Nouveautés d'HCL AppScan® Enterprise
Cette section décrit les nouvelles fonctionnalités du produit AppScan Enterprise et les améliorations de cette version, ainsi que les suppressions et les changements prévus, le cas échéant.
Nouveautés d'HCL AppScan® Enterprise 10.8.1
Important :
AppScan Enterprise 10.8.1 remplace la version 10.8.0, qui n'est plus disponible au téléchargement. La version 10.8.1 est une version cumulative qui inclut toutes les fonctionnalités, améliorations et correctifs de la version 10.8.0, ainsi qu'une mise à jour de sécurité critique pour CVE-2025-2783. Effectuez la mise à niveau vers la version 10.8.1 dès que possible pour bénéficier des dernières fonctionnalités et mises à jour de sécurité. Pour plus d'informations sur le retrait de la version 10.8.0, consultez l'article de la base de connaissances base de connaissances.
- Mise à jour des téléchargements :
- À partir d'AppScan Enterprise 10.8.0, les téléchargements sont disponibles uniquement via le portail My HCLSoftware (MHS).
- Mise à jour de la licence :
- Mon portail HCLSoftware (MHS) a remplacé le portail FlexNet Operations (FNO) pour la gestion des licences.
- FNO est maintenant désactivé et ne sera plus pris en charge.
- Fin de support (EOS) : les versions 10.6.0 et antérieures atteindront l'EOS d'ici juin 2025. AppScan Mettez à jour vers la dernière version pour maintenir le support et accéder aux nouvelles fonctionnalités.
- Tutoriel vidéo pour configurer la licence :
- Nouveau scanner SCA :
- Un nouveau scanner SCA a été introduit sur la page du moniteur. Ce scanner prend en charge les fichiers SCA XML générés à partir de AppScan sur Cloud.
- Analyses de script personnalisées :
- AppScan Enterprise prend désormais en charge les scripts Java personnalisés via AppScan Standard.
- Ces scripts permettent un comportement dynamique en exécutant du code personnalisé pour chaque requête et réponse HTTP.
- Des scripts personnalisés peuvent désormais être exécutés avant d'envoyer une demande ou après avoir reçu une réponse, permettant un contrôle précis du comportement du scan.
- URL de collection Postman pour les scans :
- Les scans peuvent maintenant être créés et exécutés en utilisant une URL de collection Postman à partir de AppScan Standard. Lorsque la collection Postman est mise à jour, la nouvelle analyse récupérera automatiquement le contenu le plus récent à partir de l'URL, garantissant que les modifications les plus récentes de l'API sont incluses dans l'analyse.
- Journal d'activité API REST :
- Une nouvelle API REST de journal d'activité ( GET /activitylog/{dateRange} ) est désormais disponible dans la section
journal d'activitéduAppScan Enterprise Page des API REST. Vous pouvez récupérer les détails d'activité dans une plage de dates spécifiée.
- Une nouvelle API REST de journal d'activité ( GET /activitylog/{dateRange} ) est désormais disponible dans la section
- Amélioration de la cartographie CWE dans les rapports de sécurité :
- Les rapports de sécurité générés à partir de l'onglet de surveillance, y compris les rapports de sécurité DAST, affichent désormais plusieurs détails CWE aux côtés du CWE principal pour chaque type de problème.
- Cette amélioration offre une perspective de sécurité plus large, vous aidant à évaluer les vulnérabilités plus efficacement.
- Affichage du vecteur CVSS dans la réponse de l'API :
- L' API GET/issues/{issueId} /application/{appId} renvoie désormais le vecteur CVSS pour les problèmes signalés, améliorant ainsi l'évaluation des risques et la priorisation.
- Améliorations de l'accessibilité :
- AppScan Enterprise comprend désormais des améliorations alignées sur les Directives pour l'accessibilité des contenus Web (WCAG), améliorant l'accessibilité pour l'utilisateur.
Mises à jour de l'agent IAST
Les agents IAST ont été mis à jour vers des versions plus récentes :
- Java : 1.19.0
- .NET : 1.13.0
- Node.js : 1.11.0
Liste de correctifs APAR
Les rapports d'analyse de programme autorisés (APAR) suivants ont été corrigés :
| N° d'APAR | Description |
|---|---|
| KB0118668 | Résolu un problème où la section "Tendance des scans par application" dans le rapport de tableau de bord de la vue Moniteur affichait un rapport désordonné. |
| KB0118669 | Corrigé une erreur interne de serveur occasionnelle survenant lors de la connexion à la source AppScan vers AppScan Enterprise. |
| KB0117778 | Résolu un problème où la case à cocher et le texte d'avertissement n'étaient pas visibles sur la fenêtre du serveur de licences dans l'assistant de configuration pour les systèmes d'exploitation non anglais. |
| KB0119182 | Correction d'un problème où la fonctionnalité du tableau de bord AppScan Enterprise ne fonctionnait pas correctement pour les langues autres que l'anglais. |
| KB0119107 | Correction d'un problème où les URL n'étaient pas renseignées lors du téléchargement de certains fichiers de trafic chiffrés pour une analyse de contenu. |
| KB0120766 | Résolution d'un problème où le message d'erreur « une erreur s'est produite » apparaissait lors de la génération de rapports PDF ou Excel à partir de l'onglet Numériser. |
| KB0120764 | Résolution d'un problème où le message d'erreur « Référence d'objet non définie sur une instance d'un objet » apparaissait lors du chargement des pages dans l'onglet Numérisation. |
| Google Chrome Vulnerability | Correction de la vulnérabilité de Google Chrome identifiée comme CVE-2025-2783. |
Correctifs et mises à jour de sécurité
Les nouvelles règles de sécurité de cette version sont les suivantes :- attAppMetricsDataExposed - Point de terminaison des métriques d'application exposé
- attWordPressPluginXSSCVE20237246 - Plugin WordPress Cross-Site Scripting CVE20237246
- attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence Accès Rompu CVE 2023 22515
- SriValidation - Validation pour le contrôle d'intégrité SRI
- Règles CSP - Réévaluation CSP retravaillée, entraînant la détection de 17 nouveaux problèmes de Content-Security-Policy
- Base de données des composants vulnérables mise à jour vers la version 1.6
Correctif de sécurité :
- CVE-2025-2783 - Un correctif de sécurité critique inclus dans cette version pour corriger une vulnérabilité à haut risque dans Google Chrome.
La liste complète des corrections, mises à jour et RFEs de cette version est répertoriée ici.
Modifié dans cette édition
- WebSphere® Application Server (WAS) Liberty Core a été mis à niveau vers la version 24.0.0.11
- jQuery a été mis à jour vers la version 1.14.0
- Mises à jour ASRA : Le package Omnia a été renommé en ASRA, et le package ArticleService a été renommé en ASRAService.
- Mise à niveau Java 17 : après la mise à niveau vers AppScan Enterprise 10.7.0 ou une version ultérieure, qui inclut la mise à niveau Java 17, la communication sécurisée entre AppScan Enterprise et SQL Server nécessite l'importation du certificat SQL Server signataire. Cette étape est nécessaire pour éviter les problèmes de connexion dus à la validation SSL/TLS. Pour obtenir des instructions détaillées sur la façon d'importer le certificat dans AppScan Enterprise, reportez-vous à l'article de base de connaissances sur l'importation du certificat SQL Server Signer.
Supprimé dans cette édition
- Intégration avec IBM Security SiteProtector.
- Intégration avec IBM Security QRadar.
- Suppression des détails de licence du module dans la section Administration, y compris les modules activés, le nombre de pages sous licence et le nombre de pages numérisées.
Modifications à venir
- Aucun changement majeur à venir n'a été annoncé pour cette version.