HCL AppScanR Source 10.0.8 の新機能

2022/8/3 - 読み終える時間: 6 分

HCL AppScan V10.0.8 Release Updates の翻訳版です。

HCL AppScanR Source 10.0.8 の新機能

2022年7月29日

著者: Ryley Robinson / Project Marketing Manager

HCL AppScanは先日、HCL AppScan Source 10.0.8をリリースしました。このブログでは、AppScan V.10.0.8の新リリースを製品群別に紹介します。

HCL AppScanR Source 10.0.8での新機能

AppScan Sourceのコマンドラインインターフェース（CLI）がコンテナ化されたため、アプリケーションとセキュリティのスキャンをより効率的に、より堅牢に行うことができるようになりました。一度インストールして設定すれば、テスト環境をオンデマンドで迅速に作成し、スキャンを同時に実行できます。

AppScan Sourceは、クライアントマシンのライセンス情報の読み込みと更新に使用するライセンスマネージャーユーティリティを提供します。

AppScan SourceのV10.0.8の機能強化は以下の通りです。

• AppScan SourceはTerraformをサポートしています。
• 以下のレポートをサポートします。
  • OWASP Top 10 API Security 2019 レポート
  • CWE 2021 Top 25 レポート
• 以下のレポートフィルターをサポートします
  • OWASP Top 10 API Security 2019 レポートフィルター
  • CWE 2021 Top 25 レポートフィルター
  • OWASP Top 10 2017 および 2021 レポートフィルター
• 新しい製品ロゴを使用するためにアイコンとスプラッシュ画面を更新しました。

AppScan Source バージョン10.0.8におけるAPARの修正点

• セキュリティプロファイルレポートは、複数プロジェクトの評価で最初のプロジェクトからのメトリックだけを使用する、CQPAR00237855
• DFAスキャンでAppScan Source for Analysisが一時フォルダーに.dmpファイルを作成する、 KB0096327
• AppScan delta.sh は、Linux でスペースが含まれている場合、ファイルシステム パスを認識しない、 KB0097634
• Visual Studio がマシンにインストールされていない場合、Net Assembly プロジェクトが失敗する KB0097692

削除された機能

• OWASP Top 10 2013 レポート

HCL AppScan Standard 10.0.8での新機能

インポートしたPostman Collectionファイルを使用した自動APIスキャン。HCL AppScanはコレクションを使用して独自のExploreステージを実行し、結果のデータをDashboardおよびDataビューに表示します。AppScanは自動的にTestステージに進み、スキャンを完了させるか、またはTestステージを後で開始するかを選択できます。

AppScan StandardのV10.0.8の機能強化は以下の通りです。

• 新規 OWASP API Security Top 10 2019 業界標準レポート。
• 自動アップデート機能の改善。
• セキュリティアップデート。
  • attSpringRemoteCommandExecution - Spring Frameworkでのリモートコマンド実行（CVE-2022-22965）。
  • probeSpring - Probe Spring RCE (CVE-2022-22965)。

AppScan Standard version 10.0.8におけるAPARの修正事項

このFix Packに含まれる解決されたAPARとセキュリティアップデートは、こちらで一覧

HCL AppScan Enterprise 10.0.8での新機能

AppScan EnterpriseのV10.0.8の機能強化は以下の通りです。

• Postman Collectionを使用した自動APIスキャン。Postman Collectionを使ったスキャン方法を参照してください。
• 新しいOWASP API Security Top 10 2019 Industry Standard Report。
• Severity値やCVSS属性の変更を制限するためのきめ細かいアクセスコントロール。
• AppScan Enterpriseの設定と実行には、db_owner権限は必須ではありません。最低限必要なddladmin、datawriter、datareaderの権限のみです。
• 管理コンソールのアクティビティログは、技術プレビューコードとして利用可能です。
• Microsoft Edge ブラウザに対応しました。

AppScan Enterprise version 10.0.8における修正とセキュリティアップデート。

このリリースでは、新しいセキュリティルールが含まれています。

• attSpringRemoteCommandExecution - Spring Frameworkでのリモートコマンド実行（CVE-2022-22965）。
• probeSpring - Spring RCE を調査する (CVE-2022-22965)

その他の修正

• SQL Server DatabaseのSimple Recovery Modeを無効にするオプションが設定ウィザードで提供されました。
• AppScan Enterpriseが低バージョンのTLSを使用する場合がある。すべての内部通信にTLS 1.2（システムで有効な場合）を使用するように修正が適用されました。

このリリースにおける修正、更新、およびRFEの完全なリストはこちらにあります。

このリリースで削除されたもの

• Internet Explorer (IE) ブラウザー v8.0 と v9.0 のサポート。

今後の変更点

次の項目は、将来のリリースで削除される予定です。

• Web Services、The Vital Few、Developer Essentials のテストポリシーは、他のポリシーを使用して同様の結果を得ることができるため、削除される予定です。詳細は、「定義済みテスト ポリシー」を参照してください。
• Internet Explorer (IE) ブラウザの v10.0 および v11.0 のサポートは削除される予定です。
• CVSS 2.0 のスコアリングが削除され、CVSS 3.1 に置き換えられます。
• 課題のCVSS評価を編集できます。
• モバイルアナライザーレポートからの課題のインポート

詳細については、カスタマーサポートページをご覧ください。今すぐ始めたいけど、何から始めたらいいかわからない場合は HCL AppScanチームからご連絡させていただきます。こちらに記入してください。

• また、次回のウェビナーにもご招待いたします。8月2日には、HCL AppScanの一部となったAutomatic Issue Correlationをご覧いただけます。各アプローチの長所を伸ばし、短所を減らす方法、自動相関が各ASTアプローチをどのように強化するか、そして優先順位付けプロセスを改善する方法について学びます。今すぐ登録を。