HCL AppScan® Enterprise 中的新增功能

本部分介绍此版本中的新 AppScan Enterprise 产品功能和增强功能,以及相关的弃用和预期更改。

HCL AppScan® Enterprise 中的新增功能10.4.0

  • 通过 IAST 订阅增强 DAST 扫描准确性和效率。有关更多信息,请参阅博客
  • AppScan Enterprise 第三方易受攻击的组件更新:
    • 为易受攻击的组件添加了新的 API:
      API名称描述
      获取/易受攻击的组件/服务器/状态获取服务器的易受攻击组件更新状态。
      发布/有漏洞的组件/更新在 AppScan Enterprise Server 中更新易受攻击的组件包的最新版本。
      获取/易受攻击的组件/客户端/状态获取客户端的易受攻击组件更新状态。
    • 包括最新的 CVE,以获得更好的扫描覆盖范围。
    • 在 ASD 中检测到的第三方易受攻击的组件现在可以在 AppScan Enterprise Monitor选项卡 - 组件视图中看到。
    • AppScan Enterprise Security 报告中现在提供了组件。
    • 作业 ID API ( GET /issues/{jobId} )现在可以共享第三方易受攻击组件的 CWE 和 CVE ID。
  • AppScan Enterprise 现在支持加密的 AppScan 活动记录文件,确保登录凭证和其他 PII 的安全存储。
  • 将扫描的 URL 添加到 AppScan Enterprise Security 报告中,使用户能够测量扫描覆盖范围。
  • 新的监管合规报告:[SA] 个人信息保护法 (PoPIA),2013 年。
  • 更新的监管合规报告:
    • [美国] 联邦风险和授权管理计划 (FedRAMP),修订版 5。
    • [美国] DISA 的应用程序安全和开发 STIG,V5R2。
    • [美国] 联邦信息安全现代化法案 (FISMA),2014 年。
  • 添加了对 Microsoft SQL Server 2022 标准版和企业版的支持。

IAST 变化

。网:
  • 增强了对在 .Net Framework 和 .Net Core 中使用 System.Net.WebClient 的客户的支持。
  • 改进的 IAST 日志现在包括日期和时间。
  • 新的问题类型 - 检测到的 API,取代了报告应用程序 API 完整列表的问题的其他问题类型。
  • 敏感 API 需要 使用 ILogger、Nlog、Serilog 和 log4net 的客户现在支持记录问题类型。
节点JS:
  • 更新了 IAST 日志以包含日期和时间。
  • 改进了控制台输出中的错误消息。
爪哇:
  • 新的问题类型 - 检测到的 API,取代了报告应用程序 API 完整列表的问题的其他问题类型。
  • 改进的部署过程:Java 版本 9 及更高版本中不再需要设置 BC_SB 环境变量。
  • 对 Java 的附加框架支持:Spring 6。
  • 改进了用户设置不正确的代理设置时的错误消息。
  • IAST 日志现在包含日期和时间。

APAR 修复列表

修复了以下授权程序分析报告 (APAR):

APAR 编号 描述
KB0106642 在某些情况下,AppScan Enterprise 和 AppScan Standard 之间的问题计数存在差异。
KB0106569 从扫描选项卡下的作业统计页面下载大型扫描文件失败。
KB0105848 当作业名称和FolderItemId 的总长度超过255 个字符时,无法删除作业。

修复和安全更新

此发行版中的新安全规则包括:
  • 提高了多项规则中信用卡检测的准确性:
    • o SecurityRule_GD_CreditCardAmericanExpress
    • SecurityRule_GD_CreditCardAmericanExpressNotSSL
    • SecurityRule_GD_CreditCardDinersClub
    • SecurityRule_GD_CreditCardDinersClubNotSSL
    • SecurityRule_GD_CreditCardDiscover
    • SecurityRule_GD_CreditCardDiscoverNotSSL
    • SecurityRule_GD_CreditCardMasterCard
    • SecurityRule_GD_CreditCardMasterCardNotSSL
    • SecurityRule_GD_CreditCards
    • SecurityRule_GD_CreditCardsNotSSL
    • SecurityRule_GD_CreditCardVisa
    • SecurityRule_GD_CreditCardVisaNotSSL
  • attText4Shell - 添加了对 RCE 的定制 Web 服务器检测支持。
  • attZencartRemoteCommandExecutionAdnsCVE20213291 - 添加了对 RCE 的定制 Web 服务器检测支持。
  • attSessionFixation - 修改了检测规则以避免测试没有先前请求的请求。
  • attAPIBrokenObjectLevelAuthorization - 扩展规则以测试所有数字目录(Inc 和 Dec)。
  • CORSarbitraryOrigin - 修改为在各处包含伪造的 Origin 标头。
  • Chromium 已更新至版本 116 以增强安全性并解决关键漏洞CVE-2023-4863 。有关更多信息,请参阅Chromium 更新至版本 116

此处列出了此版本的修复、更新和 RFE 的完整列表。

已在此发行版中更改

取消了“监控”选项卡中“投资组合和应用程序”选项卡中查看变量的 100 个搜索限制,允许用户查看所有变量并自定义搜索。

在此版本中删除

  • 随着 Microsoft 宣布针对这些平台推出 EOS,对 Windows Server 2012 和 Windows Server 2012 R2 的支持已被弃用。
  • 嵌入式 Internet Explorer 浏览器已删除。

即将推出的变更

以下功能将在将来的版本中删除:

  • 问题上的 CVSS 属性字段将替换为不可编辑的 CVSS 矢量字符串。
  • 使用 AppScan Source 创建作业,AppScan Standard 模板将从扫描选项卡中删除。AppScan Source 和 AppScan Standard 结果将能够使用“监控”选项卡导入。
  • Web 服务、“关键的少数”和“开发者精要”测试策略将被删除,因为现在可以使用其他策略实现类似的结果。有关信息,请参阅预定义测试策略
  • WebSphere 门户扫描将被删除。