Mises à jour précédentes de 2023 à 2024

• Améliorer les rapports et éviter de signaler des problèmes similaires

• Prise en charge pour .NET 9
• Prise en charge de Rabbit MQ
• Nouveaux types de problèmes PasswordLeakageDB (CWE 256) et PasswordLeakageSentData (CWE 201)

• Utilisation de Curl pour la communication avec ASoC au lieu du client intégré (nécessite l'installation de Curl sur la machine exécutant IAST)
• Prise en charge de l'installation de l'agent sur Ubuntu 24
• Nouvelle vulnérabilité : Redirection non validée (CWE 601)
• Nouvelle vulnérabilité : Fuite de mot de passe dans la réponse HTTP (CWE 256)

• Réduisez la fréquence des communications de pulsation à ASoC lorsque l'agent est désactivé.

• Bibliothèque intégrée et données de vulnérabilité : Les informations sur la bibliothèque et la licence Open Source sont désormais consultables sur le nouvel onglet Bibliothèque, situé sur la fenêtre Informations sur les problèmes, offrant une vue complète de l'impact des composants Open Source sur votre application et permettant de mieux gérer les risques de sécurité et les exigences de conformité.

• Stratégie de test prédéfinie : Vous pouvez désormais choisir une stratégie de test prédéfinie, qui exécutera uniquement les tests pertinents qui sont importants pour vous et réduira le temps d'examen. Pour plus d'informations, voir Stratégie de test.
• Exclure/exception : Configurez les examens DAST pour ignorer des chemins d'application spécifiques et ajoutez une exception (inclure) à un chemin exclu, ce qui permet des examens ciblés et plus rapides. Pour plus d'informations, voir Exclure des chemins.
• Prise en charge du retest et des tests continus lors du chargement d'un fichier d'examen et ajout de plus de clarté aux options de test lors du chargement d'un fichier modèle.

• Mises à jour apportées au tableau de bord : Filtres de tableau de bord mis à jour, y compris la possibilité de filtrer le tableau de bord par application.

• La page Intégrations ASoC a été modifiée pour inclure une liste complète de toutes les intégrations disponibles.

• Prise en charge de PHP 7.4 sur Ubuntu
• Prise en charge de la communication avec AppScan Enterprise
• Prise en charge des vulnérabilités liées aux cookies non sécurisés (CWE 614, 1004)
• Prise en charge des fuites de mots de passe dans la base de données et des vulnérabilités de réponse (CWE 201, 256)
• Amélioration de la stabilité dans différents environnements
• Correction de l'installation sur Apache
• Correctifs de bogues

• Correction de l'installation sur Linux
• Prise en charge de l'installation d'agents uniquement sur les espaces de noms spécifiés

• Lorsque la fermeture automatique des problèmes est activée et qu'aucune bibliothèque Open Source n'est trouvée lors du nouvel examen, la bibliothèque est traitée comme d'autres problèmes d'examen et supprimée des résultats de l'examen.
• Mises à jour apportées à Runtime SCA.

• Tests API : Sécurisez vos API en toute transparence avec notre nouveau flux de travaux d'examen d'API natif, en veillant à ce que les vulnérabilités soient détectées et corrigées dès le début du processus de développement. Cette version prend en charge les flux de travaux d'examen d'API utilisant Postman et l'enregistrement manuel. Bénéficiez d'une prise en charge transparente des flux de travaux d'examen d'API supplémentaires dans les prochaines mises à jour.
• Détection des composants tiers vulnérables : Cette nouvelle fonctionnalité améliore les capacités DAST existantes en identifiant les technologies client et serveur les plus utilisées et en signalant leurs vulnérabilités.

• Mises à jour apportées au tableau de bord : Ajout de cartes Examens, Technologie et SCA au tableau de bord. Cela vous permet d'afficher les examens ou les applications par technologie et d'afficher les cinq principales licences des applications SCA.
• Thème sombre : Vous pouvez maintenant opter pour le thème sombre dans AppScan on Cloud.
• Mises à jour apportées à la création d'applications : L'impact sur l'activité par défaut est définie sur moyen et ajouté à la configuration rapide de l'application au lieu de Presence.
• Gravité/statut du problème : Vous pouvez mettre à jour la gravité du problème ou le statut d'un problème individuel dans la vue Détails du problème.
• Suppression du statut « Nouveau » : Le statut du problème « Nouveau » précédemment obsolète est désormais complètement supprimé d'ASoC.
• Les noms des applications peuvent désormais comporter jusqu'à 120 caractères.

• Extension HCL AppScan Visual Studio pour Visual Studio 2022
  • Prise en charge de la création d'examens SAST et SCA sur HCL AppScan on Cloud depuis l'IDE Visual Studio 2022.
  • Prise en charge des options de configuration d'examen depuis l'IDE. Vous pouvez également afficher des informations sur les examens lancés via le nouvel onglet « Mes examens » de l'IDE Visual Studio.
• Plug-in HCL AppScan Jenkins
  • Prise en charge de réexamen des examens SAST et SCA dans HCL AppScan on Cloud
• Plug-in HCL AppScan Azure
  • Prise en charge de réexamen des examens SAST et SCA dans HCL AppScan on Cloud.

• Utilisez le type de problème mis à jour pour les problèmes de runtime SCA.
• Affichage de l'URL dans le champ de signature de méthode pour les problèmes sans pile, à afficher dans le champ de l'emplacement dans AppScan on Cloud.
• Amélioration de la prise en charge de RabbitMQ.
• Utilisation de nouveaux types de problèmes : PasswordLeakageDB et PasswordLeakageSentData.

• Utilisez le type de problème mis à jour pour les problèmes de runtime SCA.
• Affichage de l'URL dans le champ de signature de méthode pour les problèmes sans pile, à afficher dans le champ de l'emplacement dans AppScan on Cloud.

• La version 2 de l'API REST est devenue obsolète le 30 juillet 2024, n'est plus prise en charge et sera bientôt supprimée. Veuillez utiliser l'API REST V4 à la place. Consultez la présentation technique pour obtenir de l'aide sur la migration vers l'API mise à jour.

• Nouvel agent IAST .NET (1.11.2)
  • Prise en charge de runtime SCA.
  • Méthode d'installation alternative à NuGet, à l'aide d'un startup hook.

• Mise à jour du client d'analyse statique vers la version 8.0.1574.
• Prise en charge de Java 21. Java 21 est également inclus dans le package Utilitaire de ligne de commande Static Analyzer (SAClientUtil).
• La commande CLI queue_analysis affiche les identifiants d'examen pour l'analyse statique (SAST) et Software Composition Analysis (SCA).
• Ajout des paramètres --oso et --sao à la commande appscan queue_analysis pour spécifier l'examen Open Source uniquement ou l'analyse statique uniquement.
• IFA 2.0 activé pour les résultats de trace .NET.
• Le balayage des secrets examine les fichiers PowerShell (.ps1).
• Lorsque les utilisateurs disposent de plus de 5 000 applications, examinez les soumissions à partir de l'interface de ligne de commande ou AppScan Go! n'échoue plus.
• Mises à jour des règles pour Angular, ASP, CSS, Dart, l'examen de code source Java, JavaScript, JQuery, Objective-C, PHP, Python, l'examen de secrets, TerraForm, TypeScript et VueJS.
• Correctifs d'erreurs d'ordre général.

• Nouvelle fonctionnalité de mise à jour automatique pour utiliser l'API REST v4 AppScan on Cloud.
• Correction des vulnérabilités de tiers.

• Correction automatique : Une sélection de recommandations de correction automatique est désormais fournie avec une explication résumée par l'IA générative dans l'interface utilisateur de AppScan on Cloud. La correction automatique était auparavant disponible uniquement dans le plug-in IDE CodeSweep.
• Intégration GitHub Enterprise pour le balayage de référentiel SAST : exécutez des examens d'analyses statiques sur les référentiels GitHub Enterprise.

• Gestion des domaines : gérez les domaines au sein de votre organisation, y compris les autorisations sur différents groupes d'actifs et les autorisations de domaine, sans avoir à les vérifier. Cette fonctionnalité est désormais disponible pour les abonnements Silver, Gold, Platinum et par application. Contactez l'équipe d'assistance pour obtenir de l'aide relative à la migration de la vérification des domaines à la gestion des domaines.

• Runtime SCA : en s'appuyant sur la fonctionnalité IAST, SCA peut identifier et gérer les vulnérabilités dans les composants et bibliothèques Open Source utilisés par une application au moment de l'exécution. Runtime SCA offre une vue plus précise sur les vulnérabilités potentielles, ce qui facilite l'identification des priorités en matière de résolution des problèmes.
• Détection de logiciels malveillants : Software Composition Analysis détecte et signale les bibliothèques Open Source suspectées d'être des logiciels malveillants. A partir d'une approche complète et avancée combinant analyse automatisée et expertise humaine, AppScan examine plusieurs référentiels et effectue une analyse multidomaine, pour une évaluation globale de la sécurité. Notre surveillance continue des mises à jour des packages, associée à la détection ciblée des attaques et à l'analyse binaire, permet de découvrir les menaces cachées. Notre équipe d'experts examine les résultats suspects pour garantir l'exactitude des résultats.
• Identification de la méthode et de la dépendance racine : les détails de la méthode et de la dépendance racine de SCA améliorent la détection et l'analyse des bibliothèques au sein d'un projet logiciel. La racine de dépendance représente la bibliothèque d'origine qui a démarré l'inclusion d'autres bibliothèques ayant entraîné l'inclusion d'une bibliothèque vulnérable, permettant ainsi aux utilisateurs de comprendre l'origine d'un package vulnérable. La hiérarchie complète des dépendances et des informations sont incluses dans le rapport SBOM.

• IAST pour Kubernetes : AppScan prend en charge l'installation automatique des agents IAST sur les clusters Kubernetes, offrant ainsi une prise en charge des applications Java, .Net et Node.js.

• Nouveaux rapports et nouvelles règles de conformité :
  • Directive relative à la sécurité des réseaux et des informations (NIS2)
  • Rapport OWASP Top 10 Cloud-Native Application Security
• Propagation automatique des commentaires : propage automatiquement les derniers commentaires relatifs à un problème et le statut de celui-ci depuis une autre application vers l'application actuelle. Cela garantit que le statut et les commentaires sont mis à jour de manière cohérente, fournissant ainsi un enregistrement complet et synchronisé sur le problème dans toutes les applications.

• La page Plug-ins et API a été renommée Intégrations afin de fournir une représentation plus claire et intuitive des diverses intégrations et personnalisations tierces disponibles dans AppScan on Cloud.
• Ajout du plug-in Jira Cloud et de l'interface de ligne de commande AppScan on Cloud.
• Suppression de la structure d'automatisation AppScan.

• Prise en charge de RabbitMQ en tant que source et collecteur.
• Prise en charge des vulnérabilités de type Privacy.DataLeakage, signalées lorsqu'un mot de passe est écrit non chiffré dans la base de données ou la réponse.
• Prise en charge des vulnérabilités de type AppDOS.Flood, signalées lorsqu'une application Vert.x ne définit pas de limites au corps d'une requête.
• Fusion des rapports répétés sur les cookies non sécurisés et HTTP uniquement lorsque la source est similaire.

• Réduisez les dépendances des agents pour éviter les conflits d'applications.

• Les analyses SAST peuvent désormais être configurées et programmées pour extraire le code source directement à partir d'un référentiel GitHub public. Voir Examiner un référentiel GitHub.
• Tout en triant les résultats SAST, les utilisateurs peuvent afficher le code source correspondant directement sur GitHub.com.
• Les résultats peuvent désormais être filtrés par nom de fichier ou par chemin, ce qui rend le tri plus efficace en se concentrant sur des zones spécifiques de la base de code.

• L'Assistant de vérification de domaine a été amélioré pour permettre aux utilisateurs de tester la connexion après avoir placé le fichier dans le dossier racine. Les domaines en attente de vérification pendant plus de 30 jours seront supprimés. Les domaines restent en attente jusqu'à ce que le fichier de vérification soit détecté dans le dossier racine ou que la vérification de l'e-mail soit confirmée.

• Deux nouveaux rapports standard ont été ajoutés :
  • Rapport OWASP Top 10 API Security 2023
  • Rapport CWE Top 25 Most Dangerous Software Weaknesses 2023
• Les rapports suivants ont été mis à jour :
  • [US] DISA's Application Security and Development STIG, Version 5 Release 3
  • PCI DSS (Payment Card Industry Data Security Standard), Version 4

• Cette page fournit des informations en temps réel sur le statut opérationnel de l'AppScan on Cloudentretien et de la maintenance planifiée. Il est désormais accessible depuis le portail AppScan on Cloud.
• Vous pouvez accéder à cette page à partir des emplacements suivants :
  • Dans le portail AppScan on Cloud, la pageRessources AppScan est accessible dans le menu Support en haut de chaque page. Un lien vers la page de statut du service se trouve au bas de la page Ressources AppScan.
  • AppScan on Cloud Documentation : le lien vers la page de statut est inclus sur la page de Démarrage de la section Ressources produit.
  • Vous pouvez ajouter l'URL directement à vos favoris : pageStatut du service AppScan on Cloud.

• Prise en charge de Vertx version 3.x.
• Découverte des points de terminaison API pour Vertx.

• Mettre à jour les dépendances
• Déploiement alternatif de l'agent .NET core pendant l'exécution sans avoir besoin de le compiler (Beta).

• La boîte de dialogue Créer un examen a été repensée pour optimiser le flux de travaux pour le balayage DAST.
• La page Paramètres a été réorganisée et requiert désormais la confirmation des modifications apportées aux paramètres de la page.
• La page Groupes de corrélations a été repensée pour une plus grande facilité d'utilisation.

• Amélioration de la prise en charge des clients utilisant la structure Vertx.
• Prise en charge de la découverte de composants et d'un rapport de pile plus précis pour IAST Total.

• Prise en charge de PHP 8.3 sur Ubuntu.
• Prend en charge les variables d'environnement à partir des fichiers de configuration du serveur.

Mise à jour du client d'analyse statique vers la version 8.0.1561.

• Ajout de la prise en charge de la structure VertX.

• Ajout de la prise en charge du protocole .NET 8.
• Prise en charge améliorée d'IAST Total sur .NET.
• Optimisation.

AppScan Go! vous guide tout au long de la configuration et de l'exécution d'une analyse statique, SCA ou des secrets avec une interface utilisateur actualisée et un flux de travail affiné. Vous pouvez exécuter un examen complet, préparer un fichier IRX pour un balayage ultérieur ou configurer des fichiers pour automatiser des examens avec des AppScan plug-ins. Vous pouvez également afficher les informations de compte dans l'outil.

Cette séparation des technologies de balayage statique et Open Source permet une plus grande flexibilité dans les stratégies de test. Vous pouvez examiner uniquement les bibliothèques Open Source à l'aide de la SCA et traiter les problèmes dans une vue d'examen unique spécifique à la SCA ou exécuter un balayage statique et Open Source sur les fichiers, selon les besoins de votre organisation.

Les options de test de l'assistant DAST vous permettent de spécifier si vous souhaitez envoyer des tests aux pages de connexion et de déconnexion.

Les groupes d'actifs sont un moyen utile de gérer l'accès des utilisateurs aux données. Grâce à cette interface utilisateur mise à jour, vous pouvez facilement définir et gérer des groupes d'actifs, et ainsi mieux gérer les membres de l'équipe qui travaillent avec des données spécifiques.

AppScan on Cloud identifie les vulnérabilités de sécurité dans les feuilles de style en cascade, y compris les scripts intersites, les injections et la validation.

L'Utilitaire de ligne de commande Static Analyzer peut être configuré pour exploiter un environnement WebSphere afin d'utiliser le compilateur JSP inclus avec WebSphere.

AppScan on Cloud a amélioré la vérification du contenu PHP dans les fichiers HTML.

L'équipe de développement de AppScan examine régulièrement les fonctionnalités et le code, en effectuant des ajustements sur une base continue pour fournir une fonctionnalité de balayage optimale.

• Correction du message affiché lorsque l'utilisateur définit des paramètres proxy incorrects.
• Mise à jour du journal IAST pour inclure la date et l'heure.

• « API détectées » est un nouveau type de problème utilisé à la place du type de problème « Divers » pour les problèmes qui indiquent la liste complète des API de l'application.
• Amélioration du processus de déploiement : La définition de la variable d'environnement BC_SB n'est plus nécessaire dans Java versions 9 et ultérieures.
• Prise en charge d'une structure supplémentaire pour Java : Spring 6.
• Tests OWASP : Journalisation améliorée à des fins de démonstration. Pour plus d'informations, voir OWASP Benchmark avec l'agent IAST.

• Prise en charge de l'examen incrémentiel qui raccourcit considérablement les nouveaux examens DAST en identifiant de nouvelles zones et modifications dans l'application et en concentrant l'examen sur celles-ci.

• Une mise à jour : Comme décrit dans Nouveau le 5 septembre 2023, seuls les résultats AppScan Standard chargés dans AppScan on Cloud via AppScan Connect incluront les résultats des composants vulnérables. A l'heure actuelle, l'examen DAST sur ASoC ne prend pas en charge cette fonctionnalité.

• Vue d'examen unique : Inclut désormais l'option d'affichage des problèmes actifs, en plus du nombre total de problèmes et des nouveaux problèmes. Les problèmes actifs sont ceux qui ont le statut « Nouveau (obsolète) », « Ouvert », « En cours » ou « Réouvert ». En outre, des améliorations ont été apportées au graphique « Problèmes par gravité ».
• Vous pouvez désormais attribuer jusqu'à trois instances Presence uniques et limiter l'examen de l'application à ces instances uniquement.

Utilisez les options --enableSecrets et --secretsOnly pour examiner les secrets.

• Créer une application : La nouvelle configuration rapide vous permet de créer l'application en attribuant un nom et un groupe d'actifs uniquement. Vous pouvez ajouter des paramètres supplémentaires ultérieurement à l'aide de la boîte de dialogue Editer une application.
• Les utilisateurs disposant d'un droit peuvent désormais créer un nouveau groupe d'actifs à partir des boîtes de dialogue Créer et Editer une application.

• L'assistant de configuration des examens prend désormais en charge l'ajout de domaines supplémentaires à l'examen.
• Tableau de bord : Le graphique « Applications avec le plus de problèmes actifs » remplace le graphique « Types de problèmes courants ».
• L'option permettant de sélectionner un environnement de transfert ou de production a été supprimée en raison de l'ajout de nouvelles options de configuration telles que le remplissage automatique du formulaire. Pour plus de détails, voir appseccloud_ref_faq.html#FAQ__why

• Créer une API d'examen : Le nombre de threads DAST prend désormais en charge jusqu'à 20 threads.
• Les informations Open Source sont désormais affichées avec des données plus consolidées et plus précises, au niveau de la bibliothèque et non au niveau du fichier.

• Mise à jour des icônes et logos
• Correctifs d'erreurs d'ordre général

• Améliorations des performances
• Ajout de nouvelles vulnérabilités :
  • L'API Sensitive nécessite une journalisation – CWE 778, (A09:2021 –Journalisation et surveillance de sécurité dans la liste OWASP Top 10 2021). Prise en charge pour les applications utilisant log4j.
  • Injection d'expression régulière (CWE 624).
• Détection d'API : Un nouveau problème signale toutes les API détectées dans une application. Prise en charge pour les applications Spring.

• Correction de bogues et amélioration des performances
• Prise en charge de WebSockets dans .NET Core
• Nouveaux types de vulnérabilités : En-tête « Content-Security-Policy » manquant (CWE 1032), en-tête de sécurité « Referrer Policy » manquant (CWE 200)
• Support de base pour les clients qui utilisent System.Net.WebClient