HCL AppScan® Enterprise 的新功能
此部分描述了新的AppScan Enterprise產品功能和此版本中的增強功能,以及相關的棄用和預期變更。
HCL AppScan® Enterprise 中的新增功能10.8.0
- 下載更新:
- 從 AppScan Enterprise 10.8.0 開始,只能透過 My HCLSoftware (MHS) 入口網站下載。
- 授權更新:
- 我的HCLSoftware(MHS)門戶網站已取代FlexNet Operations(FNO)門戶網站,用於許可證管理。
- FNO現已停用,將不再提供支援。
- 支援終止(EOS):AppScan 10.6.0及更早的版本將於2025年6月達到EOS。升級到最新版本以維持支援並獲取新功能。
- 新的SCA掃描器:
- 在監控頁面上引入了新的SCA掃描器。這個掃描器支援從雲端上的AppScan生成的SCA XML檔案。
- 自訂腳本掃描:
- AppScan Enterprise 現在透過 AppScan 標準支援自訂 Java 腳本。
- 這些腳本通過為每個HTTP請求和響應執行自定義代碼,實現動態行為。
- 郵差收藏URL支援掃描:
- 現在可以使用AppScan標準的 Postman 收藏集 URL 來創建和執行掃描。當郵差收藏集更新時,重新掃描將自動從URL獲取最新內容,確保掃描包含最近的API變更。
- 現在可以在發送請求之前或接收到回應之後執行自訂腳本,允許對掃描行為進行精細調控。
- 活動日誌 REST API:
- 一個新的活動日誌 REST API(GET /activitylog/{dateRange})現已在AppScan Enterprise REST APIs 頁面的
activitylog
部分提供。您可以在指定的日期範圍內檢索活動詳情。
- 一個新的活動日誌 REST API(GET /activitylog/{dateRange})現已在AppScan Enterprise REST APIs 頁面的
- 在安全報告中改進CWE映射:
- 從監視標籤生成的安全報告,包括DAST安全報告,現在會在每種問題類型的主要CWE旁邊顯示多個CWE詳情。
- 此項增強功能提供了更廣泛的安全視角,幫助您更有效地評估漏洞。
- API回應中的CVSS向量顯示:
- API GET/issues/{issueId}/application/{appId}現在返回報告問題的CVSS向量,增強風險評估和優先排序。
- 無障礙增強功能:
- AppScan Enterprise現在包含與網頁內容可訪問性指南(WCAG)相符的增強功能,提高了使用者的可訪問性。
IAST代理人更新
IAST代理已升級為新版本:
- Java:1.19.0
- .NET:1.13.0
- Node.js:1.11.0
APAR 修正程式清單
已修正下列授權程式分析報告 (APAR):
修正和安全更新
此版本中的新安全規則包括:- attAppMetricsDataExposed - 應用程式指標端點已暴露
- attWordPressPluginXSSCVE20237246 - WordPress 插件跨站腳本攻擊 CVE20237246
- attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 破損的訪問權限 CVE 2023 22515
- SriValidation - 用於 SRI 完整性檢查的驗證
- CSP規則 - 重新整理的CSP評估,導致檢測到17個新的內容安全政策問題
- 漏洞元件資料庫已更新至版本 1.6
此版本的完整修復、更新和RFEs列表在這裡列出。
已在此版本中變更
- WebSphere®應用伺服器(WAS)Liberty Core已升級至版本24.0.0.11
- jQuery 升級到版本 1.14.0
- ASRA更新:Omnia套件已被重新命名為ASRA,而ArticleService套件已被重新命名為ASRAService。
- Java 17 升級:升級到包含 Java 17 升級的 AppScan Enterprise 10.7.0 或更高版本後,AppScan Enterprise 和 SQL Server 之間的安全通訊需要匯入 SQL Server Signer 憑證。此步驟是必要的,以避免因 SSL/TLS 驗證而導致的連線問題。有關如何將證書導入 AppScan Enterprise 的詳細說明,請參閱有關導入 SQL Server 簽名者證書的知識庫文章。
已在此版本中移除
- 與IBM Security SiteProtector的整合。
- 與IBM Security QRadar的整合。
- 在管理部分刪除模塊許可證詳細信息,包括啟用的模塊,許可的頁面數量,和掃描的頁面數量。
即將進行的變更
- 對於這次的發布,並未宣布有任何重大的即將來臨的變動。