HCL AppScan、アプリケーションセキュリティテストソリューション3種のバージョン 10.2.0 をリリース
2023/3/29 - 読み終える時間: 3 分
HCL AppScan Releases Version 10.2.0 for Three Application Security Testing Solutions の翻訳版です。
HCL AppScan、アプリケーションセキュリティテストソリューション3種のバージョン 10.2.0 をリリース
HCL AppScanは、バージョン10.2.0 を新たにリリースし、革新的なアプリケーションセキュリティテストへの揺るぎないコミットメントを示し続けています。オンプレミスの3つの製品は今回、重要な機能とユーザーエクスペリエンス機能をアップデートしており、これらはすべて広範なセキュリティ調査と顧客からのフィードバックに基づくものです。これらのアップデートはすべて、今日のセキュリティニーズだけでなく、将来のセキュリティニーズにも対応できるよう、将来を見据えた革新的なロードマップの一部です。
それでは、見ていきましょう。
HCL AppScan Standardは、業界をリードするDASTテクノロジーを搭載したオンプレミスの動的解析製品です。バージョン10.2.0の一部として、新しいアップデートは以下の通りです:
CVSS 3.1スコアリング
- 問題の深刻度と CVSS スコアは、CVSS 3.1 のスコアリングに基づくようになりました。
- 以前の HCL AppScan バージョン(2.0 スコアリングを使用)で実行されたスキャンは、3.1 スコアリングを適用することもできます(一部の問題のスコアと深刻度が変更される場合があります)し、そのまま表示することもできます。
- CVSS 3.1に準拠し、問題の深刻度として新たに「クリティカル」が追加されました。
新しい設定ビュー
- 従来の設定ダイアログボックスは、刷新され、再編成され、メインユーザーインターフェースのネイティブビューとして統合されました。
- Web API スキャンは、新しい設定ビューで設定されるようになりました(API を参照)。
- スキャンウィザードは、新しい設定ビューのプリセットに置き換えられ、迅速なセットアップのために不可欠なオプションを表示します。
規制コンプライアンスレポートテンプレートを更新しました
- 米国カリフォルニア州消費者プライバシー法(CCPA)- AB-375。
このリリースでは、新しいセキュリティルールが追加されています
- MaxLengthVuln - 非常に大きな制約を持つ "maxlength "属性の検索
- LeakedSecretTokens - レスポンスに含まれるシークレットトークンを検索する
- SecurityRule_AbstractContentSecurityPolicyRule - 新しい抽象的なCSPルールが追加された(共通検出とミューテーションを含む)
- attNoHttpsRedirection - httpスキームが使用されている場合にhttpsリダイレクトを行うかどうかをチェックする
- attText4Shell - Text4Shellの脆弱性(CVE-2022-42889)に対する新しいルールを追加しました。
-
attGraphqlIntrospectionMutation - GraphQLでイントロスペクションが有効かどうかをチェックします。
HCL AppScan Enterpriseは、SAST、DAST、IASTに加え、広範なリスク管理の可視化と監視を提供する拡張性の高いオンプレミス型アプリケーションセキュリティテストツールです。バージョン10.2.0の一部として、新しいアップデートが含まれています:
CVSS 3.1スコアリング
- 問題の深刻度と CVSS スコアは、CVSS 3.1 スコアリングに基づくようになりました。新しいスキャンはすべてCVSS 3.1スコアリングに基づきます。アップグレード前のスキャン結果は、再スキャンまで CVSS 2.0 のスコアリングを使用して保存されます。詳細については、CVSS 3.1仕様書を参照してください。
ユーザーコントロールが改善されました
- グローバルオプションが有効な場合、読み取り専用ユーザーは課題に対してコメントできるようになりました。
- 課題ステータスの変更を制限するためのきめ細かいアクセス制御。
- 課題のステータスが変更された場合、コメントすることが義務付けられました。
- スキャンの結果を報告するための新しい API を追加しました。APIを使用します: /issues/(jobID)
- アクティビティログを更新し、マルチレベルのフィルタリングなどを改善しました。
規制遵守レポートテンプレートを更新しました
- 米国】カリフォルニア州消費者プライバシー法(CCPA) - AB-375。
このリリースでは、新しいセキュリティルールが含まれています
- MaxLengthVuln - 非常に大きな制約を持つ "maxlength "属性の検索
- LeakedSecretTokens - レスポンスに含まれるシークレットトークンを検索する
- SecurityRule_AbstractContentSecurityPolicyRule - 新しい抽象的なCSPルールが追加された(共通検出とミューテーションを含む)
- attNoHttpsRedirection - HTTPスキームが使用されている場合に、HTTPSリダイレクトを行うかどうかを確認する。
- attText4Shell - Text4Shellの脆弱性(CVE-2022-42889)に関する新規ルールを追加しました。
- attGraphqlIntrospectionMutation - GraphQL APIでイントロスペクションが有効かどうかをチェックする。
-
oHttpsRedirection - HTTPスキーム使用時のHTTPSリダイレクトチェック追加
HCL AppScan Sourceは、SASTテクノロジーとIFA機械学習を搭載し、誤検知を98%削減するオンプレミス型の静的解析製品です。バージョン10.2.0の一部として、新たなアップデートは以下の通りです:
機能強化および新機能
- ライセンスコンフィグファイルでライセンスの非アクティブ時間を設定することができます。
- HCL AppScan Source CLIでは、フォルダをスキャンする際に、ソースコードのみのスキャンが可能になりました。
- プロジェクトファイルの拡張子環境設定で、利用可能な言語/プロジェクトタイプをタブではなく、ドロップダウンリストに表示するようになりました。
- Red Hat Linux 8.6 をサポートしました。
- .NET 7 をサポートしました。
HCL AppScan SourceとHCL AppScan Enterpriseの相互運用性に関する追加情報
- HCL AppScan Enterprise バージョン 10.2.0 は、CVSS 3.1 のサポートをアップグレードしました。HCL AppScan Sourceのユーザーとして、HCL AppScan Enterpriseバージョン10.2.0にアップグレードした場合、CVSS 3.1の仕様の性質上、深刻度の値に相違が生じる場合があります。