Nouveautés dans HCL AppScan® Enterprise
Cette section décrit les nouvelles fonctionnalités et améliorations du produit AppScan Enterprise dans cette version, ainsi que les dépréciations et les changements prévus, le cas échéant.
Nouveautés d'HCL AppScan® Enterprise 10.7.0
- Graphique de tendance des scans d'application :
- Le nouveau graphique permet de visualiser la tendance des scans créés dans AppScan Enterprise et AppScan Source.
- Si les scans sont créés dans AppScan Source, le graphique considère la date du scan comme la date de publication des problèmes dans AppScan Enterprise.
- Si le stockage de données historiques est activé dans AppScan Source, la tendance inclut l'historique des rescans.
- Le graphique affiche la tendance des scans sur les 24 derniers mois.
- Mises à jour de la licence :
- AppScan Enterprise peut désormais être téléchargé depuis My HCL Software (MHS) et FlexNet Operations Portal (FNO). Dans les versions futures, le nouveau portail MHS remplacera FNO.
- Mise à niveau vers Java 17 :
- AppScan Enterprise utilise désormais Java 17. Les avantages incluent :
- Amélioration de la sécurité avec un cryptage plus robuste et des mises à jour de sécurité continues.
- Amélioration des performances avec des scans plus rapides et plus efficaces, des temps d'attente réduits et une amélioration globale des performances du système.
- Pérennité avec les derniers outils et technologies pris en charge par Java 17.
- AppScan Enterprise utilise désormais Java 17. Les avantages incluent :
- Ajout d'une nouvelle politique de test standard de l'industrie :
- Rapport OWASP Application Security Verification Standard (ASVS)
- Ajout d'un nouveau rapport de conformité réglementaire :
- [UE] Rapport de conformité Digital Operational Resilience Act (DORA)
Modifications IAST
Java 1.18.0:
- Prise en charge de nouvelles vulnérabilités de type
PasswordLeakageDBetPasswordLeakageSentData, signalées lorsque le mot de passe est écrit sans cryptage dans la base de données, la réponse ou la file de messages. - Fusion des rapports répétés sur les cookies non sécurisés et uniquement HTTP lorsque la source est similaire.
- Amélioration de la prise en charge de RabbitMQ.
.NET 1.12.0:
- Prise en charge de nouvelles vulnérabilités de type
PasswordLeakageDBetPasswordLeakageSentData, signalées lorsque le mot de passe est écrit sans cryptage dans la base de données, la réponse ou la file de messages. - Prise en charge de RabbitMQ.
NodeJS 1.10.0:
- Prise en charge de RabbitMQ.
Liste des correctifs APAR
Les rapports d'analyse de programme autorisé (APAR) suivants ont été corrigés :
| Numéro APAR | Description |
|---|---|
| KB0110669 | L'écran d'édition des problèmes se charge lentement dans l'onglet Monitor lorsque des travaux d'importation volumineux sont exécutés. |
| KB0114194 | Des messages d'erreur sont affichés au format encodé dans certains cas. |
| KB0115712 | Le nombre total de problèmes dans le rapport PDF de sécurité et l'écran Détails des problèmes ne comprend pas les problèmes de gravité "information". |
| KB0114113 | La section d'introduction du rapport PDF de sécurité présente une incohérence de comptage avec les problèmes filtrés. |
| KB0111375 | La page des politiques de test de sécurité n'affiche pas la case à cocher "Critique". |
Correctifs et mises à jour de sécurité
Nouvelles règles de sécurité dans cette version :-
attJiraCVE202014179 - Détection pour CVE-2020-14179
-
Base de données des composants vulnérables mise à jour à la version 1.5
-
De plus, de nombreuses règles ont été modifiées avec l'aide de l'IA pour améliorer leur précision.
La liste complète des correctifs, mises à jour et RFEs de cette version est disponible ici.
Modifications dans cette version
- Les produits HCLSoftware subissent des changements dans l'acquisition et la gestion
des licences. Dans ce cadre, AppScan Enterprise 10.7.0 inclut des mises à jour des
capacités de licence.
Pour plus d'informations, veuillez consulter l'Annonce de modifications de la licence.
- Mise à niveau Java 17 : après la mise à niveau vers AppScan Enterprise 10.7.0 ou une version ultérieure, qui inclut la mise à niveau Java 17, la communication sécurisée entre AppScan Enterprise et SQL Server nécessite l'importation du certificat de signature SQL Server. Cette étape est nécessaire pour éviter les problèmes de connexion dus à la validation SSL/TLS. Pour obtenir des instructions détaillées sur la façon d'importer le certificat dans AppScan Enterprise, reportez-vous à l'article de base de connaissances sur l'importation du certificat de signature SQL Server.
Supprimé dans cette version
- Le mécanisme de licence FlexNet a été supprimé dans cette version.
Changements à venir
- Les versions d'AppScan Enterprise 10.6.0 et antérieures atteindront leur fin de support (EOS) d'ici juin 2025. Il est recommandé de mettre à niveau vers la version la plus récente avant cette date.
- Une mise à jour de jQuery UI est prévue pour une future version.