Nouveautés d'HCL AppScan® Enterprise

Cette section décrit les nouvelles fonctions et améliorations du produit AppScan Enterprise dans cette version, ainsi que les fonctions obsolètes et les prévisions de modification (le cas échéant).

Nouveautés d'HCL AppScan® Enterprise 10.4.0

  • Précision et efficacité améliorées de l’analyse DAST avec un abonnement IAST. Pour plus d'informations, reportez-vous au blog .
  • Mises à jour des composants vulnérables tiers d'AppScan Enterprise :
    • Ajout de nouvelles API pour le composant vulnérable :
      Nom de l'APIDescription
      obtenir/composantvulnérable/serveur/statutObtenez l'état de mise à jour des composants vulnérables pour le serveur.
      post/composant vulnérable/mise à jourMettez à jour la dernière version du package de composants vulnérables dans AppScan Enterprise Server.
      obtenir/composant vulnérable/client/statutObtenez l'état de mise à jour des composants vulnérables pour le client.
    • Comprend le dernier CVE pour une meilleure couverture d'analyse.
    • Les composants vulnérables tiers détectés dans ASD sont désormais visibles dans l'onglet AppScan Enterprise Monitor - Vue Composants.
    • Les composants sont désormais disponibles dans les rapports AppScan Enterprise Security.
    • API d'ID de travail ( GET /problèmes/{jobId} ) peut désormais partager les identifiants CWE et CVE pour les composants vulnérables tiers .
  • AppScan Enterprise prend désormais en charge le fichier enregistré d'activité AppScan chiffré, garantissant ainsi un stockage sécurisé des informations d'identification de connexion et autres informations personnelles.
  • Ajout des URL analysées au rapport AppScan Enterprise Security, permettant aux utilisateurs de mesurer la couverture d'analyse.
  • Nouveau rapport de conformité réglementaire : [SA] Loi sur la protection des renseignements personnels (PoPIA), 2013.
  • Rapports de conformité réglementaire mis à jour :
    • [États-Unis] Programme fédéral de gestion des risques et des autorisations (FedRAMP), révision 5.
    • [États-Unis] STIG de sécurité et de développement des applications de DISA, V5R2.
    • [États-Unis] Loi fédérale sur la modernisation de la sécurité de l'information (FISMA), 2014.
  • Ajout de la prise en charge des versions Microsoft SQL Server 2022 Standard et Enterprise.

Modifications de l'IAST

.FILET:
  • Prise en charge améliorée pour les clients utilisant System.Net.WebClient dans .Net Framework et .Net Core.
  • Le journal IAST amélioré inclut désormais la date et l'heure.
  • Un nouveau type de problème - API détectées, remplace le type de problème Divers pour les problèmes qui rapportent la liste complète des API de l'application.
  • Le type de problème API sensible nécessite une journalisation est désormais pris en charge pour les clients utilisant ILogger, Nlog, Serilog et log4net.
NodeJS :
  • Mise à jour du journal IAST pour inclure la date et l'heure.
  • Amélioration des messages d'erreur dans la sortie de la console.
JAVA:
  • Un nouveau type de problème - API détectées, remplace le type de problème Divers pour les problèmes qui rapportent la liste complète des API de l'application.
  • Processus de déploiement amélioré : la définition de la variable d'environnement BC_SB n'est plus nécessaire dans les versions Java 9 et ultérieures.
  • Prise en charge supplémentaire du framework pour Java : Spring 6.
  • Amélioration du message d'erreur lorsque l'utilisateur définit des paramètres de proxy incorrects.
  • Le journal IAST inclut désormais la date et l'heure.

Liste de correctifs APAR

Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :

N° d'APAR Description
KB0106642 Différence de nombre de problèmes entre AppScan Enterprise et AppScan Standard dans certains cas.
KB0106569 Le téléchargement de fichiers d'analyse volumineux échoue à partir de la page de statistiques de tâches sous l'onglet d'analyse.
KB0105848 Impossible de supprimer une tâche lorsque la longueur combinée du nom de la tâche et de FolderItemId dépasse 255 caractères.

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :
  • Précision améliorée pour la détection des cartes de crédit dans plusieurs règles :
    • oSecurityRule_GD_CreditCardAmericanExpress
    • SecurityRule_GD_CreditCardAmericanExpressNotSSL
    • SecurityRule_GD_CreditCardDinersClub
    • SecurityRule_GD_CreditCardDinersClubNotSSL
    • SecurityRule_GD_CreditCardDiscover
    • SecurityRule_GD_CreditCardDiscoverNotSSL
    • SecurityRule_GD_CreditCardMasterCard
    • SecurityRule_GD_CreditCardMasterCardNotSSL
    • SecurityRule_GD_CreditCards
    • SecurityRule_GD_CreditCardsNotSSL
    • SecurityRule_GD_CreditCardVisa
    • SecurityRule_GD_CreditCardVisaNotSSL
  • attText4Shell - Ajout de la prise en charge de la détection de serveur Web sur mesure pour RCE.
  • attZencartRemoteCommandExecutionAdnsCVE20213291 - Ajout de la prise en charge de la détection de serveur Web sur mesure pour RCE.
  • attSessionFixation - Règle de détection modifiée pour éviter de tester les requêtes sans requête précédente.
  • attAPIBrokenObjectLevelAuthorization - Règle étendue pour tester tous les répertoires numériques (Inc et Dec).
  • CORSArbitraryOrigin - Modifié pour inclure un faux en-tête Origin partout.
  • Chromium est mis à jour vers la version 116 pour améliorer la sécurité et corriger une vulnérabilité critique, CVE-2023-4863 . Pour plus d'informations, consultez Chromium mis à jour vers la version 116 .

La liste complète des correctifs, mises à jour et RFE de cette version est répertoriée ici .

Modifié dans cette édition

La limite de recherche de 100 pour afficher les variables dans l'onglet Portefeuille et application de l'onglet Moniteur a été supprimée, permettant aux utilisateurs d'afficher toutes les variables et de personnaliser les recherches.

Supprimé dans cette édition

  • La prise en charge de Windows Server 2012 et Windows Server 2012 R2 est obsolète car Microsoft a annoncé EOS pour ces plates-formes.
  • Le navigateur Internet Explorer intégré est supprimé.

Modifications à venir

Les options suivantes seront supprimées dans une version future :

  • Le champ d'attribut CVSS sur les problèmes sera remplacé par une chaîne vectorielle CVSS non modifiable.
  • Créez une tâche à l'aide d'AppScan Source et le modèle AppScan Standard sera supprimé de l'onglet Analyses . Les résultats AppScan Source et AppScan Standard pourront être importés à l'aide de l'onglet Moniteur .
  • Les résultats d'AppScan Source/Standard peuvent être importés à l'aide de l'onglet Monitor. Pour plus d'informations, consultez Stratégies de test prédéfinies .
  • L'analyse du portail WebSphere sera supprimée.