Описание релизов

Важно!

Начиная с версии 2023.4.3, в системе реализовано управление количеством пользователей, приложений, пайплайнов, кодовых баз, артефактов и экземпляров приложений (инстансов) через лицензии AppSec.Hub.

При переходе на версию 2023.4.3 и выше необходимо убедиться в наличии файла лицензии нового формата и обновить лицензию. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения обновить лицензию, см. раздел «Управление лицензией AppSec.Hub».

2023.5.4

[01.02.2024]

Проблемы безопасности

• CVE-2024-23898 – критическая уязвимость (RCE) в hub-engine-manager.

2023.5.3

[26.12.2023]

Исправления

• ! Серьёзная ошибка релиза 2023.5.2 - необходимо обновиться до 2023.5.3! При отвязке DAST-уязвимости от дефекта подтягивается статус, которого не было. Некорректная информация накапливается в истории и влияет на результаты триажа.
• Шаблоны описания дефектов: Неверная ссылка на уязвимость (INC-306).

2023.5.2

[22.12.2023]

Улучшения

• Подтверждение уязвимостей без создания дефекта.

UI

• Дефекты: добавили иконку, предупреждающую о том, что статусы связанных уязвимостей не соответствуют статусу дефекта (INC-187).

Исправления

• Исправили поведение Session timeout (INC-224) на стороне Backend.
• Изменили методику подсчёта количества уязвимостей для значения в сайдбаре. Теперь там отображается количество открытых уязвимостей.
• Исправили ошибку при сохранении изменений статуса уязвимости, которая приводила к потере результатов триажа (INC-268).

2023.5.1

[15.12.2023]

Улучшения

• Редактируемые шаблоны описания дефектов (INC-142, INC-143):

  • Администратор может создавать новые, редактировать и удалять существующие шаблоны.
  • Активный шаблон применяется при создании дефекта на основе уязвимостей.

• Добавили возможность точечно привязывать/отвязывать уязвимости к дефекту.

• Trivy: на вкладке Path теперь отображается расположение уязвимой компоненты в образе.

UI

• Изменили внешний вид страницы пользователей.
• Добавили страницу профиля пользователя.
• Подняли версию до Angular 12.
• Вывели email службы технической поддержки в нижнюю часть страницы (footer).

Исправления

• Исправили поведение Session timeout (INC-224) на стороне UI.
• ZAP: добавили обработку ответов ZAP для выявления ошибок сканирования (INC-196).
• Вынесли управление размером очереди задач на импорт в настройки (INC-283).
• Clair: исправили наименование уязвимостей.
• Правила: сняли ограничение на создание правил из Clair-уязвимостей.

Проблемы безопасности

• CVE-2020-1967.
• CVE-2021-3711.
• CVE-2021-3712.
• CVE-2021-23840.
• CVE-2022-0778.
• CVE-2022-2097.
• CVE-2022-4450.
• CVE-2022-42919.
• CVE-2023-0215.
• CVE-2023-0286.
• CVE-2023-4244.
• CVE-2023-5072.
• CVE-2023-6378.
• CVE-2023-20569.
• CVE-2023-20873.
• CVE-2023-37920.
• GHSA-9qwg-crg9-m2vc.
• GHSA-6hcf-g6gr-hhcr.
• GHSA-5crp-9r3c-p9vr.

2023.4.5

Улучшения

• AppScreener (INC-129):

  • Добавили сборку Java-кода на стороне hub-engine.
  • Исключили изображения из списка файлов, которые отправляются на анализ в сканер.
  • Добавили сканирование конфигурационных файлов (ядро CONFIG).
  • Добавили возможность запускать скан в инкрементальном режиме.
  • Добавили возможность сохранять архив с файлами для сканирования на стороне инструмента.

Исправления

• AppSec.Hub не стартовал на пустой базе данных (без установленной лицензии).
• AppScreener: не импортируются результаты сканирования (INC-214).
• OWASP DependencyTrack: реагировать на ошибки при формировании SBOM (INC-236).

2023.4.4

Интеграция

• PT AppInspector: отключили поддержку версий ранее 4.1.1.

Улучшения

• Добавили отображение полей Source, Structure unit, Release object на странице со списком дефектов.
• QG: добавили возможность принудительного сброса значения QG для всех дочерних объектов.
• Jira: добавили поддержку полей Epic Link и Single Issue Picker (INC-150).
• Scans: добавили автоматическое обновление страницы и скорректировали отображение статусов в фильтрах.

Исправления

• Аутентификация: система больше не сбрасывает локально установленные роли и группы для случая, когда соответствующий маппинг не задан в настройках LDAP/SSO (INC-227).
• appScreener: при загрузке результатов теперь обрезается строки кода длиной более 5000 символов (INC-156).
• Исправили ошибки фильтрации организационной структуры.
• Исправили ошибки фильтрации сканов.
• Checkmarx: исправили описание уязвимостей, добавили замену параметров на имена методов, элементов, номера строки и имя файла (INC-218).

Проблемы безопасности

• Устранили уязвимости:
  • CVE-2023-38039.
  • CVE-2023-34035.
  • CVE-2023-34034.
  • CVE-2023-32731.
  • CVE-2022-31692.
  • CVE-2023-27534.
  • CVE-2023-27536.
  • CVE-2023-20883.
  • CVE-2023-20863.
  • CVE-2023-20873.
  • CVE-2023-1428.
  • CVE-2022-42003.
  • CVE-2021-33560.
  • CVE-2016-1000027.

Дистрибутив

• Включили Helm Charts в состав дистрибутива (appVersion 2023.4.4, version 0.1.13). Теперь обновления чартов выпускаются одновременно с релизом.

• hub-engine: Обновили версию cdxgen до 9.8.10 (INC-229).

• Обновили базовый образ alpine: 3.18.

2023.4.3

Важно!

Начиная с версии 2023.4.3, в системе реализовано управление количеством пользователей, приложений, пайплайнов, кодовых баз, артефактов и экземпляров приложений (инстансов) через лицензии AppSec.Hub.

При переходе на версию 2023.4.3 и выше необходимо убедиться в наличии файла лицензии нового формата и обновить лицензию. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения обновить лицензию, см. раздел «Управление лицензией AppSec.Hub».

Интеграция

• PT BlackBox: добавили поддержку версии 2.6.
• PT Application Inspector: добавили поддержку версии 4.5.0.

• Repository: добавили поддержку реестров Docker-образов на основе Docker Registry API v2.0:

  • Docker Hub.
  • Harbor.
  • Nexus
  • GitLab.

• Trivy: добавили поддержку версии 0.45.

Улучшения

• QG: добавили наследование критериев качества (QG) с уровня организации и приложения.
• Добавили страницу для отслеживания статуса выполнения сканирования.
• Лицензия: расширили список контролируемых параметров лицензии AppSec.Hub.
• Правила: добавили использование wildcard (*) в поле language.
• Фильтры: добавили кнопку Сбросить для параметров с мультивыбором значений.
• Добавили возможность создать дефект на страницу деталей об уязвимости.
• Добавили сохранение и отображение имени пользователя, который изменил статус уязвимости.

Исправления

• AppScreener: добавили обработку сетевых проблем при запросе статуса сканирования.
• CodeScoring: исправили ошибку при выгрузке отчёта из сканера.
• PT Application Inspector: исправили маппинг статусов.
• Jira:
  • Добавили обработку лимита на запросы (код ответа 429).
  • Убрали «тяжелые» запросы к истории изменений дефекта.
  • Добавили экспорт дефекта сразу после создания.
  • Убрали из запроса к Jira неиспользуемые поля.
• ZAP: исправили ошибки при запуске сканов.
• Убрали отображение пароля учетной записи для тестовых стендов (инстансов).
• Добавили пакет pyyaml в образ hub-engine:2023.4.3-fortify.
• Если произошла ошибка загрузки результатов, то уязвимости теперь не переводятся в Fixed.
• Правила: оптимизировали работу правил, чтобы ускорить загрузку результатов.
• При отвязке уязвимостей от дефекта статус возвращается в To Verify.
• Отчёты:
  • Ошибка формирования PDF отчёта.
  • Часть уязвимостей выгружается без описания (Details).
• Устранили создание дублирующего скана.

Проблемы безопасности

• Устранили уязвимости:
  • CVE-2023-41419.
  • CVE-2023-39417.
  • CVE-2023-37920.
  • CVE-2022-41409.
  • CVE-2022-40152.
  • CVE-2022-1471.
  • CVE-2021-40690.

2023.4.1

Интеграция

• Стингрей: добавили поддержку версии 2023.6.
• PT BlackBox: добавили возможность выбирать профиль авторизации и использовать его в процессе сканирования.
• Checkmarx: добавили использование CxCLI для запуска сканирования.

Улучшения

• UI: убрали горизонтальный скроллинг на странице Детали дефекта.
• CLI: добавили возможность передавать параметры учётных записей для тестовых стендов.
• Добавили экранирование специальных символов в конфигурации ZAP.

Исправления

• Добавили права на просмотр страницы с информацией о сканировании для роли Security engineer.
• Исправили сообщения о результатах сканирования, связанных с проверками критериев качества (QG).
• DepTrack: убрали создание проекта, если SBOM не был сформирован.
• Добавили механизм обновления токенов для пайплайнов.
• Исправили обработку ошибок сервиса zap-scanner.
• Устранили ошибку импорта уязвимостей из PT Application Inspector.

Дистрибутив

• Переименовали образы:
  • gateway -> hub-gateway;
  • issue-rule -> hub-issue-rule;
  • zap-scanner -> hub-zap-scanner;
  • sfs-jenkins -> hub-engine-manager;
  • sfs-jenkins-slave-all -> hub-engine.
• Добавили hub-engine с предустановленными Java 17 и Java 11 (отдельно).

2023.3.2

Интеграция

• Добавили поддержку PT BlackBox 2.5.

Улучшения

• Добавили логирование контейнера hub-gateway.
• Улучшили логирование контейнера hub-core, убрали логирование HikariPool уровня debug, изменили уровень логирования для некоторых сообщений (импорт, статус сканирования).
• Добавили логирование версии релиза при старте hub-core.
• Добавили фильтрацию уязвимостей по Состоянию (State) и Скану (scan ID).
• Добавили поиск в фильтры по кодовым базам, артефактам и инстансам на странице списка уязвимостей.
• Улучшили отображение блока принятия риска/FP на странице деталей уязвимости.

Исправления

• PT AI:
  • устранили проблему с загрузкой результатов параллельных сканов;
  • устранили проблему «мигающих» статусов уязвимостей.
• AppScreener: добавили проверку на длительные сканы.
• CodeScoring: устранили ошибку загрузки версии уязвимой компоненты.
• OWASP Dependency-Track: устранили дублирование зависимостей при клонировании проекта.
• Jira: теперь при синхронизации метки (label) существующих дефектов не перетираются.
• Убрали сброс фильтров на странице Пайплайны.
• Решили проблему с отображением ветки исходного кода на странице скана.
• Решили проблему сохранения SMTP-настроек.
• Отслеживание дефектов: исправили редактирование фильтра для полей типа value.
• Правила: исправили работу wildcard'ов.
• Правила: исправили автоматическую подстановку значений из уязвимости при создании правила.

2023.3.1

Аутентификация

• Добавили поддержку единого входа (Single Sign-On, SSO).

2023.2

Интеграции

• CodeScoring: добавили интеграцию с инструментом.
• OWASP ZAP:
  • Обернули ZAP в Docker-образ и добавили API для взаимодействия с AppSec.Hub.
  • Добавили интеграцию с инструментом.
• Jira: обновили интеграцию, добавили поддержку версий до 9.3.0.

Аутентификация

• Добавили поддержку форматов: domain\login, login@domain.
• Добавили синхронизацию изменений в параметрах доменной учётной записи.

Проблемы безопасности

• Устранили критические уязвимости:
  • CVE-2023-1436.
  • CVE-2017-1000487.

Дистрибутив

• Добавили образ, позволяющий развернуть OWASP ZAP как сервис.

• Обновили PostgreSQL до 13.2 (alpine).

2023.1.2

Улучшения

• Добавили обновление описаний уязвимостей при импорте результатов из сканера.
• UI: добавили информацию о проекте на карточку Solar appScreener в пайплайне.

Исправления

• Solar appScreener: Множество ошибок выгрузки PDF.
• Gateway не переподключается к ws после рестарта Core.
• Авторизация: Неверный код ответа при неуспешной авторизации.
• UI: добавили валидацию email пользователей по RFC 5322.
• UI: устранили ошибку в фильтре уязвимостей, когда нельзя было указать версию компоненты содержащую +.

Проблемы безопасности

• Устранена уязвимость CVE-2022-45688.

2023.1.1

Исправления

• UI: На странице Administration/LDAP Settings отсутствует возможность добавления группы в Group mapping.
• AppScreener:
  • в дефект не попадают данные из описания к уязвимости;
  • при импорте уязвимостей все они импортируются в статусе To verify.

2023.1

Интеграции

• PT AppInspector:
  • Добавили поддержку PT AI 4.2.
  • Устранили ошибку с отменой локальных настроек проекта в PT AI.
• Solar AppScreener:
  • Обновили интеграцию.
  • Устранили ошибку, связанную с появлением дубликатов уязвимостей.
• OWASP DependencyTrack:
  • Убрали предустановленный порт «8080» из ссылки на стенд DepTrack’а.
  • Добавили раздел References в описание уязвимости загруженной из DepTrack.

Улучшения

• Добавили возможность выполнять принятие риска (Accept risk) для всех типов уязвимостей — теперь можно принять риск не только для SCA уязвимостей, но и для SAST и DAST, а также создать правило для автоматического принятия риска.
• Добавили возможность применить добавление/удаление инструмента ИБ не только в шаблон, но и во все дочерние пайплайны.

Аутентификация

• Добавили поддержку нескольких доменов AD (LDAP) — теперь можно подключать несколько организаций к одному экземпляру AppSec.Hub и использовать их доменные аккаунты для авторизации.

UI

• Большую часть интерфейса перевели на русский язык. В будущих релизах работа будет продолжена.
• Добавили возможность выделить несколько уязвимостей и выполнить одну операцию, например: принять риск или пометить как ложное срабатывание.

Архитектура

• Начали переводить AppSec.Hub на микросервисную архитектуру, поэтому в поставке появились новые образы — gateway, issue-rule и consul.