HCL AppScan® Enterprise の新機能

このセクションでは、本リリースにおける新しい AppScan Enterprise 製品の機能と拡張、および該当する場合は非推奨と予想される変更について説明します。

HCL AppScan® Enterprise の新機能

注:
バージョン 10.6.0 以前はサポート終了となったため、ドキュメントから削除されました。

HCL AppScan® Enterprise 10.11.0 の新機能

  • アクセス制御の不備: トラフィックファイルをアップロードして比較することで、アクセス制御の不備の脆弱性をより簡単に特定できるようになりました。この新機能は、REST API エンドポイント POST /jobs/{jobId}/brokenaccesscontrol/add を介して排他的に利用可能です。
  • CVSS 表示の更新: 新しく報告された脆弱性について、CVSS 4.0 ベクトルとスコアが表示されます。ただし、問題の深刻度は引き続き CVSS 3.1 標準に基づいて計算されます。
  • DAST-IFA - エラーページ検出: DAST-IFA のエラーページ検出は、Azure OpenAI 5.x モデルをサポートするようになりました。
  • IPv6 サポート: AppScan Enterprise は、最新のIPv6 対応ネットワークインフラストラクチャをサポートするようになりました。詳細については、ナレッジベース記事を参照してください。
  • ポスト量子暗号の安全性チェック: AppScan は、ポスト量子セキュリティ標準を満たさないレガシー暗号化プロトコルにフラグを立てるようになり、これらの技術が脅威になる前に、チームが耐量子暗号へプロアクティブに移行できるように支援します。
  • OpenAPI の可視性: API の可視性を確保するため、Swagger または OpenAPI 定義ファイルが検出された場合に情報アラートが発生するようになりました。
  • 自動ログインの改善: Vue.js フレームワークの新たなサポートなど、自動ログイン機能が改善されました。
  • 新しいコンプライアンスレポート: OWASP Top 10 2025 レポートが追加されました。
  • アクティビティログの拡張: アクティビティログが拡張され、「変更」アクションに関する詳細が含まれるようになりました。
  • システムロギングの改善: デバッグを容易にするための詳細なエラーとフローログを提供するため、Security Updater モジュール、構成ウィザード、およびレポート生成フロー全体でロギングが強化されました。
  • ライセンス検証: AppScan には、将来の日付ではなく現在の日付で少なくとも1つのライセンス資格が有効であることを確認するための日付有効性チェックが含まれるようになりました。
  • CVSS 3.1 ベクトルの機能強化: CVSS 3.1 ベクトルには、既存の基本および評価基準(Temporal)メトリクスに加えて、環境評価基準(Environmental)メトリクスが含まれるようになりました。モニタータブ(問題ビューダイアログを含む)および生成されたセキュリティ、業界標準、規制コンプライアンスのレポート内で、完全な CVSS 3.1 ベクトル情報を表示できます。この情報は、以下の REST API エンドポイントを介してアクセスすることもできます:
    • GET /issues/{issueId}/application/{appId}
    • POST /issues/reports/securitydetails
    • POST /issues/reports/industrystandard
    • POST /issues/reports/regulatorycompliance

IAST エージェントの更新

IAST エージェントは次のバージョンにアップグレードされました:
  • Java: 1.22.1
  • .NET: 1.16.0
  • Node.js: 1.14.2
  • PHP: 1.2.2

APAR 修正リスト

以下の Authorized Program Analysis Reports (APAR) が修正されました:

APAR 番号 説明
KB0127901 AppScan Standard からインポートされた問題に対して、リクエストとレスポンスのコンテンツがフォーマットされずに表示される問題を修正しました。
KB0093026 ユーザー定義の問題タイプに関する「修正方法」またはアドバイザリ情報が、セキュリティレポートおよび問題ビューダイアログから欠落していた問題を解決しました。
KB0094972 モニタータブにユーザー定義のテストが含まれている場合、問題またはレポートのエクスポートが妨げられる問題を修正しました。
KB0128370 同一の脆弱なコンポーネント問題に対する理由付けのテキストが、AppScan Enterprise と AppScan Standard のレポート間で異なっていた不一致を解決しました。
KB0128321 API を介してジョブ ID の問題の詳細を取得するために "columns" パラメーターを使用した場合に発生したエラーを修正しました。
KB0129448 レガシーの /ase/services/login API に対する有効なログイン試行が失敗する問題を解決しました。
KB0128692 スキャンジョブが開始直後に停止し、「オブジェクト参照がオブジェクトのインスタンスに設定されていません」というエラーが返される問題を修正しました。

修正とセキュリティ更新

本リリースの新しいセキュリティルールは以下の通りです:

  • attWallosRCECVE202455371 - Wallos RCE CVE-2024-55371 および CVE-2024-55372
  • attAPIOpenAPIFinding - OpenAPI/Swagger エンドポイントを検出するための新しいルール
  • attJSONPathPlusRCECVE20251032 - CVE-2025-1032 に対する JSONPath-Plus リモートコード実行
  • attNestRCECVE202554782 - Nest Framework for Node.js RCE CVE-2025-54782
  • NonQuantumResistantCiphers - "耐量子ではない暗号スイートが検出されました"
  • attWordPressFunnelKitAutomationplugincve20251562 - WordPress FunnelKit Automations プラグイン cve-2025-1562
  • attGetSimpleCMSRCECVE202548492 - GetSimple CMS RCE CVE-2025-48492
  • FlaskWeakSecretKey - "Flask の弱いシークレットキー"
  • ExpressJsWeakSecretKey - "Express.js の弱いセッションシークレット"
  • DjangoWeakSecretKey - "Django の弱いシークレットキー"
  • ViewStateWeakSecretKey - "ASP.NET ViewState の弱いシークレットキー"
  • LaravelWeakSecretKey - "Laravel (PHP) の弱いシークレットキー"
  • SymfonyWeakSecretKey - "Symfony (PHP) UriSigner の弱いシークレット"
  • attElysiaCVE202566456 - Elysia RCE CVE-2025-66456
  • 脆弱なコンポーネント・データベースはバージョン 1.10 に更新されました。

本リリースの修正、更新、および RFE の完全なリストはこちらに記載されています。

本リリースでの変更点

  • Chromium ブラウザーエンジンがバージョン 145.0.7632.45 にアップグレードされ、最新のセキュリティ修正が組み込まれました。
  • アクセシビリティ:製品全体のアクセシビリティを向上させるために、継続的な機能強化が行われました。

本リリースでの削除点

  • Web サービス・テスト・ポリシーが削除されました。

今後の変更

  • サポート終了 (EOS): AppScan Enterprise バージョン 10.7.0 は、2027年3月31日までにサポート終了となります。利用可能な最新バージョンにアップグレードしてください。詳細については、発表のブログ記事を参照してください。
  • Developer Essentials および Vital Few テストポリシーは廃止され、今後のリリースで削除される予定です。提案された代替テストポリシーを使用することをお勧めします。
  • Azure OpenAI が GPT-4.x モデルを廃止するため、将来のリリースでこれらのモデルのサポートは終了します。
  • SSL のサポートは、将来のリリースで非推奨になります。
  • ドメイン URL での IP アドレスの使用のサポートは、将来のリリースで削除されます。