新機能

HCL AppScan Standard 10.6.0 の新機能

• API スキャンでは、高度な OpenAPI 自動スキャンにより、構成機能の改善、スキャン範囲の拡大、および脆弱性の検出の向上を実現できるようになりました。
• AppScan Connect:
  • AppScan 360° のサポート: AppScan Connect では、AppScan 360° との統合が完全にサポートされるようになりました。この統合により、AppScan Standard スキャン構成を使用してスキャンを作成したり、AppScan 360° にスキャン結果をアップロードしたりできます。
  • 接続方法の再設計: 新しいインターフェースは、より直感的で使いやすいため、他の AppScan 製品との接続をより簡単かつ迅速に確立できます。
• 新しいコンプライアンス・レポート:
  • OWASP クラウドネイティブ・アプリケーション・セキュリティーのトップ 10
  • ネットワークおよび情報セキュリティー指令 (NIS2)
• AppScan では、複数の CWE を脆弱性にマッピングすることで、レポートの範囲が改善されています。
• 問題の最初のバリアントが見つかるまでテストしかしないように AppScan を制限してスキャン時間を最適化するために、問題ごとに 1 つのバリアントのみを保存するテスト・オプションが追加されました。
• 生成されたレポートの脆弱性に CVSS ベクターが含まれるようになりました。
• CSV ファイルを使用して、「テスト対象のドメイン」リストに複数のドメインを追加できます。
• 複数のスキャン構成ダイアログの操作性を向上させるために、次のような一連の拡張および再設計が行われています。
  • クライアント側の証明書
  • サポート・ファイルの暗号化
  • 除外されるパスおよびファイル
  • エクステンション・マネージャー
  • 探査データのインポート
  • 再生の編集
  • 冗長性調整
  • ユーザー・エージェント・ヘッダー

フィックスとセキュリティー更新

このリリースの新しいセキュリティー・ルールには、以下が含まれます。

• attWPHelperLitePluginXSSCVE20230448 - CVE-2023-0448 の検出
• WordPressWBPUPluginXSSCVE202328665 - CVE-2023-28665 の検出
• WordPressLWPPluginXSSCVE202323492 - CVE-2023-23492 の検出
• attNoSQLInjection - NoSQL 脆弱性のサポートを改善 (crAPI で実証済み)
• attCactiRemoteCommandExecutionCVE202246169 - CVE-2022-46169 の Cacti の検出
• 脆弱なコンポーネント・データベースをバージョン 1.4 に更新しました

このリリースの修正、新規または更新されたセキュリティー・ルール、および RFE の完全なリストについては、AppScan Standard の修正リストを参照してください。

このリリースで変更

• 「問題の削除」機能は、編集メニューとコンテキスト・メニューのどちらからも削除されました。また、問題を非脆弱とマークするオプションも削除されました。現在は、問題が誤検出の場合にのみ「ノイズ」としてマークできます。

今後の変更

• バージョン 10.7.0 以降では、ライセンス交付手順が変更されています。この変更は、既存の使用には影響しません。HCL AppScan の詳細情報と更新情報をお見逃しなく。