HCL AppScan® Enterprise 的新功能

此部分描述了新的AppScan Enterprise產品功能和此版本中的增強功能,以及相關的棄用和預期變更。

HCL AppScan® Enterprise 中的新增功能10.8.0

  • 下載更新:
    • 從 AppScan Enterprise 10.8.0 開始,只能透過 My HCLSoftware (MHS) 入口網站下載。
  • 授權更新:
    • 我的HCLSoftware(MHS)門戶網站已取代FlexNet Operations(FNO)門戶網站,用於許可證管理。
    • FNO現已停用,將不再提供支援。
    • 支援終止(EOS):AppScan 10.6.0及更早的版本將於2025年6月達到EOS。升級到最新版本以維持支援並獲取新功能。
  • 新的SCA掃描器:
    • 在監控頁面上引入了新的SCA掃描器。這個掃描器支援從雲端上的AppScan生成的SCA XML檔案。
  • 自訂腳本掃描:
    • AppScan Enterprise 現在透過 AppScan 標準支援自訂 Java 腳本。
    • 這些腳本通過為每個HTTP請求和響應執行自定義代碼,實現動態行為。
  • 郵差收藏URL支援掃描:
    • 現在可以使用AppScan標準的 Postman 收藏集 URL 來創建和執行掃描。當郵差收藏集更新時,重新掃描將自動從URL獲取最新內容,確保掃描包含最近的API變更。
    • 現在可以在發送請求之前或接收到回應之後執行自訂腳本,允許對掃描行為進行精細調控。
  • 活動日誌 REST API:
    • 一個新的活動日誌 REST API(GET /activitylog/{dateRange})現已在AppScan Enterprise REST APIs 頁面的activitylog部分提供。您可以在指定的日期範圍內檢索活動詳情。
  • 在安全報告中改進CWE映射:
    • 從監視標籤生成的安全報告,包括DAST安全報告,現在會在每種問題類型的主要CWE旁邊顯示多個CWE詳情。
    • 此項增強功能提供了更廣泛的安全視角,幫助您更有效地評估漏洞。
  • API回應中的CVSS向量顯示:
    • API GET/issues/{issueId}/application/{appId}現在返回報告問題的CVSS向量,增強風險評估和優先排序。
  • 無障礙增強功能:
    • AppScan Enterprise現在包含與網頁內容可訪問性指南(WCAG)相符的增強功能,提高了使用者的可訪問性。

IAST代理人更新

IAST代理已升級為新版本:

  • Java:1.19.0
  • .NET:1.13.0
  • Node.js:1.11.0

APAR 修正程式清單

已修正下列授權程式分析報告 (APAR):

APAR 編號 說明
KB0118668 解決了一個問題,該問題在監視視圖的儀表板報告中的"按應用程序掃描趨勢"部分顯示了一個無序的報告。
KB0118669 修復了在AppScan源登入AppScan Enterprise時偶爾發生的內部伺服器錯誤。
KB0117778 修復了一個問題,該問題在非英語操作系統的配置嚮導的許可證服務器窗口中,復選框和警告文字不可見。

修正和安全更新

此版本中的新安全規則包括:
  • attAppMetricsDataExposed - 應用程式指標端點已暴露
  • attWordPressPluginXSSCVE20237246 - WordPress 插件跨站腳本攻擊 CVE20237246
  • attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 破損的訪問權限 CVE 2023 22515
  • SriValidation - 用於 SRI 完整性檢查的驗證
  • CSP規則 - 重新整理的CSP評估,導致檢測到17個新的內容安全政策問題
  • 漏洞元件資料庫已更新至版本 1.6

此版本的完整修復、更新和RFEs列表在這裡列出。

已在此版本中變更

  • WebSphere®應用伺服器(WAS)Liberty Core已升級至版本24.0.0.11
  • jQuery 升級到版本 1.14.0
  • ASRA更新:Omnia套件已被重新命名為ASRA,而ArticleService套件已被重新命名為ASRAService。
  • Java 17 升級:升級到包含 Java 17 升級的 AppScan Enterprise 10.7.0 或更高版本後,AppScan Enterprise 和 SQL Server 之間的安全通訊需要匯入 SQL Server Signer 憑證。此步驟是必要的,以避免因 SSL/TLS 驗證而導致的連線問題。有關如何將證書導入 AppScan Enterprise 的詳細說明,請參閱有關導入 SQL Server 簽名者證書的知識庫文章

已在此版本中移除

  • 與IBM Security SiteProtector的整合。
  • 與IBM Security QRadar的整合。
  • 在管理部分刪除模塊許可證詳細信息,包括啟用的模塊,許可的頁面數量,和掃描的頁面數量。

即將進行的變更

  • 對於這次的發布,並未宣布有任何重大的即將來臨的變動。