Nouveautés de HCL AppScan® Enterprise

Cette section décrit les nouvelles fonctionnalités et améliorations du produit AppScan Enterprise dans cette version, ainsi que les éléments obsolètes et les modifications prévues, le cas échéant.

Nouveautés de HCL AppScan® Enterprise

Remarque :
Les versions 10.6.0 et antérieures ont atteint la fin de la prise en charge, nous les avons donc supprimées de la documentation.

Nouveautés de HCL AppScan® Enterprise 10.11.0

  • Contrôle d'accès défaillant : Vous pouvez désormais identifier plus facilement les vulnérabilités de contrôle d'accès défaillant en téléchargeant des fichiers de trafic pour comparaison. Cette nouvelle fonctionnalité est disponible exclusivement via le point d'extrémité de l'API REST : POST /jobs/{jobId}/brokenaccesscontrol/add.
  • Mise à jour de l'affichage CVSS : Pour les vulnérabilités nouvellement signalées, le vecteur et le score CVSS 4.0 sont affichés. Cependant, la gravité du problème continue d'être calculée selon les normes CVSS 3.1.
  • DAST-IFA - détection de page d'erreur : La détection de page d'erreur DAST-IFA prend désormais en charge les modèles Azure OpenAI 5.x.
  • Prise en charge d'IPv6 : AppScan Enterprise prend désormais en charge les infrastructures réseau modernes compatibles IPv6. Pour plus d'informations, consultez l'article de la base de connaissances.
  • Vérification de la sécurité du chiffrement post-quantique : AppScan signale désormais les protocoles de chiffrement hérités qui ne répondent pas aux normes de sécurité post-quantiques, permettant aux équipes de migrer de manière proactive vers un chiffrement résistant aux quantiques avant que ces technologies ne deviennent une menace.
  • Visibilité OpenAPI : Une alerte informative est désormais déclenchée lorsqu'un fichier de définition Swagger ou OpenAPI est découvert pour garantir la visibilité de l'API.
  • Améliorations de la connexion automatique : Les capacités de connexion automatique ont été améliorées, y compris la nouvelle prise en charge du framework Vue.js.
  • Nouveau rapport de conformité : Le rapport OWASP Top 10 2025 a été ajouté.
  • Amélioration du journal d'activité : Le journal d'activité a été amélioré pour inclure des détails sur les actions 'Modifier'.
  • Améliorations de la journalisation du système : La journalisation a été améliorée dans l'ensemble du module Security Updater, de l'assistant de configuration et du flux de génération de rapports pour fournir des journaux d'erreurs et de flux détaillés facilitant le débogage.
  • Validation de licence : AppScan inclut désormais une vérification de validité de date pour s'assurer qu'au moins un de vos droits de licence est actif à la date actuelle, et non à une date future.
  • Améliorations du vecteur CVSS 3.1 : Le vecteur CVSS 3.1 inclut désormais les métriques environnementales, en plus des métriques de base et temporelles existantes. Vous pouvez afficher les informations complètes du vecteur CVSS 3.1 dans l'onglet Moniteur (y compris la boîte de dialogue de vue du problème) et dans les rapports de sécurité, de normes de l'industrie et de conformité réglementaire générés. Ces informations sont également accessibles via les points d'extrémité de l'API REST suivants :
    • GET /issues/{issueId}/application/{appId}
    • POST /issues/reports/securitydetails
    • POST /issues/reports/industrystandard
    • POST /issues/reports/regulatorycompliance

Mises à jour de l'agent IAST

Les agents IAST ont été mis à niveau vers les versions suivantes :
  • Java: 1.22.1
  • .NET: 1.16.0
  • Node.js: 1.14.2
  • PHP: 1.2.2

Liste des correctifs APAR

Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :

N° APAR Description
KB0127901 Résolution d'un problème où le contenu de la demande et de la réponse n'était pas formaté pour les problèmes importés depuis AppScan Standard.
KB0093026 Résolution d'un problème où les informations "Comment corriger" ou les avis pour les types de problèmes définis par l'utilisateur manquaient dans les rapports de sécurité et la boîte de dialogue de vue du problème.
KB0094972 Résolution d'un problème qui empêchait l'exportation de problèmes ou de rapports depuis l'onglet Moniteur s'ils contenaient des tests définis par l'utilisateur.
KB0128370 Résolution d'une divergence où le texte de raisonnement pour le même problème de composant vulnérable différait entre les rapports AppScan Enterprise et AppScan Standard.
KB0128321 Résolution d'une erreur qui se produisait lors de l'utilisation du paramètre "columns" pour récupérer les détails du problème pour un ID de travail via l'API.
KB0129448 Résolution d'un problème où des tentatives de connexion valides échouaient pour l'ancienne API /ase/services/login.
KB0128692 Résolution d'un problème où les travaux d'analyse s'arrêtaient peu après leur lancement et renvoyaient une erreur "Référence d'objet non définie sur une instance d'un objet".

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version comprennent :

  • attWallosRCECVE202455371 - Wallos RCE CVE-2024-55371 et CVE-2024-55372
  • attAPIOpenAPIFinding - Nouvelle règle pour détecter les points d'extrémité OpenAPI/Swagger
  • attJSONPathPlusRCECVE20251032 - Exécution de code à distance JSONPath-Plus pour CVE-2025-1032
  • attNestRCECVE202554782 - Nest Framework for Node.js RCE CVE-2025-54782
  • NonQuantumResistantCiphers - "Suite[s] de chiffrement non résistante(s) aux quantiques détectée(s)"
  • attWordPressFunnelKitAutomationplugincve20251562 - Plugin WordPress FunnelKit Automations cve-2025-1562
  • attGetSimpleCMSRCECVE202548492 - GetSimple CMS RCE CVE-2025-48492
  • FlaskWeakSecretKey - "Clé secrète faible Flask"
  • ExpressJsWeakSecretKey - "Secret de session faible Express.js"
  • DjangoWeakSecretKey - "Clé secrète faible Django"
  • ViewStateWeakSecretKey - "Clé secrète faible ASP.NET ViewState"
  • LaravelWeakSecretKey - "Clé secrète faible Laravel (PHP)"
  • SymfonyWeakSecretKey - "Secret faible UriSigner Symfony (PHP)"
  • attElysiaCVE202566456 - Elysia RCE CVE-2025-66456
  • La base de données des composants vulnérables a été mise à jour vers la version 1.10.

La liste complète des correctifs, mises à jour et RFE de cette version est répertoriée ici.

Modifications dans cette version

  • Le moteur de navigateur Chromium a été mis à niveau vers la version 145.0.7632.45 pour intégrer les derniers correctifs de sécurité.
  • Accessibilité : Des améliorations continues ont été apportées pour améliorer l'accessibilité globale du produit.

Suppressions dans cette version

  • La politique de test des services Web a été supprimée.

Modifications à venir

  • Fin de la prise en charge (EOS) : La version 10.7.0 d'AppScan Enterprise atteindra la fin de sa prise en charge d'ici le 31 mars 2027. Mettez à niveau vers la dernière version disponible. Pour plus d'informations, consultez l'article de blog d'annonce.
  • Les politiques de test Developer Essentials et Vital Few sont désormais obsolètes et seront supprimées dans les prochaines versions. Il est recommandé d'utiliser les politiques de test alternatives suggérées.
  • La prise en charge des modèles GPT-4.x sera abandonnée dans une future version, car Azure OpenAI retire ces modèles.
  • La prise en charge de SSL sera obsolète dans une future version.
  • La prise en charge de l'utilisation d'adresses IP dans les URL de domaine sera supprimée dans une future version.