HCL AppScan® Enterprise の新機能
このセクションでは、このリリースでの新しいAppScan Enterprise製品の機能と強化、ならびに関連する場合の非推奨と予想される変更について説明します。
HCL AppScan® Enterprise の新機能10.8.0
- ダウンロードの更新:
- AppScan Enterprise 10.8.0 以降では、ダウンロードは My HCLSoftware (MHS) ポータルからのみ利用できます。
- ライセンス更新:
- 「My HCLSoftware」(MHS)ポータルは、ライセンス管理のための「FlexNet Operations」(FNO)ポータルを置き換えました。
- FNOは現在廃止され、これ以上のサポートは提供されません。
- サポート終了(EOS): AppScan バージョン10.6.0およびそれ以前は、2025年6月までにEOSに達する予定です。サポートを維持し、新機能にアクセスするために最新バージョンにアップグレードしてください。
- ライセンスの設定に関するビデオチュートリアル:
- 新しいSCAスキャナー:
- モニターページに新しいSCAスキャナーが導入されました。このスキャナーは、クラウド上の AppScan から生成されたSCA XMLファイルをサポートします。
- カスタムスクリプトのスキャン:
- AppScan Enterprise は、AppScan スタンダードを通じてカスタムJavaスクリプトをサポートするようになりました。
- これらのスクリプトは、各HTTPリクエストとレスポンスに対してカスタムコードを実行することで動的な動作を可能にします。
- スキャンのためのポストマンコレクションURLサポート:
- スキャンは、AppScanスタンダードからPostmanコレクションURLを使用して作成および実行することができます。ポストマンコレクションが更新されると、再スキャンは自動的にURLから最新の内容を取得し、最新のAPIの変更がスキャンに含まれることを保証します。
- カスタムスクリプトは、リクエストを送信する前やレスポンスを受信した後に実行できるようになりました。これにより、スキャンの動作を微調整することが可能になります。
- アクティビティログREST API:
- 新しいアクティビティログREST API(GET /activitylog/{dateRange})がAppScan Enterprise REST APIsページの
activitylogセクションで利用可能になりました。指定された日付範囲内で活動の詳細を取得することができます。
- 新しいアクティビティログREST API(GET /activitylog/{dateRange})がAppScan Enterprise REST APIsページの
- セキュリティレポートでの改善されたCWEマッピング:
- モニタータブから生成されるセキュリティレポート、DASTセキュリティレポートを含む、は現在、各問題タイプの主要なCWEと並んで複数のCWEの詳細を表示します。
- この強化は、より広範なセキュリティ視点を提供し、脆弱性をより効果的に評価するのに役立ちます。
- APIレスポンスでのCVSSベクトル表示:
- API GET/issues/{issueId}/application/{appId}は、報告された問題のCVSSベクトルを返すようになり、リスク評価と優先順位付けが強化されました。
- アクセシビリティの強化:
- AppScan Enterpriseは、ウェブコンテンツアクセシビリティガイドライン(WCAG)に準拠した強化機能を含むようになり、ユーザーのアクセシビリティが向上しました。
IASTエージェントのアップデート
IASTエージェントは新しいバージョンにアップグレードされました:
- Java:1.19.0
- .NET:1.13.0
- Node.js:1.11.0
APAR 修正リスト
以下のプログラム診断依頼書 (APAR) が修正されました。
| APAR 番号 | 説明 |
|---|---|
| KB0118668 | 「モニタービュー」のダッシュボードレポートの「アプリケーション別スキャンの傾向」セクションで、レポートが乱れて表示される問題を解決しました。 |
| KB0118669 | AppScanソースへのログイン中に時折発生する内部サーバーエラーを修正しましたAppScan Enterprise。 |
| KB0117778 | 非英語のオペレーティングシステムで、設定ウィザードのライセンスサーバーウィンドウ上でチェックボックスと警告テキストが表示されない問題を修正しました。 |
| KB0119182 | AppScan Enterprise ダッシュボード機能が英語以外の言語で正しく動作しない問題を修正しました。 |
| KB0119107 | コンテンツ スキャン用に暗号化されたトラフィック ファイルの一部をアップロードするときに URL が入力されない問題を修正しました。 |
フィックスとセキュリティー更新
このリリースの新しいセキュリティー・ルールには、以下が含まれます。- attAppMetricsDataExposed - アプリケーションメトリクスエンドポイントが公開されました
- attWordPressPluginXSSCVE20237246 - WordPressプラグインクロスサイトスクリプティングCVE20237246
- attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence壊れたアクセスCVE 2023 22515
- SriValidation - SRI整合性チェックのための検証
- CSPルール - 再構築されたCSP評価により、新たに17のContent-Security-Policy問題を検出しました
- 脆弱なコンポーネント・データベースをバージョン 1.6 に更新しました
このリリースの修正、更新、およびRFEの完全なリストはここに記載されています。
このリリースで変更
- WebSphere®アプリケーションサーバー(WAS)Liberty Coreがバージョン24.0.0.11にアップグレードされました
- jQueryがバージョン1.14.0にアップグレードされました
- ASRAの更新:OmniaパッケージはASRAに名称変更され、ArticleServiceパッケージはASRAServiceに名称変更されました。
- Java 17 アップグレード: AppScan Enterprise 10.7.0 以降 (Java 17 アップグレードを含む) にアップグレードした後、AppScan Enterprise と SQL Server 間の安全な通信には、SQL Server 署名者証明書のインポートが必要です。この手順は、SSL/TLS 検証による接続の問題を回避するために必要です。証明書を AppScan Enterprise にインポートする方法の詳細については、SQL Server 署名者証明書のインポートに関する KB 記事 を参照してください。
このリリースでは削除されました
- IBM Security SiteProtectorとの統合。
- IBM Security QRadarとの統合。
- 管理セクションでのモジュールライセンス詳細の削除、有効なモジュール、ライセンスされたページの数、スキャンされたページの数を含む。
今後の変更
- このリリースについては、大きな変更は発表されていません。