Nouveautés d'HCL AppScan® Enterprise

Cette section décrit les nouvelles fonctionnalités du produit AppScan Enterprise et les améliorations de cette version, ainsi que les suppressions et les changements prévus, le cas échéant.

Nouveautés d'HCL AppScan® Enterprise 10.8.0

  • Mise à jour des téléchargements :
    • À partir d'AppScan Enterprise 10.8.0, les téléchargements sont disponibles uniquement via le portail My HCLSoftware (MHS).
  • Mise à jour de la licence :
  • Nouveau scanner SCA :
    • Un nouveau scanner SCA a été introduit sur la page du moniteur. Ce scanner prend en charge les fichiers SCA XML générés à partir de AppScan sur Cloud.
  • Analyses de script personnalisées :
    • AppScan Enterprise prend désormais en charge les scripts Java personnalisés via AppScan Standard.
    • Ces scripts permettent un comportement dynamique en exécutant du code personnalisé pour chaque requête et réponse HTTP.
  • URL de collection Postman pour les scans :
    • Les scans peuvent maintenant être créés et exécutés en utilisant une URL de collection Postman à partir de AppScan Standard. Lorsque la collection Postman est mise à jour, la nouvelle analyse récupérera automatiquement le contenu le plus récent à partir de l'URL, garantissant que les modifications les plus récentes de l'API sont incluses dans l'analyse.
    • Des scripts personnalisés peuvent désormais être exécutés avant d'envoyer une demande ou après avoir reçu une réponse, permettant un contrôle précis du comportement du scan.
  • Journal d'activité API REST :
    • Une nouvelle API REST de journal d'activité ( GET /activitylog/{dateRange} ) est désormais disponible dans la section journal d'activité duAppScan Enterprise Page des API REST. Vous pouvez récupérer les détails d'activité dans une plage de dates spécifiée.
  • Amélioration de la cartographie CWE dans les rapports de sécurité :
    • Les rapports de sécurité générés à partir de l'onglet de surveillance, y compris les rapports de sécurité DAST, affichent désormais plusieurs détails CWE aux côtés du CWE principal pour chaque type de problème.
    • Cette amélioration offre une perspective de sécurité plus large, vous aidant à évaluer les vulnérabilités plus efficacement.
  • Affichage du vecteur CVSS dans la réponse de l'API :
    • L' API GET/issues/{issueId} /application/{appId} renvoie désormais le vecteur CVSS pour les problèmes signalés, améliorant ainsi l'évaluation des risques et la priorisation.
  • Améliorations de l'accessibilité :
    • AppScan Enterprise comprend désormais des améliorations alignées sur les Directives pour l'accessibilité des contenus Web (WCAG), améliorant l'accessibilité pour l'utilisateur.

Mises à jour de l'agent IAST

Les agents IAST ont été mis à jour vers des versions plus récentes :

  • Java : 1.19.0
  • .NET : 1.13.0
  • Node.js : 1.11.0

Liste de correctifs APAR

Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :

N° d'APAR Description
KB0118668 Résolu un problème où la section "Tendance des scans par application" dans le rapport de tableau de bord de la vue Moniteur affichait un rapport désordonné.
KB0118669 Corrigé une erreur interne de serveur occasionnelle survenant lors de la connexion à la source AppScan vers AppScan Enterprise.
KB0117778 Résolu un problème où la case à cocher et le texte d'avertissement n'étaient pas visibles sur la fenêtre du serveur de licences dans l'assistant de configuration pour les systèmes d'exploitation non anglais.
KB0119182 Correction d'un problème où la fonctionnalité du tableau de bord AppScan Enterprise ne fonctionnait pas correctement pour les langues autres que l'anglais.
KB0119107 Correction d'un problème où les URL n'étaient pas renseignées lors du téléchargement de certains fichiers de trafic chiffrés pour une analyse de contenu.

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :
  • attAppMetricsDataExposed - Point de terminaison des métriques d'application exposé
  • attWordPressPluginXSSCVE20237246 - Plugin WordPress Cross-Site Scripting CVE20237246
  • attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence Accès Rompu CVE 2023 22515
  • SriValidation - Validation pour le contrôle d'intégrité SRI
  • Règles CSP - Réévaluation CSP retravaillée, entraînant la détection de 17 nouveaux problèmes de Content-Security-Policy
  • Base de données des composants vulnérables mise à jour vers la version 1.6

La liste complète des corrections, mises à jour et RFEs de cette version est répertoriée ici.

Modifié dans cette édition

  • WebSphere® Application Server (WAS) Liberty Core a été mis à niveau vers la version 24.0.0.11
  • jQuery a été mis à jour vers la version 1.14.0
  • Mises à jour ASRA : Le package Omnia a été renommé en ASRA, et le package ArticleService a été renommé en ASRAService.
  • Mise à niveau Java 17 : après la mise à niveau vers AppScan Enterprise 10.7.0 ou une version ultérieure, qui inclut la mise à niveau Java 17, la communication sécurisée entre AppScan Enterprise et SQL Server nécessite l'importation du certificat SQL Server signataire. Cette étape est nécessaire pour éviter les problèmes de connexion dus à la validation SSL/TLS. Pour obtenir des instructions détaillées sur la façon d'importer le certificat dans AppScan Enterprise, reportez-vous à l'article de base de connaissances sur l'importation du certificat SQL Server Signer.

Supprimé dans cette édition

  • Intégration avec IBM Security SiteProtector.
  • Intégration avec IBM Security QRadar.
  • Suppression des détails de licence du module dans la section Administration, y compris les modules activés, le nombre de pages sous licence et le nombre de pages numérisées.

Modifications à venir

  • Aucun changement majeur à venir n'a été annoncé pour cette version.