Nouveautés d' AppScan on Cloud

• Mise à jour du client d'analyse statique vers la version 8.0.1650.
• Résolution du problème suivant : les échecs Maven/Gradle provoquaient l'échec de « Chemin 2 » dans l'AppScan Go!.
• Clarification des messages Failed in IAssemblyInfo call affichés dans la sortie de la console.
• Résolution du problème suivant : le chemin relatif Git échouait pour les fichiers situés à la racine du référentiel sur Linux.

• AppScan Go! mis à jour vers la version 2.3.0.
• La nouvelle procédure d'installation permet une détection de service plus intelligente.
• AppScan Go! détecte et renseigne désormais automatiquement l'URL de service correcte lors de la connexion.
• Les utilisateurs peuvent désormais autoriser l'intervention de notre équipe d'activation d'examens dans AppScan Go!.
• Les fichiers SCA spécifiés pour le balayage n'affichent plus de chemins absolus.
• Améliorations de l'interface utilisateur.

Au cours des prochaines semaines, l'équipe AppScan migrera les comptes pour utiliser le nouveau moteur SCA amélioré.

• Moteur d'analyse de la composition logicielle (SCA) mis à jour vers la version 3.
• Des résultats de balayage plus propres et plus fiables.

  Le nouveau moteur accroît nos capacités de détection déjà puissantes, et ce, en améliorant davantage la précision grâce à une réduction du bruit et à une meilleure précision des résultats.

• Base de données de vulnérabilités étendue.

  Identification plus rapide et précise des risques connus.

• La vue du graphique de dépendance est désormais disponible.

  Lorsque les données de dépendance sont disponibles dans un examen, une vue graphique visuelle est affichée, ce qui facilite la compréhension des relations et de l'impact des packages.

• Prise en charge étendue du balayage des fichiers de configuration.

  Fichiers de configuration C/C++, PHP et Java. Client d'analyse statique version 8.0.1646 requis.

• Mise à jour du client d'analyse statique vers la version 8.0.1646.
• Corrige un problème dans le cache de traitement parallèle Java pour les fichiers .irx générés localement.

• Mise à jour du client d'analyse statique vers la version 8.0.1645.
• Mises à jour des règles.
• Amélioration des performances IRGen lors de la découverte Git.
• Le balayage des secrets est désormais correctement activé à l'aide du paramètre Organisation.

• AppScan for Dev - vérificateur de l'absence de problèmes DAST : Ajout de l'option permettant de télécharger un script Python et de l'exécuter dans l'IDE.
• Télécharger le fichier d'examen pour les examens ayant échoué : vous pouvez désormais télécharger le fichier d'examen même si l'examen échoue pour un dépannage plus poussé dans AppScan Standard. Le fichier ne peut être téléchargé que si l'examen a commencé à s'exécuter.

• Ajout du statut « Supprimé » à la vue de la bibliothèque : Par défaut, la vue de la bibliothèque n'affiche pas d'informations sur les bibliothèques qui ont été supprimées de l'application. Vous pouvez désormais appliquer un filtre pour afficher les bibliothèques qui ont été supprimées et ces bibliothèques sont clairement indiquées avec l'état « Supprimé ».

• Mises à jour de personnalisation des rapports
  • Définissez un titre personnalisé pour vos rapports à l'aide de la mise en page du rapport.
  • Le type de rapport s'affiche dans les rapports générés.

• Nouvelle conception de la page d'abonnement : la page d'abonnement a été repensée pour améliorer l'expérience utilisateur.
• Tableaux :
  • Sélection des colonnes : la sélection des colonnes est organisée par catégorie pour améliorer la convivialité.
  • Copier à partir de la grille : cliquez avec le bouton droit de la souris sur n'importe quelle cellule du tableau pour copier facilement son contenu.

• Mises à jour vers le balayage C/C++.

• Les détails de l'analyse SCA incluent le statut de la bibliothèque : l'analyse SCA indique désormais si une bibliothèque est toujours présente dans le dernier examen, ce qui permet de suivre la progression de la résolution.

• Examens JavaScript : nouveau balayage hybride pour une meilleure précision lors du balayage du code source JavaScript, y compris l'analyse de flux corrompus.
• ICA 2.0 pour Java : les principales améliorations apportées à l'analyse de code intelligente (ICA) pour Java, notre descripteur de sécurité automatique IA/ML, incluent des constatations plus précises et une réduction du nombre de faux positifs.

• Analyseur IAST pour microservices (Node.js)
  • Vue graphique du service complet : fournit une visualisation complète de la façon dont vos microservices interagissent, offrant ainsi une meilleure visibilité sur leurs relations.
  • Réduction du nombre de faux positifs : améliore la précision de la détection des vulnérabilités en exploitant le graphique des services, ce qui permet de réduire le nombre d'alertes non pertinentes et de mieux concentrer les efforts de sécurité.

• Rapports sur la conformité mis à jour :
  • [US] DISA's Application Security and Development STIG V6R3
  • Rapport CWE : Les 25 vulnérabilités logicielles les plus dangereuses en 2024

• Mise à jour du client d'analyse statique vers la version 8.0.1640.
• Mises à jour des règles.

• AppScan for Dev - vérificateur de l'absence de problèmes DAST : Cette approche permet aux développeurs de simuler les vulnérabilités DAST qu'AppScan signale directement dans l'IDE ou le navigateur. Les développeurs peuvent exécuter un script généré par AppScan pour répliquer le problème, le déboguer et valider le correctif, le tout sans avoir besoin d'un nouvel examen et avant d'archiver le code.

• Plusieurs domaines d'un fichier de trafic : lors du chargement d'un fichier de trafic avec plusieurs domaines, ASoC ajoute automatiquement ces domaines à la liste « Domaines à tester » et marque ceux qui sont vérifiés pour les inclure dans l'examen.

• IAST pour microservices offre désormais une prise en charge améliorée des environnements Node.js Kubernetes, fournissant ainsi une solution non intrusive pour le déploiement automatique de l'agent IAST dans les pods Kubernetes. AppScan automatise l'intégration des agents à l'aide d'un script de déploiement. Cette nouvelle fonctionnalité facilite la gestion de nombreux conteneurs et permet aux environnements de test et de production d'utiliser l'image d'application d'origine sans modification. Cela permet d'obtenir une vue graphique complète de votre microservice, mais aussi d'identifier et de résoudre les problèmes de sécurité dès le début du cycle de développement.

• Un nouveau plug-in Centraleyezer vous permet d'importer et de gérer en toute transparence les données de vulnérabilité HCL AppScan on Cloud, y compris les examens DAST et SAST, au sein de la plateforme Centraleyezer Vulnerability Management, ce qui vous permet d'identifier, de hiérarchiser, de suivre et de résoudre les vulnérabilités de sécurité.
• Intégration avec CMD+CTRL Security pour une formation pratique et immersive sur le code sécurisé.

• Correctifs des bogues du moteur

• Correction d'un bug affectant les clients utilisant .NET Framework.

• Ajout de la prise en charge des clients utilisant Red Hat 8 avec PHP 8.2.
• Problèmes d'installation sur Windows résolus.
• Performances améliorées et optimisations diverses.
• Correctifs d'erreurs d'ordre général.

• Le rapport de sécurité répertorie l'URL du référentiel associé pour les problèmes.

• L'onglet Stratégies de test est désormais ajouté sous Organisation. Ici, vous pouvez gérer vos stratégies de test et télécharger une stratégie personnalisée que vous avez créée dans AppScan Standard ou AppScan Enterprise.
• L'onglet stratégies sous Organisation est désormais renommé Stratégies de conformité.

• Mise à jour des dépendances
• Corriger les privilèges de conteneur
• Corriger l'installation de Windows
• Le script d'installation peut obtenir le nom du registre en tant que paramètre, pour les clients utilisant un registre privé.

• La configuration d'Azure OpenAI améliore la précision en réduisant les faux positifs afin d'améliorer les résultats de test.

• Les rapports de nomenclature logicielle (SBOM), qui sont disponibles dans l'interface utilisateur de notre plateforme, sont désormais accessibles via l'API Swagger.

• Personnalisation de rapports : Personnalisez vos rapports avec votre identité de marque, en ajoutant facilement le logo de votre entreprise et en créant des en-têtes et des pieds de page personnalisés.
• Stratégies personnalisées : Les problèmes peuvent désormais être filtrés en fonction de la technologie, ainsi que d'autres options de filtrage déjà disponibles.

• Amélioration des performances.
• Réduction de la fréquence des communications de pulsation à AppScan on Cloud lorsque l'agent est désactivé.
• Algorithme amélioré pour la fusion de problèmes similaires.