HCL AppScan® Enterpriseの新機能

このセクションでは、本リリースにおけるAppScan Enterprise製品の新機能と機能強化、および該当する場合の廃止予定機能と予想される変更について説明します。

HCL AppScan® Enterpriseの新機能10.10.0

  • Gen AI搭載エラーページ検出:Intelligent Finding Analytics(IFA)では、動的アプリケーションセキュリティテスト(DAST)におけるエラーページ検出を強化するためにAzure OpenAIを活用するようになりました。この統合により、Generative AIを使用してエラーを確認し、エッジケースを処理することで、精度が大幅に向上し、誤検知が減少し、スキャン時間が短縮されます。
  • REST API機能強化:本リリースでは、自動化と統合を改善するために、複数の新しいおよび強化されたREST APIエンドポイントを導入しています:
    • GET /applications/{appId}/scans:アプリケーションIDに関連付けられたすべてのスキャンのリストを、高度なソートオプション付きで返します。
    • POST /jobs/{jobId}/dastconfig/openapi/specification/process:OpenAPI記述ファイルをアップロードし、追加パラメータを抽出してファイルベースのスキャン設定を合理化します。
    • POST /jobs/{jobId}/dastconfig/openapi/configure:OpenAPI仕様を使用してDASTジョブを設定します。
    • GET /jobs/{jobId}/dastconfig/additionalParams:DASTスキャン設定のスキャンファイルに存在する追加パラメータのリストを取得します。
    • GET /issues/v2機能強化:新しいshowFullValuesパラメータにより、APIレスポンスでコメント、場所、説明フィールドの完全で切り詰められていない値を表示できるようになりました。
    • GET /issues/{jobId} の機能強化: この API は、セキュリティ問題の詳細を PDF レポートとして直接ダウンロードすることをサポートし、より包括的な脆弱性コンテキストのために、レスポンスに追加の関連 CWE を含むようになりました。
  • コンプライアンス レポートでの修復詳細: コンプライアンス レポートには「修正方法」情報が含まれるようになり、生成されたレポート内で直接実行可能な修復ガイダンスを提供します。
  • 大規模言語モデル (LLM) 問題のインポート: AppScan Enterprise は、AppScan Standard 10.10.0 または将来のバージョンで実施されたスキャンから、大規模言語モデル (LLM) で特定されたセキュリティ問題のインポートをサポートするようになりました。
    Note:
    AppScan Enterprise は、AppScan Standard でスキャンを設定して AppScan Enterprise にプッシュしても、LLM スキャンをサポートしません。スキャンは失敗することなく実行されますが、LLM をスキャンしません。
  • FIPS 準拠の暗号化トラフィック サポート: AppScan Activity Recorder と Traffic Recorder の両方から生成された FIPS 準拠の暗号化トラフィック ファイルのサポートが追加されました。
  • 強化されたセキュリティ レポート (Monitor ページ): アプリケーションに SAST と DAST の両方の問題がある場合、生成されたセキュリティ レポートの問題数 (修正済み問題、新規問題、未解決問題、期限切れ問題、総問題数、および進行中の作業) は、特定の DAST および SAST レポートに選択およびインポートされた問題の数に基づくようになりました。
  • 新しいコンプライアンス レポート:
  • 更新されたコンプライアンス レポート:
  • システムおよびプラットフォームサポート:
    • Microsoft Windows Server 2025の公式サポートが追加されました
    • Microsoft OLE DB Driver 18 for SQL Server (MSOLEDBSQL18)のサポートが追加されました)

IASTエージェントの更新

IASTエージェントが最新バージョンにアップグレードされました:
  • Java: 1.21.0
  • .NET: 1.15.0
  • Node.js: 1.13.0
  • PHP: 1.2.0

APARの修正リスト

以下のAuthorized Program Analysis Reports (APARs)が修正されました:

APAR No. 説明
KB0123145 Configuration Wizardでの不正確なライセンスファイルパスを修正しました。
KB0120549 多くの問題を抱えるアプリケーションでMonitorページからのレポート生成が遅い問題を修正しました。
KB0122105 長いテキスト値を持つアプリケーションでMonitor Viewの問題詳細が重複する問題を修正しました。
KB0121711 韓国語でAdministration PageのActivity Log画面が空白になる問題を修正しました。
KB0111644 LDAP認証情報に十分な権限がない場合にAppScan Enterpriseインストール中のデフォルト設定ウィザードで表示されるエラーメッセージを修正しました。
KB0094517 言語が日本語に設定されている場合に、ScanタブのPCIレポートでコンプライアンス詳細が表示されない問題を修正しました。

修正とセキュリティアップデート

このリリースの新しいセキュリティルールには以下が含まれます:
  • COOP - Cross-Origin-Opener-Policy (COOP) ヘッダーの欠落または不安全な設定
  • CORP - Cross-Origin-Resource-Policy (CORP) ヘッダーの欠落または不安全な設定
  • COEP - Cross-Origin-Embedder-Policy (COEP) ヘッダーの欠落または不安全な設定
  • attCSPAPI - CSP内の「frame-ancestors」ディレクティブの欠落または不安全な設定(APIエンドポイント用)
  • attApacheOFBizRCECVE202445195 - CVE-2024-45195に対するApache OFBiz RCE
  • attApacheOFBizRCECVE202445507 - CVE-2024-45507に対するApache OFBiz RCE
  • attSpringFrameworkPathTraversalCVE202438816 - Spring Framework Path Traversal CVE-2024-38816およびCVE-2024-38819
  • attWordpressPiePluginAuthenticationBypassCVE202534077 - Wordpress Pie Register認証不備 CVE-2025-34077
  • attWordPressKubioPathTraversalCVE20252294 - Wordpress Kubio AI Page Builderプラグイン Path Traversal CVE-2025-2294
  • 脆弱性コンポーネントデータベースがバージョン1.8に更新されました

このリリースの修正、アップデート、RFEの完全なリストはこちらに記載されています。

このリリースでの変更点

  • WebSphere® Application Server (WAS) Liberty Coreがバージョン25.0.0.9にアップグレードされました。
  • Chromiumブラウザエンジンが最新のセキュリティ修正を組み込むためバージョン142.0.7444.59にアップグレードされました。
  • Asposeライブラリがバージョン25.4にアップグレードされました。

このリリースでの削除項目

  • 以下のOpenAPIエンドポイントは廃止されました:
    • POST /jobs/{jobId}/dastconfig/openapi/add
    • POST /jobs/{jobId}/dastconfig/openapi/url/add

今後の変更

  • Developer EssentialsおよびVital Fewテストポリシーは現在廃止されており、今後のリリースで削除される予定です。推奨される代替テストポリシーの使用をお勧めします。