストについては、AppScan Standard の修正リストを参照してください。

このリリースで変更

  • Microsoft で IE がサポートされなくなったので、このバージョンでは、外部 Internet Explorer ブラウザーを使用するオプションが削除されました。
  • XML としてエクスポートされたスキャン・データと関連レポートで、問題の重大度をスコア付けするために使用された CVSS バージョンと、CVSS ベクトル・ストリング全体が示されるようになりました。
  • 「構成」ビューで、テスト・ポリシーとテストの最適化が 1 つのパネルに結合されています。
  • 古いユーザー・インターフェースに切り替える機能が削除されました。
  • 構成の変更が、「OK」をクリックする必要なく、即時に有効になるようになりました。
  • 増分スキャンが「ファイル」メニューから使用可能になりました (「ファイル」 > 「新規」 > 「増分スキャン」)。

今後の変更

以下は将来のリリースで削除される予定です。
  • 組み込みの Internet Explorer ブラウザーは、今後のバージョンの AppScan で削除されます。
  • 他のポリシーを使用して同様の結果が得られたので、Web サービス、厳選テスト、開発者必需テストの手周防・ポリシーは削除されます (こちらを参照)。
  • 9.0.3.1 より前のバージョンの AppScan Enterprise のスキャン結果を XML としてエクスポートする機能。