Nouveautés d'HCL AppScan® Enterprise
Cette section décrit les nouvelles fonctions et améliorations du produit AppScan Enterprise dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).
Nouveautés d'HCL AppScan® Enterprise 10.3.0
- Les composants tiers sont désormais identifiés et affichés dans le nouvel onglet Composants de la vue Surveillance, et les vulnérabilités associées sont signalées dans la vue Problèmes. Pour plus d'informations, voir Détection des composants vulnérables à l'aide d'AppScan.
- Nouvelle API pour signaler les composants tiers dans une application. API : /applications/(appId)/components
- Mise à jour du modèle de rapport de conformité réglementaire : NIST Special Publication 800-53 Revision 5.
- La page Types de problèmes dans la vue Administration dispose désormais d'un outil de recherche.
Liste de correctifs APAR
Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :
| N° d'APAR | Description |
|---|---|
| KB0103008 | Les liens d'erreur ne fonctionnent pas |
| KB0103249 | Échec de la mise à jour de la formule et erreur de définition du profil du scanner lors de l'ajout d'un nouvel administrateur dans l'assistant de configuration. |
| KB0103460 | La page des options du tableau de bord affiche une erreur. |
| KB0103736 | L'API Rest ASE addAdditionalDom ains n'ajoute pas de domaines supplémentaires au travail créé via POST /tâches de l'API Rest |
| KB0103870 | Le lien de configuration ne fonctionne pas lorsque le modèle est converti pour analyse pour la première fois |
| KB0103995 | Lors de la création d'un élément de dossier, un écran vide s'affiche si le fichier de configuration en cours de téléchargement est supérieur à 26 Mo |
| KB0104168 | Impossible d'exporter des rapports PDF détaillés sur les problèmes de sécurité à partir de l'onglet d'analyse |
| KB0104312 | L'exécution de l'API de recherche de travail génère une erreur lorsqu'elle est exécutée par un utilisateur avec un type d'utilisateur personnalisé |
| KB0104523 | Lorsque l'analyse DAST est créée et mise à jour à l'aide de l'API REST, la colonne « Contenu » de la page d'analyse affiche « 0 URL de départ ». |
| KB0104636 | L'API REST utilisée pour importer les problèmes ne met pas à jour le niveau de gravité du problème |
| KB0104748 | Le menu Démarrer affiche « IBM Security AppScan Enterprise » au lieu de HCL pour l'image de serveur en chinois traditionnel |
| KB0104750 | Documentation ASE : la rubrique « Niveau de gravité du problème » doit afficher des informations pour CVSS3.1 pour les langues autres que l'anglais |
| KB0104762 | L'API REST utilisée pour ajouter un domaine supplémentaire ne peut pas ajouter plusieurs domaines supplémentaires comportant plus de 255 caractères |
| KB0104981 | La tâche Jenkins échoue avec une erreur : une erreur s'est produite lors de la création de la tâche. Les détails de la tâche contiennent des paramètres manquants ou non valides. |
| KB0105419 | Error while opening report pack summary page with only admin reports wizard. |
Correctifs et mises à jour de sécurité
Les nouvelles règles de sécurité de cette version sont les suivantes :- attGraphqlSqli - Vérifiez les injections SQL dans l'API GraphQL.
- WebSocketCSRF - Vérifiez s'il existe une vulnérabilité d'authentification dans une connexion WebSocket.
- WeakJWTExpiration - Vérifiez s'il existe un JWT sans date d'expiration ou avec une date d'expiration tardive.
La liste complète des correctifs, des mises à jour et des RFE de cette édition est répertoriée ici.
Modifié dans cette édition
Aucune
Supprimé dans cette édition
Prise en charge de l'intégration de QRadar
Modifications à venir
Les options suivantes seront supprimées dans une version future :
- Le champ d'attribut CVSS sur les problèmes sera supprimé et remplacé par une chaîne vectorielle CVSS non modifiable.
- Créer un travail à l'aide d'un modèle à partir d'AppScan Source/AppScan Standard sera supprimé de l'onglet Analyses. Créer une tâche à l'aide d'un modèle à partir d'AppScan Source/AppScan Standard sera supprimé de l'onglet Analyses.
- Les résultats d'AppScan Source/Standard peuvent être importés à l'aide de l'onglet Monitor. c_security_test_policies.html#c_security_test_policies__table_d3f_ptb_2qbLes stratégies de test Web Services, The Vital Few et Developer Essentials seront supprimées, car des résultats similaires peuvent maintenant être obtenus à l'aide d'autres stratégies.
- Le navigateur Internet Explorer intégré sera supprimé dans une future version.
- Examen de WebSphere Portal.