Nouveautés d' HCL AppScan 360°

Utilisateur fonctionnel : Ajout de la possibilité de créer un compte de service pour faciliter les tâches automatisées et les intégrations système. Disponible via l'API uniquement.

• Top 10 OWASP pour les applications LLM 2025
• [Canada] Gestion des risques de sécurité informatique : Une approche du cycle de vie (ITSG-33)

• Norme internationale - ISO 27001:2022
• Norme internationale - ISO 27002:2022
• The Payment Card Industry Data Security Standard (PCI DSS) – V4.0.1
• Publication spéciale NIST 800-53 - 5.2.0
• [UE] Règlement général sur la protection des données (RGPD)
• [US] Health Insurance Portability and Accountability Act (HIPAA)

• Slack : Recevez des alertes de sécurité AppScan 360° et des notifications d'examen dans vos canaux Slack.
• Splunk : Connectez AppScan 360° à Splunk pour bénéficier d'une visibilité centralisée sur les données d'examen via des analyses et des tableaux de bord.
• Cursor AI : Intégrez à AppScan CodeSweep pour identifier et corriger les vulnérabilités pendant le codage assisté par l'IA.

• Améliorations de la connexion automatique : AppScan analyse désormais les applications Angular de manière plus fiable, corrige les rares échecs d'enregistrement de connexion et ajoute un délai entre les actions lors de la deuxième tentative après un échec de lecture, améliorant ainsi le taux de réussite global.
• Améliorations du masquage : Masquage amélioré sur AppScan pour une protection plus cohérente des informations sensibles.
• Amélioration de la prise en charge des analyses SPA (Single Page Applications) qui utilisent la structure AngularJS.
• Nouvelles règles de sécurité et règles de sécurité mises à jour.

• Prise en charge de la surveillance par IA générative : openai

• Une nouvelle option est désormais disponible pour télécharger l'agent Node en tant que fichier compressé autonome directement depuis AppScan 360°, pour les environnements isolés ou à accès restreint sans accès au registre npm public.
  Les clients peuvent désormais créer l'agent Node à l'aide de l'une des options suivantes :

  • Node.js (agent de npm) : récupère l'agent à partir du registre npm public, tandis que la clé est obtenue à partir de AppScan 360°. Il s'agit de la méthode existante, désormais renommée.
  • Node.js (agent de téléchargement) : télécharge l'agent Node depuis AppScan 360° sous forme de fichier compressé autonome, ce qui permet l'installation sans accès à npm.

• Prise en charge de la surveillance par IA générative : openai-java

• Prise en charge de la surveillance par IA générative : OpenAI
• Prise en charge de la communication avec AppScan 360° via le proxy.
• Prise en charge de l'analyseur IAST pour les microservices.
• Le nom et le chemin du fichier journal pour IAST peuvent désormais être configurés via la variable d'environnement secagent.log.

• Améliorations des performances et correctifs de bogues.

• Introduction d'une autre méthode d'installation à l'aide des graphiques Helm.
• Amélioration du traitement du filtrage de l'espace de noms.
• Possibilité d'ignorer des pods individuels de l'installation IAST en ajoutant le libellé skip-iast-webhook="true".
• Des limites ont été ajoutées à l'allocation de mémoire et d'UC du conteneur IAST.
• Les pods ne sont plus affectés lorsque le serveur webhook IAST n'est pas disponible.
• Synchronisation automatique des mutations : Le serveur webhook synchronise désormais automatiquement MutatingWebhookConfiguration lors des déploiements et des mises à niveau Helm avec la configuration d'espace de noms mise à jour.

• La fonction de corrélation a été mise à jour pour identifier les corrélations entre les résultats IAST et les résultats SAST à partir des examens de code source.

• La nouvelle procédure d'installation permet une détection de service plus intelligente.
• AppScan Go! détecte et renseigne désormais automatiquement l'URL de service correcte lors de la connexion.
• Les fichiers SCA spécifiés pour le balayage n'affichent plus de chemins absolus.
• Améliorations de l'interface utilisateur.

• Le nouveau moteur SCA d'AppScan inclut désormais des fonctionnalités intégrées de détection des programmes malveillants. Cette amélioration examine automatiquement les composants Open Source et tiers à la recherche de packages malveillants ou compromis connus, ce qui aide les équipes à identifier et à atténuer les risques potentiels de la chaîne d'approvisionnement dès le début du processus de développement.
• Les bibliothèques malveillantes apparaissent désormais lors de la génération d'un rapport sur les licences Open Source.

Pour plus d'informations, voir Emplacements des fichiers d'installation.

Prise en charge d'Entra ID (Azure AD) pour SSO : HCL AppScan 360° prend désormais entièrement en charge Microsoft Entra ID pour une intégration à authentification unique (SSO) transparente, améliorant ainsi la sécurité et offrant une expérience d'authentification plus fluide.

Programme d'installation d'une machine virtuelle unique : Les nouveaux modes Rapide et Personnalisé simplifient les déploiements.

Installation répartie : La nouvelle validation des prérequis garantit que votre environnement est prêt avant un déploiement complet.

• Prise en charge des espaces de noms unifiés : Déployez tous les composants dans un espace de noms unique et défini par l'utilisateur (via -n) pour simplifier le contrôle, la surveillance et le nettoyage des accès basés sur les rôles.
• Épinglage de version avec balises : Installez des versions avec balises spécifiques pour des déploiements contrôlés et reproductibles et des restaurations plus faciles.
• Chemin d'archivage manuel : Option d'installation sans Git pour les environnements restreints ou isolés.

Authentification unique (SSO) : HCL AppScan 360° prend désormais en charge l'authentification basée sur OIDC, vérifiée avec Okta et Keycloak.

LDAP Domino ; La nouvelle prise en charge des serveurs Domino LDAP offre des options d'authentification d'entreprise supplémentaires.

• Rapports de conformité mis à jour :
  • [US] DISA's Application Security and Development STIG V6R3
  • Rapport CWE : Les 25 vulnérabilités logicielles les plus dangereuses en 2024

• Sélection des colonnes : la sélection des colonnes est organisée par catégorie pour améliorer la convivialité.
• Copier à partir de la grille : cliquez avec le bouton droit de la souris sur n'importe quelle cellule du tableau pour copier facilement son contenu.

AppScan 360° peut désormais envoyer les résultats d'examen directement à Centraleyzer, ce qui permet une gestion unifiée des résultats de sécurité sur l'ensemble des outils.

Les plug-ins AppScan 360° prennent désormais en charge les examens SCA.

Le portail My HCLSoftware (MHS) a remplacé le portail FlexNet Operations (FNO) pour la gestion des licences. FNO n'est plus pris en charge depuis le 30 juin 2025.

• AppScan 360° 1.6.0 et versions antérieures ne sera plus disponible après le 30 juin 2025.
• La version non FIPS 1.6.1 d'AppScan 360° est disponible au téléchargement à partir du portail My HCLSoftware (MHS) uniquement.
• La version compatible FIPS 1.6.1 d'AppScan 360° est disponible sur Four, Inc.

• HCL AppScan 360° Peut être installé à l'aide du kit d'installation d'une machine virtuelle unique hors ligne. Seul le mode d'installation a changé, le contenu du kit d'installation reste le même que la version 1.5.0.

• Installation simple avec une seule commande Helm.
• Configuration allégée à l'aide d'images Docker provenant du registre de conteneurs HCL Harbor.
• Optimisé pour les infrastructures basées sur Kubernetes.

• Mise à jour du client d'analyse statique vers la version 8.0.1604.
• Prise en charge de HTML.
• Prise en charge supplémentaire du balayage Python Django.
• Mises à jour du balayage des secrets.
• Ajout d'une nouvelle commande CLI pour récupérer les journaux.
• Mises à jour des règles d'examen.
• AppScan Go! mis à jour vers la version 2.2.0.
  • Les noms d'examen autorisent l'utilisation de caractères spéciaux.
  • Le préfixe static_ n'est plus inclus automatiquement dans le nom de l'examen.
  • Balayage des secrets par examen activé par défaut.
  • Améliorations de l'interface utilisateur.
  • Correctifs d'erreurs d'ordre général.

Vous pouvez choisir d'installer AppScan 360° dans un environnement Kubernetes distribué (installation standard) ou sur une machine virtuelle unique. L'installation sur une seule machine virtuelle offre un déploiement autonome de AppScan 360°, y compris la configuration de Kubernetes, pour les environnements plus petits lorsqu'un accès simultané élevé n'est pas nécessaire, ou dans le cadre de la planification des installations distribuées suivantes.

• Politiques et rapports nouveaux ou mis à jour sur la conformité et les normes de l'industrie :
  • Directive relative à la sécurité des réseaux et des informations (NIS2)
  • Rapport OWASP Top 10 Cloud-Native Application Security
  • Rapport OWASP Top 10 API Security 2023
  • Rapport CWE Top 25 Most Dangerous Software Weaknesses 2023
  • [US] DISA's Application Security and Development STIG, Version 5 Release 3
  • PCI DSS (Payment Card Industry Data Security Standard), Version 4
• Propagation automatique des commentaires : propage automatiquement les derniers commentaires relatifs à un problème et le statut de celui-ci depuis une autre application vers l'application actuelle. Cela garantit que le statut et les commentaires sont mis à jour de manière cohérente, fournissant ainsi un enregistrement complet et synchronisé sur le problème dans toutes les applications.
• Lien vers le référentiel dans l'onglet Détails du problème : le champ « Emplacement » de l'onglet Détails du problème inclut un lien vers le fichier et la ligne spécifiés dans le référentiel de code source, le cas échéant. Cela permet d'accéder directement au code pertinent sans changer d'onglet.

• Mise à jour du client d'analyse statique vers la version 8.0.1577.
• Mise à jour d'AppScan Go! vers la version 2.1.1.
  • Ajout de la possibilité d'examiner les référentiels SCM dans AppScan Go! avec une URL.
  • AppScan Go! recommande désormais automatiquement le mode d'examen, soit bytecode/compiled, soit code source.
• Les analyses SAST peuvent désormais être configurées et programmées pour extraire le code source directement à partir d'un référentiel GitHub public. Voir Examiner un référentiel GitHub.
• Tout en triant les résultats SAST, les utilisateurs peuvent afficher le code source correspondant directement sur GitHub.com.
• Les résultats peuvent désormais être filtrés par nom de fichier ou par chemin, ce qui rend le tri plus efficace en se concentrant sur des zones spécifiques de la base de code.
• La commande CLI queue_analysis affiche les ID d'examen pour l'analyse statique (SAST).
• IFA 2.0 activé pour les résultats de trace .NET.
• Améliorations apportées à l'examen de secrets et à l'examen de code source Java.
• Le balayage des secrets examine les fichiers PowerShell (.ps1).
• Mises à jour des règles.
• Prise en charge de Makefile/GNUMakefile, d'eSQL et de Java 21.

  En outre, Java 21 est inclus dans le package Static Analyzer Command Line Utility (SAClientUtil).

• Journaux en temps réel pour les examens DAST : consultez les mises à jour des journaux en temps réel pendant les examens actifs.
• Mode support étendu : activez le mode de support étendu (ESM) pour les examens DAST afin de générer des journaux détaillés à des fins de support.
• Le moteur DAST est mis à jour vers la version 10.7.0.40885

• Plug-in IDE JetBrains
• Intégrations Jira, Azure DevOps et RTC DTS
• Intégration de la gestion des vulnérabilités ServiceNow
• Intégration personnalisée SDK AppScan

Pour plus de détails, voir Intégrations.

Notre technologie DAST leader sur le marché permet aux entreprises d'examiner les applications et les API en cours d'exécution pour détecter les vulnérabilités avant leur déploiement sur le Web. Le balayage incrémentiel et l'optimisation des tests permettent aux entreprises d'équilibrer la vitesse et la profondeur des analyses en fonction des besoins du cycle de développement.

• Un filtre de date a été ajouté à la page Groupes de correctifs. Affichez les groupes de correctifs en fonction d'une plage de dates et/ou de propriétés temporelles associées aux problèmes des composants.
• Une option de partage a été ajoutée au volet des détails du problème. Copiez un lien ou un identifiant de problème pour partager rapidement et efficacement les détails du problème par SMS ou par e-mail.

• La page Paramètres a été réorganisée et requiert désormais la confirmation des modifications apportées aux paramètres de la page.

• Azure : DAST, SAST
• Jenkins : DAST, SAST
• Visual Studio 2022 : SAST

Améliorations de l'expérience utilisateur :

• Groupes de fichiers métadonnées : le nouveau flux de suppression de groupe d'actifs simplifie le processus de suppression d'un groupe d'actifs. Les utilisateurs disposant de l'autorisation de supprimer un groupe d'actifs (rôles par défaut tels qu'Administrateur et Gestionnaire, ainsi que rôles personnalisés) peuvent supprimer un groupe d'actifs ainsi que ses applications associées, y compris les examens et les résultats, ce qui facilite la suppression des applications inutiles. Les utilisateurs peuvent également choisir de déplacer les applications vers un autre groupe d'actifs, avec ou sans leurs membres.
• Groupes de PTF : champ Commentaires ajouté au rapport de sécurité pour les groupes de correctifs, permettant une meilleure inclusion et un meilleur suivi des notes et des commentaires.

• Les principales améliorations apportées à l'analyse de résultats intelligente (IFA) pour Java, notre technologie de triage automatique IA/ML, incluent des résultats plus précis et une réduction des faux positifs. Les utilisateurs peuvent remarquer des résultats supplémentaires dans le code précédemment examiné en raison de l'amélioration de l'analyse et de la hiérarchisation.
• Découverte automatique des référentiels Git. Les chemins de fichier des nouveaux problèmes sont relatifs à la racine du référentiel.
• Couverture accrue pour le langage RPG.
• AppScan Go! mis à jour vers la version 2.0.0

  AppScan Go! vous guide tout au long de la configuration et de l'exécution d'une analyse statique ou des secrets avec une interface utilisateur actualisée et un flux de travail affiné. Vous pouvez exécuter un examen complet, préparer un fichier IRX pour un balayage ultérieur ou configurer des fichiers pour l'automatisation des examens avec les plug-ins AppScan. Vous pouvez également afficher les informations de compte dans l'outil.

• Prise en charge de l'analyse statique pour .NET 8.
• Précision améliorée pour les langages Java, JavaScript et Python.

• Déploiement dans n’importe quel environnement Kubernetes.
• Accepte la partie nom d'hôte du serveur Plateforme centrale AppScan (FQDN) de l'option '--server'.
• Le nom de la classe de stockage (--storage-class) doit être fourni pendant le déploiement.
• Le nom d'hôte d'entrée par défaut de Analyse statique AppScan 360° pour l'option '--ingress-host' passe de 'sast.appscan.com' à 'sast.example.com'.