HCL AppScan® Enterprise 中的新增功能
本节描述了新的AppScan Enterprise产品功能和此版本中的增强功能,以及相关的弃用和预期变化(如有)。
HCL AppScan® Enterprise 中的新增功能10.8.1
Important:
AppScan Enterprise 10.8.1 取代了 10.8.0 版本,后者已不再提供下载。10.8.1 版本是一个累积版本,包含 10.8.0 版本的所有功能、增强功能和修复,
以及针对 CVE-2025-2783 的关键安全更新。请尽快升级到 10.8.1,
以便享受最新功能和安全更新。有关 10.8.0 版本撤回的详细信息,请参阅知识库文章。
- 下载更新:
- 从 AppScan Enterprise 10.8.0 开始,只能通过 My HCLSoftware (MHS) 门户进行下载。
- 许可证更新:
- 我的HCLSoftware(MHS)门户已经取代了FlexNet Operations(FNO)门户,用于许可管理。
- FNO现已停用,将不再得到支持。
- 支持结束(EOS):AppScan 10.6.0及更早版本将在2025年6月达到EOS。升级到最新版本以维持支持并获取新功能。
- 设置许可证的视频教程:
- 新的SCA扫描仪:
- 在监视器页面上引入了新的SCA扫描仪。这个扫描仪支持从云端的AppScan生成的SCA XML文件。
- 自定义脚本扫描:
- AppScan Enterprise 现在通过 AppScan 标准支持自定义Java脚本。
- 这些脚本通过为每个HTTP请求和响应执行自定义代码,实现动态行为。
- 现在可以在发送请求之前或接收响应之后执行自定义脚本,允许对扫描行为进行精细控制。
- 邮差收藏URL支持扫描:
- 现在可以使用AppScan标准的Postman集合URL创建和执行扫描。当邮差收藏更新时,重新扫描将自动从URL获取最新内容,确保扫描包含最近的API更改。
- 活动日志REST API:
- 一个新的活动日志REST API(GET /activitylog/{dateRange})现在在AppScan Enterprise REST APIs页面的
activitylog部分可用。您可以在指定的日期范围内检索活动详情。
- 一个新的活动日志REST API(GET /activitylog/{dateRange})现在在AppScan Enterprise REST APIs页面的
- 在安全报告中改进了CWE映射:
- 从监视器选项卡生成的安全报告,包括DAST安全报告,现在会在每个问题类型的主要CWE旁边显示多个CWE详细信息。
- 这项增强功能提供了更广泛的安全视角,帮助您更有效地评估漏洞。
- API响应中的CVSS向量显示:
- API GET/issues/{issueId}/application/{appId}现在返回报告问题的CVSS向量,增强了风险评估和优先级排序。
- 辅助功能增强:
- AppScan Enterprise现在包括与网络内容可访问性指南(WCAG)相符的增强功能,提高了用户的可访问性。
IAST代理更新
IAST代理已升级到新版本:
- Java:1.19.0
- .NET:1.13.0
- Node.js:1.11.0
APAR 修复列表
修复了以下授权程序分析报告 (APAR):
| APAR 编号 | 描述 |
|---|---|
| KB0118668 | 解决了一个问题,即在监视视图的仪表板报告中,“按应用程序扫描趋势”部分显示的报告无序。 |
| KB0118669 | 修复了在AppScan源登录到AppScan Enterprise时偶尔发生的内部服务器错误。 |
| KB0117778 | 修复了一个问题,该问题在非英语操作系统的配置向导的许可证服务器窗口中,复选框和警告文本不可见。 |
| KB0119182 | 修复了 AppScan Enterprise 仪表板功能对于非英语语言无法正常工作的问题。 |
| KB0119107 | 修复了上传某些加密流量文件进行内容扫描时未填充 URL 的问题。 |
| KB0120766 | 解决了从“扫描”选项卡生成 PDF 或 Excel 报告时出现错误消息“发生错误”的问题。 |
| KB0120764 | 解决了在“扫描”选项卡中加载页面时出现错误消息“未将对象引用设置为对象实例”的问题。 |
| Google Chrome Vulnerability | 解决了标识为 CVE-2025-2783 的 Google Chrome 漏洞。. |
修复和安全更新
此发行版中的新安全规则包括:- attAppMetricsDataExposed - 应用程序指标端点已暴露
- attWordPressPluginXSSCVE20237246 - WordPress插件跨站脚本攻击CVE20237246
- attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence破损访问CVE 2023 22515
- SriValidation - SRI完整性检查的验证
- CSP规则 - 重新制定的CSP评估,导致检测到17个新的内容安全策略问题
- 易受攻击的组件数据库已更新到版本 1.6
安全修复:
- CVE-2025-2783 - 此版本中包含一个关键安全修复程序,用于解决 Google Chrome 中的高风险漏洞。
此版本的完整修复、更新和RFEs列表在这里列出。
已在此发行版中更改
- WebSphere®应用服务器(WAS)Liberty Core已升级到24.0.0.11版本
- jQuery升级到1.14.0版本
- ASRA更新:Omnia包已被重命名为ASRA,ArticleService包已被重命名为ASRAService。
- Java 17 升级:升级到 AppScan Enterprise 10.7.0 或更高版本(包括 Java 17 升级)后,AppScan Enterprise 和 SQL Server 之间的安全通信需要导入 SQL Server Signer 证书。此步骤是必要的,以避免因 SSL/TLS 验证而导致连接问题。有关如何将证书导入 AppScan Enterprise 的详细说明,请参阅有关导入 SQL Server Signer 证书的知识库文章。
在此版本中删除
- 与IBM Security SiteProtector集成。
- 与IBM Security QRadar的集成。
- 在管理部分删除模块许可证详情,包括启用的模块、许可的页面数量和扫描的页面数量。
即将推出的变更
- 对于这个版本,还没有宣布任何重大的即将到来的变化。