新增功能
本節說明此版本中的新AppScan Standard產品功能和加強功能,以及相關的淘汰和預期變更。
HCL AppScan Standard 10.2.0 中的新功能
- 問題嚴重性和 CVSS 評分現在是以 CVSS 3.1 版為基礎。使用 2.0 評分的掃描執行可以套用 3.1 評分(這可能會變更部分問題評分和嚴重性),或視情況進行檢視。
- 已新增安全問題的新「嚴重」嚴重性,符合 CVSS 3.1。
- 先前的「配置」對話框已重新設計、重組,並整合成主要使用者介面中的原生視圖。
- Web API 掃描現在是透過新的「配置」視圖進行配置(請參閱 API)。
- 在新的「配置」視圖中,掃描精靈已取代為「預設」,向您顯示快速設定的基本選項。
- 您現在可以從「檔案」功能表中取得增量掃描(檔案 > 新建 > 增量掃描)。
- 已更新的法規相符性報告範本:[美國] 加州消費者隱私權法案 (CCPA) - AB-375。
修正和安全更新
此版本中的新安全規則包括:
- MaxLengthVuln - 搜尋具有非常大限制的 "maxlength" 屬性
- LeakedSecretTokens - 在回應中搜尋秘密記號
- SecurityRule_AbstractContentSecurityPolicyRule - 新增抽象 CSP 規則(包含常見偵測和變化)
- attNoHttpsRedirection - 使用 HTTP 架構時,檢查是否發生 HTTPS 重新導向
- attText4Shell - 已新增 Text4Shell 漏洞的新規則 (CVE-2022-42889)
- attGraphqlIntrospectionMutation - 檢查是否已在 GraphQL API 中啟用內部檢查
如需此版本中修正程式、安全性規則更新及 RFE 的完整清單,請參閱 AppScan Standard 修正程式清單。
已在此版本中變更
- 這個版本已移除使用外部 Internet Explorer 瀏覽器的選項,因為 Microsoft 不再支援 IE。
- 匯出為 XML 的掃描資料以及相關報告,現在指出使用哪個 CVSS 版本來評分問題嚴重性,以及完整 CVSS 向量字串。
- 在「配置」視圖中,「測試原則」和「測試最佳化」已合併為單一畫面。
- 已移除切換至舊使用者介面的能力。
- 配置變更現在會立即生效,而不需要按一下「確定」。
- 您現在可以從「檔案」功能表中取得增量掃描(檔案 > 新建 > 增量掃描)。
即將進行的變更
將在未來版本中移除下列項目:
- 未來的 AppScan 版本將會移除內嵌的 Internet Explorer 瀏覽器。
- 系統會移除「Web 服務」、「重要少數」和「開發人員基本資料」測試原則,因為現在可以使用其他原則來達成類似的結果(請參閱這裡)
- 能夠將掃描結果匯出為 XML,適用於 9.0.3.1 之前的 AppScan Enterprise 版本。