HCL AppScan® Enterprise 的新功能
重要通知
HCL AppScan Enterprise v10.0.2 和更新版本需要 HCL 授權。HCL AppScan Enterprise v10.0.2 和更新版本不支援 IBM 授權。如需 HCL 授權的安裝指示,請參閱產品文件。如需詳細資訊,請聯絡 HCL 業務代表或 HCL 支援中心。
HCL AppScan® Enterprise 10.0.5 新增功能
本節說明此版本中的新產品功能和加強功能,以及相關的淘汰和預期變更。
IAST(互動式應用程式安全測試)
- IAST 現在已正式發行。
- 除了 Java 之外,IAST 現在還支援 .NET 和 Node.js。如需相關資訊,請參閱 AppScan Enterprise 中的互動式應用程式安全測試 (IAST)。
「如何修正」資訊
- 許多問題的全新和改良「諮詢」和「修正建議」內容(已合併到新的「如何修正」格式)。
- 許多程式碼語言的全新和詳細程式碼特定「如何修正」資訊。
Azure DevOps 外掛程式已新增。請參閱外掛程式說明文件。
ASE 管理公用程式:已加強,可啟用自動密碼變更。如需相關資訊,請參閱使用 AdminUtil 重設服務帳戶密碼。
效能和可調整性改善
相符性報告升級:DISA STIG V5R1
安全測試
- 透過一些規則的瀏覽器型驗證改良 XSS 分析。
- 新的應用程式測試:
- 轉介原則 - 偵測配置錯誤或不安全的轉介原則。
- 主機標頭注入 - 測試是否在應用程式中動態剖析主機標頭。
- CORS 任意源點 - 測試 CORS 原則是否源自任意源點標頭值。
- 新的基礎架構測試:
- CVE-2020-5398 - 在 Spring Framework 上偵測反射型檔案下載。
- CVE-2020-7246 - qdPM 上的遠端指令執行。
- CVE-2020-9006 - Popup Builder WordPress 外掛程式 SQL 注入。
- CVE-2020-11022/11023 - 在 3.5.0 版之前偵測 JQuery 中的 XSS。
- CVE-2020-17530 - Apache Struts 2 強制多重 OGNL 評估。
修正和安全更新
- 修正和安全更新將在此處列出。
已在此版本中移除
- 惡意軟體偵測
- 諮詢及問題詳細資料中的 X-Force 分類
- 報告中不再包含 .NET、J2EE 及 PHP 特定資訊,但使用者介面中提供許多語言(包括這三種語言)的新程式碼特定資訊。
- 32 位元 Windows 作業系統上的 AppScan Enterprise Server
- 適用於 Internet Explorer 瀏覽器的 AppScan Enterprise 外掛程式
將在未來版本中移除:
將在未來版本中移除下列項目:
- SSL 3.0 支援。
- 測試原則:「Web 服務」、「關鍵少數」、「開發人員錦囊」;因為現在使用其他原則可以達成類似的結果。如需相關資訊,請參閱預先定義的測試原則。
- 與 IBM SiteProtector 的整合。