Nouveautés d' HCL AppScan 360°

• Vue graphique du service complet : fournit une visualisation complète de la façon dont vos microservices interagissent, offrant ainsi une meilleure visibilité sur leurs relations.
• Réduction du nombre de faux positifs : améliore la précision de la détection des vulnérabilités en exploitant le graphique des services, ce qui permet de réduire le nombre d'alertes non pertinentes et de mieux concentrer les efforts de sécurité.

Le nouveau moteur accroît nos capacités de détection déjà puissantes, et ce, en améliorant davantage la précision grâce à une réduction du bruit et à une meilleure précision des résultats.

Identification plus rapide et précise des risques connus.

Lorsque les données de dépendance sont disponibles dans un examen, une vue graphique visuelle est affichée, ce qui facilite la compréhension des relations et de l'impact des packages.

Fichiers de configuration C/C++, PHP et Java. Client d'analyse statique version 8.0.1646 requis.

• Sélection des colonnes : la sélection des colonnes est organisée par catégorie pour améliorer la convivialité.
• Copier à partir de la grille : cliquez avec le bouton droit de la souris sur n'importe quelle cellule du tableau pour copier facilement son contenu.

• Définissez un titre personnalisé pour vos rapports à l'aide de la mise en page du rapport.
• Le type de rapport s'affiche dans les rapports générés.

• Rapports sur la conformité mis à jour :
  • [US] DISA's Application Security and Development STIG V6R3
  • Rapport CWE : Les 25 vulnérabilités logicielles les plus dangereuses en 2024

Plusieurs domaines d'un fichier de trafic : lors du chargement d'un fichier de trafic avec plusieurs domaines, HCL AppScan 360° ajoute automatiquement ces domaines à la liste « Domaines à tester » et marque ceux qui sont vérifiés pour les inclure dans l'examen.

Le portail My HCLSoftware (MHS) a remplacé le portail FlexNet Operations (FNO) pour la gestion des licences. FNO n'est plus pris en charge depuis le 30 juin 2025.

• AppScan 360° 1.6.0 et versions antérieures ne sera plus disponible après le 30 juin 2025.
• La version non FIPS 1.6.1 d'AppScan 360° est disponible au téléchargement à partir du portail My HCLSoftware (MHS) uniquement.
• La version compatible FIPS 1.6.1 d'AppScan 360° est disponible sur Four, Inc.

• HCL AppScan 360° Peut être installé à l'aide du kit d'installation d'une machine virtuelle unique hors ligne. Seul le mode d'installation a changé, le contenu du kit d'installation reste le même que la version 1.5.0.

• Installation simple avec une seule commande Helm.
• Configuration allégée à l'aide d'images Docker provenant du registre de conteneurs HCL Harbor.
• Optimisé pour les infrastructures basées sur Kubernetes.

• Mise à jour du client d'analyse statique vers la version 8.0.1604.
• Prise en charge de HTML.
• Prise en charge supplémentaire du balayage Python Django.
• Mises à jour du balayage des secrets.
• Ajout d'une nouvelle commande CLI pour récupérer les journaux.
• Mises à jour des règles d'examen.
• AppScan Go! mis à jour vers la version 2.2.0.
  • Les noms d'examen autorisent l'utilisation de caractères spéciaux.
  • Le préfixe static_ n'est plus inclus automatiquement dans le nom de l'examen.
  • Balayage des secrets par examen activé par défaut.
  • Améliorations de l'interface utilisateur.
  • Correctifs d'erreurs d'ordre général.

Vous pouvez choisir d'installer AppScan 360° dans un environnement Kubernetes distribué (installation standard) ou sur une machine virtuelle unique. L'installation sur une seule machine virtuelle offre un déploiement autonome de AppScan 360°, y compris la configuration de Kubernetes, pour les environnements plus petits lorsqu'un accès simultané élevé n'est pas nécessaire, ou dans le cadre de la planification des installations distribuées suivantes.

• Politiques et rapports nouveaux ou mis à jour sur la conformité et les normes de l'industrie :
  • Directive relative à la sécurité des réseaux et des informations (NIS2)
  • Rapport OWASP Top 10 Cloud-Native Application Security
  • Rapport OWASP Top 10 API Security 2023
  • Rapport CWE Top 25 Most Dangerous Software Weaknesses 2023
  • [US] DISA's Application Security and Development STIG, Version 5 Release 3
  • PCI DSS (Payment Card Industry Data Security Standard), Version 4
• Propagation automatique des commentaires : propage automatiquement les derniers commentaires relatifs à un problème et le statut de celui-ci depuis une autre application vers l'application actuelle. Cela garantit que le statut et les commentaires sont mis à jour de manière cohérente, fournissant ainsi un enregistrement complet et synchronisé sur le problème dans toutes les applications.
• Lien vers le référentiel dans l'onglet Détails du problème : le champ « Emplacement » de l'onglet Détails du problème inclut un lien vers le fichier et la ligne spécifiés dans le référentiel de code source, le cas échéant. Cela permet d'accéder directement au code pertinent sans changer d'onglet.

• Mise à jour du client d'analyse statique vers la version 8.0.1577.
• Mise à jour d'AppScan Go! vers la version 2.1.1.
  • Ajout de la possibilité d'examiner les référentiels SCM dans AppScan Go! avec une URL.
  • AppScan Go! recommande désormais automatiquement le mode d'examen, soit bytecode/compiled, soit code source.
• Les analyses SAST peuvent désormais être configurées et programmées pour extraire le code source directement à partir d'un référentiel GitHub public. Voir Examiner un référentiel GitHub.
• Tout en triant les résultats SAST, les utilisateurs peuvent afficher le code source correspondant directement sur GitHub.com.
• Les résultats peuvent désormais être filtrés par nom de fichier ou par chemin, ce qui rend le tri plus efficace en se concentrant sur des zones spécifiques de la base de code.
• La commande CLI queue_analysis affiche les ID d'examen pour l'analyse statique (SAST).
• IFA 2.0 activé pour les résultats de trace .NET.
• Améliorations apportées à l'examen de secrets et à l'examen de code source Java.
• Le balayage des secrets examine les fichiers PowerShell (.ps1).
• Mises à jour des règles.
• Prise en charge de Makefile/GNUMakefile, d'eSQL et de Java 21.

  En outre, Java 21 est inclus dans le package Static Analyzer Command Line Utility (SAClientUtil).

• Journaux en temps réel pour les examens DAST : consultez les mises à jour des journaux en temps réel pendant les examens actifs.
• Mode support étendu : activez le mode de support étendu (ESM) pour les examens DAST afin de générer des journaux détaillés à des fins de support.
• Le moteur DAST est mis à jour vers la version 10.7.0.40885

• Plug-in IDE JetBrains
• Intégrations Jira, Azure DevOps et RTC DTS
• Intégration de la gestion des vulnérabilités ServiceNow
• Intégration personnalisée SDK AppScan

Pour plus de détails, voir Intégrations.

Notre technologie DAST leader sur le marché permet aux entreprises d'examiner les applications et les API en cours d'exécution pour détecter les vulnérabilités avant leur déploiement sur le Web. Le balayage incrémentiel et l'optimisation des tests permettent aux entreprises d'équilibrer la vitesse et la profondeur des analyses en fonction des besoins du cycle de développement.

• Un filtre de date a été ajouté à la page Groupes de correctifs. Affichez les groupes de correctifs en fonction d'une plage de dates et/ou de propriétés temporelles associées aux problèmes des composants.
• Une option de partage a été ajoutée au volet des détails du problème. Copiez un lien ou un identifiant de problème pour partager rapidement et efficacement les détails du problème par SMS ou par e-mail.

• La page Paramètres a été réorganisée et requiert désormais la confirmation des modifications apportées aux paramètres de la page.

• Azure : DAST, SAST
• Jenkins : DAST, SAST
• Visual Studio 2022 : SAST

Améliorations de l'expérience utilisateur :

• Groupes de fichiers métadonnées : le nouveau flux de suppression de groupe d'actifs simplifie le processus de suppression d'un groupe d'actifs. Les utilisateurs disposant de l'autorisation de supprimer un groupe d'actifs (rôles par défaut tels qu'Administrateur et Gestionnaire, ainsi que rôles personnalisés) peuvent supprimer un groupe d'actifs ainsi que ses applications associées, y compris les examens et les résultats, ce qui facilite la suppression des applications inutiles. Les utilisateurs peuvent également choisir de déplacer les applications vers un autre groupe d'actifs, avec ou sans leurs membres.
• Groupes de PTF : champ Commentaires ajouté au rapport de sécurité pour les groupes de correctifs, permettant une meilleure inclusion et un meilleur suivi des notes et des commentaires.

• Les principales améliorations apportées à l'analyse de résultats intelligente (IFA) pour Java, notre technologie de triage automatique IA/ML, incluent des résultats plus précis et une réduction des faux positifs. Les utilisateurs peuvent remarquer des résultats supplémentaires dans le code précédemment examiné en raison de l'amélioration de l'analyse et de la hiérarchisation.
• Découverte automatique des référentiels Git. Les chemins de fichier des nouveaux problèmes sont relatifs à la racine du référentiel.
• Couverture accrue pour le langage RPG.
• AppScan Go! mis à jour vers la version 2.0.0

  AppScan Go! vous guide tout au long de la configuration et de l'exécution d'une analyse statique ou des secrets avec une interface utilisateur actualisée et un flux de travail affiné. Vous pouvez exécuter un examen complet, préparer un fichier IRX pour un balayage ultérieur ou configurer des fichiers pour l'automatisation des examens avec les plug-ins AppScan. Vous pouvez également afficher les informations de compte dans l'outil.

• Prise en charge de l'analyse statique pour .NET 8.
• Précision améliorée pour les langages Java, JavaScript et Python.

• Déploiement dans n’importe quel environnement Kubernetes.
• Accepte la partie nom d'hôte du serveur Plateforme centrale AppScan (FQDN) de l'option '--server'.
• Le nom de la classe de stockage (--storage-class) doit être fourni pendant le déploiement.
• Le nom d'hôte d'entrée par défaut de Analyse statique AppScan 360° pour l'option '--ingress-host' passe de 'sast.appscan.com' à 'sast.example.com'.