HCL AppScan® Enterprise 中的新增功能

本节描述了此版本中 AppScan Enterprise 产品的新增功能和增强功能,以及弃用功能和预期的更改(如适用)。

HCL AppScan® Enterprise 10.7.0 的新增功能

  • 应用程序扫描趋势图:
    • 新图表提供了查看在 AppScan Enterprise 和 AppScan Source 中创建的扫描趋势的功能。
    • 如果扫描是在 AppScan Source 中创建的,则图表会考虑问题发布到 AppScan Enterprise 的发布日期。
    • 如果 AppScan Source 中的历史数据存储处于活动状态,则趋势包括重新扫描历史记录。
    • 图表显示过去 24 个月的扫描趋势。
  • 授权更新:
  • 升级到 Java 17:
    • AppScan Enterprise 现在使用 Java 17。优点包括:
      • 通过更强的加密和持续的安全更新,增强了安全性。
      • 提高性能,扫描速度更快、更高效,减少等待时间,并整体提升系统性能。
      • 通过 Java 17 支持的最新工具和技术,实现未来适用性。
  • 新增行业标准测试策略:
    • OWASP 应用程序安全验证标准 (ASVS) 报告
  • 新增法规遵从报告:
    • [欧盟] 数字运营弹性法案 (DORA) 遵从性报告

IAST 更改

Java 1.18.0:
  • 支持新类型漏洞 PasswordLeakageDBPasswordLeakageSentData,当密码以未加密的形式写入数据库、响应或消息队列时报告。
  • 当来源相似时,合并对不安全和仅限 HTTP 的 Cookie 的重复报告。
  • 改进对 RabbitMQ 的支持。
.NET 1.12.0:
  • 支持新类型漏洞 PasswordLeakageDBPasswordLeakageSentData,当密码以未加密的形式写入数据库、响应或消息队列时报告。
  • 支持 RabbitMQ。
NodeJS 1.10.0:
  • 支持 RabbitMQ。

APAR 修复列表

已修复以下授权程序分析报告 (APAR):

APAR 编号 描述
KB0110669 当运行大型导入作业时,Monitor 选项卡中的问题编辑屏幕加载缓慢。
KB0114194 在某些情况下,错误消息以编码格式显示。
KB0115712 安全问题 PDF 报告和查看详细信息屏幕中的总问题计数缺少“信息”严重级别的问题。
KB0114113 安全问题 PDF 报告的介绍部分与过滤后的问题计数不匹配。
KB0111375 安全测试策略页面未显示“关键”复选框。

修复和安全更新

此版本中的新安全规则包括:
  • attJiraCVE202014179 - 检测 CVE-2020-14179

  • 易受攻击的组件数据库更新至版本 1.5

  • 此外,许多规则在 AI 的帮助下进行了修改,以提高准确性。

此版本的完整修复、更新和 RFE 列表可在 此处 查看。

此版本中的更改

  • HCLSoftware 产品正在进行授权获取和管理的更改。在此过程中,AppScan Enterprise 10.7.0 包含授权功能的更新。

    有关更多信息,请参阅 授权更改公告 博客文章。

此版本中已删除的功能

  • 此版本中已移除 FlexNet 授权机制。

即将发生的更改

  • AppScan Enterprise 10.6.0 及更早版本将在 2025 年 6 月之前达到支持终止 (EOS)。建议您在此之前升级到最新版本。
  • 计划在未来版本中升级 jQuery UI。