Описание релизов

Важно!

Начиная с версии 2023.4.3, в системе реализовано управление количеством пользователей, приложений, пайплайнов, кодовых баз, артефактов и экземпляров приложений (инстансов) через лицензии AppSec.Hub.

При переходе на версию 2023.4.3 и выше необходимо убедиться в наличии файла лицензии нового формата и обновить лицензию. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения обновить лицензию, см. раздел «Управление лицензией AppSec.Hub».

2024.1.6

[27.04.2024]

Интеграции

• AppSec.Track: добавили отображение параметров инструмента в карточке инструмента AppSec.Track в пайплайне.
• CodeScoring: добавили сохранение fix version из инструмента (при его наличии в отчете) (INC-424).
• NexusRM: добавили возможность работы с npm артефактами групп (субдиректорий).
• hub-tool-converters
  • Создали репозиторий https://github.com/Swordfish-Security/hub-tool-converters с утилитой, позволяющей конвертировать отчеты из неподдерживаемых инструментов в формат отчета AppSec.Hub и загружать их затем в AppSec.Hub через функцию импорта отчета.
  • Добавили поддержку конвертации отчета GitLeaks.
  • Добавили поддержку конвертации отчета Semgrep.
  • Добавили поддержку конвертации отчета SARIF формата.
  • Добавили поддержку конвертации отчета PVS-Studio (через экспорт в формат SARIF).
  • Добавили поддержку конвертации отчета Svace (через экспорт в формат SARIF).
  • Добавили поддержку конвертации отчета Horusec.

Улучшения

• Добавили сбор метрик для сервиса hub-issue.
• Оптимизировали запрос на получение списка сканов (INC-412).
• Добавили в сервис hub-gateway возможность установки максимального размера GRPC сообщения (INC-429).
• Обновили базовый шаблон дефекта в репозитории https://github.com/Swordfish-Security/hub-defect-templates для поддержки Fix Version из CodeScoring (INC-424).

UI

• Добавили отображение времени автоматической блокировки пользователя в списке пользователей и на странице деталей пользователя.
• Добавили отображение автора правила на странице списка правил и деталей правила.

Исправления

• Исправили поведение, при котором дефекты, описание которых превышало лимит длины описания в Jira, теряли часть описания в AppSec.Hub (INC-449).
• Параметр structure unit больше не является обязательным в скрипте CLI import_report.py.
• Исправили ошибку, которая приводила к дублированию уведомлений о событии SCAN FAILED на почту.
• Исправили код ошибки при невозможности подключения AppSec.Hub к базе данных.
• Исправили ошибку, которая приводила к невозможности авторизоваться с первого раза после автоматической разблокировки пользователя.
• Исправили ошибку, приводящую к двойной регистрации сервиса hub-core в consul.
• Исправили ошибку, из-за которой при перезагрузке страницы списка дефектов не отображались дефекты (INC-465).
• Исправили ошибку, которая могла приводить к невозможности авторизации через SSO.

Проблемы безопасности

• hub-ui

  • CVE-2023-5363.

• hub-engine

  • CVE-2024-21634.
  • CVE-2023-4759.

• hub-core

  • CVE-2024-28757.
  • CVE-2023-52425.
  • CVE-2023-5363.
  • CVE-2023-46589.
  • CVE-2024-22262.
  • CVE-2024-22257.
  • CVE-2024-22259.
  • CVE-2016-1000027 – критическая уязвимость.
  • CVE-2023-24998.

• issue-rule

  • CVE-2024-22262.
  • CVE-2024-22259.
  • CVE-2024-22257.
  • CVE-2022-1471.

• hub-issue

  • CVE-2024-22262.
  • CVE-2024-22259.
  • CVE-2024-22257.
  • CVE-2024-22234.
  • CVE-2024-22243.
  • CVE-2023-6378.

• hub-sso

  • CVE-2024-22262.
  • CVE-2024-22259.
  • CVE-2024-22257.
  • CVE-2022-1471.

• hub-gateway

  • CVE-2024-22262.
  • CVE-2024-22259.
  • CVE-2024-22257.
  • CVE-2016-1000027 – критическая уязвимость.
  • CVE-2022-1471.

• hub-engine

  • CVE-2023-37920.
  • CVE-2023-49569 – критическая уязвимость.
  • CVE-2023-49568.

• hub-zap-scanner

  • CVE-2024-22234.
  • CVE-2024-22243.
  • CVE-2024-22259.
  • CVE-2024-22257.
  • CVE-2024-22262.

2024.1.5

[16.04.2024]

Исправления

• Исправили ошибку, из-за которой некоторые уязвимости не переходили в статус Fixed при их отсутствии в сканировании/импорте (INC-431).

2024.1.4

[05.04.2024]

Интеграции

• AppSec.Track

  • Добавили интеграцию с SCA инструментом AppSec.Track.
  • Доступно сканирование кодовых баз и артефактов.

• VCS: добавили интеграции с репозиториями GitLab и GitHub.

Улучшения

• Добавили возможность навигации по исходному коду в трассе SAST уязвимостей (для кодовых баз GitLab и GitHub).
• Добавили изменение статуса уязвимости на Fixed, если в отчете в формате AppSec.Hub данной уязвимости нет.
• Добавили возможность настройки количества попыток неудачного входа и времени блокировки пользователя через app.properties (INC-426).
• Добавили возможность разблокировки автоматически заблокированного пользователя из панели администрирования (INC-426).
• Добавили возможность установки максимальной длительности сканирования в hub-engine для всех пайплайнов через app.properties (INC-414).
• Добавили возможность гибкой настройки взаимодействия с Jira (частота запросов, кэширование) для ускорения работы интеграции (INC-263).
• Улучшили работу с фильтрами по объектам сканирования на страницах Issues, Scans, Rules.
• Добавили поддержку TLS v1.3 при подключении инструментов (INC-411).
• Убрали ограничение, не позволявшее сканировать артефакты из proxy-репозиториев Nexus RM (INC-403).

UI

• Добавили отображение поля description для SAST уязвимостей из отчета в формате AppSec.Hub на вкладе Description проблемы безопасности.
• Добавили перевод на русский язык разделов панели администрирования "Пользователи", "Команды", "Рабочие пространства", "Инструменты", а также "Профиль компании".

Исправления

• Исправили работу параметра --insecure в CLI скрипте import_report.py, не позволявшую использовать скрипт без проверки сертификатов.
• Исправили ошибки импорта из отчета в формате AppSec.Hub.
• Исправили ошибку дублирования названий Workspaces в профиле пользователя (INC-422).
• Исправили код выхода CLI при ошибке несовпадения ветки и установленного фильтра веток в кодовых базах.
• Исправили запись в логе аудита при событии issues.imported при ручном импорте проблем безопасности через UI.
• Исправили ошибку, которая приводила к дублированию дефектов после удаления и создания вновь конфигурации дефект-трекера в приложении.
• Исправили ошибку, из-за которой не приходили email-уведомления по событию SCAN_FAILED.
• Исправили ошибку, не позволявшую использовать инструмент Aqua Security с артефактами, имеющими длинный путь (INC-417).
• Исправили ошибку, приводящую к множественным сообщениям AVC в логах при импорте SAST проблем безопасности (INC-379).
• Исправили ошибку, не позволявшую изменить Locale у инструмента PT Application Inspector в настройках инструмента.
• Исправили отображение свойства "OBSOLETE" для правил обработки уязвимостей.
• Исправили ошибку сброса фильтров на странице инструментов в панели администрирования.
• Исправили автоматическое преобразование имен объектов сканирования при онбординге через CLI.
• Исправили ошибку в CLI, возникавшую при запросе на сканирование нового объекта, если в приложении была включена проверка целостности.
• Исправили проблему обновления токенов в hub-engine (INC-405).
• Исправили проблему конфигураций инструмента Solar Appscreener (параметры saveFile и incrementalScan) для ранее созданных конфигураций (INC-402).

2024.1.3

[13.03.2024]

Исправления

• Исправили ошибку маппинга уровня критичности уязвимостей из PT Application Inspector при выбранной русской локали (INC-404).

2024.1.2

[12.03.2024]

Интеграции

• PT Application Inspector: добавили возможность выбора JDK 17 при добавлении инструмента в пайлпайн.

Улучшения

• Добавили загрузку уязвимостей из неподдерживаемых сканеров в формате AppSec.Hub (максимально похожем на SARIF).

• Добавили возможность просмотра информации о задачах онбординга в Журнале задач приложения.

• Добавили CWE ID в метаданные для DAST-уязвимостей (для инструментов ZAP, PT Blackbox).

• Добавили поддержку множественных CWE для одной уязвимости.

• Добавили логирование на задачи импорта (INC-387).

• Изменили отображение статусов и деталей сканирования.

• Обновили dotnet до версии 8 в образах HubEngines.

UI

• Добавили возможность фильтрации уязвимостей по нескольким CWE ID.

• Добавили ссылку на дефект в блоке метаданных на странице информации об уязвимости.

Исправления

• Исправили метрики дефектов за текущий день (INC-323).

• Убрали из пайплайнов настройку Bypass.

• Исправили проблему дублирования компонент в инструменте Dependency-Track (INC-348).

• Исправили отслеживание ошибок парсинга отчетов из PT AI (INC-380).

• Исправили ошибку, не позволявшую настроить Custom design при некоторых условиях.

• Исправили некорректное поведение при удалении Организации.

• Исправили экспорт уязвимостей ZAP в PDF отчет.

• Исправили работу Excluded dirs при сканировании Checkmarx.

• Исправили проблему, не позволявшую обновить инструмент/имя для кодовой базы без связанного пайплайна.

• Исправили переход по ссылке в AppSec.Hub, если пользователь не был ранее авторизован.

• Исправили отображение автора дефекта.

• Исправили ошибку при создании Организации.

• Исправили отображение заголовков некоторых страниц.

Проблемы безопасности

• CVE-2024-22243 — исправили high-уязвимость в hub-core, hub-sso, hub-issue-rules, hub-gateway-образах.

2024.1.1

[12.02.2024]

Интеграция

• PT Application Inspector:

  • Добавили поддержку выбора локали (RU/EN).
  • V4.6.0 - добавили поддержку версионного API v6, отключили поддержку более ранних версий.

• Прекращена поддержка TeamCity как платформы для работы hub-engine.

• Trivy:

  • Добавили настройки для работы в закрытом контуре (INC-122).
  • Добавили кэш БД для на стороне hub-engine.

• Solar AppScreener: добавили замену HTML-кодов на символы при загрузке результатов.

• OWASP DependencyTrack: поддержали импорт изменений в поле severity (INC-284).
• Jira: добавили автоматический комментарий при смене статуса, если это необходимо для перехода из одного статуса в другой (INC-161).

Улучшения

• Добавили возможность настройки ширины канала GRPC (INC-324).
• Добавили возможность настройки ограничения количества символов в описании дефекта для Jira на UI.

UI

• Добавили возможность настраивать внешний вид AppSec.Hub.
• Добавили возможность поиска в фильтр по инструментам на страницах Пайплайнов и Инструментов.
• Добавили переключение вида детального описания дефекта (View/Edit).
• Убрали зависимость от стороннего роутера, мигрировали на @angular/router.

Исправления

• Исправили удаление Рабочей области / Workspace (INC-87).
• Добавили возможность перенести все Приложения из удаляемой Организации в ту, что остаётся в системе (INC-131).
• Убрали возможность эксплуатации Stored-XSS уязвимости через описание дефектов и рекомендации к устранению уязвимостей (INC-290).
• Исправили ошибку в механизме загрузки результатов: процесс останавливается с ошибкой, если превышен лимит очереди (INC-296).
• Оптимизировали количество сообщений в журнале (логе) вида «No content to map due to end-of-input» (INC-154).
• Исправили ссылку на объект сканирования (scan object) в списке сканов.
• Исправили отображение таблиц в описании дефекта (INC-307).
• Убрали логику объединения кодовых баз при пересечении значений branch filters (INC-157).
• Исправили поведение кнопок сохранения/сброса QG.
• Исправили отображение информации о ручной смене статуса при связывании уязвимостей с дефектом.
• Исправили вычисление метрик по открытым дефектам (INC-317).

2023.5.4

[01.02.2024]

Проблемы безопасности

• CVE-2024-23898 – критическая уязвимость (RCE) в hub-engine-manager.

2023.5.3

[26.12.2023]

Исправления

• ! Серьёзная ошибка релиза 2023.5.2 - необходимо обновиться до 2023.5.3! При отвязке DAST-уязвимости от дефекта подтягивается статус, которого не было. Некорректная информация накапливается в истории и влияет на результаты триажа.
• Шаблоны описания дефектов: Неверная ссылка на уязвимость (INC-306).

2023.5.2

[22.12.2023]

Улучшения

• Подтверждение уязвимостей без создания дефекта.

UI

• Дефекты: добавили иконку, предупреждающую о том, что статусы связанных уязвимостей не соответствуют статусу дефекта (INC-187).

Исправления

• Исправили поведение Session timeout (INC-224) на стороне Backend.
• Изменили методику подсчёта количества уязвимостей для значения в сайдбаре. Теперь там отображается количество открытых уязвимостей.
• Исправили ошибку при сохранении изменений статуса уязвимости, которая приводила к потере результатов триажа (INC-268).

2023.5.1

[15.12.2023]

Улучшения

• Редактируемые шаблоны описания дефектов (INC-142, INC-143):

  • Администратор может создавать новые, редактировать и удалять существующие шаблоны.
  • Активный шаблон применяется при создании дефекта на основе уязвимостей.

• Добавили возможность точечно привязывать/отвязывать уязвимости к дефекту.

• Trivy: на вкладке Path теперь отображается расположение уязвимой компоненты в образе.

UI

• Изменили внешний вид страницы пользователей.
• Добавили страницу профиля пользователя.
• Подняли версию до Angular 12.
• Вывели email службы технической поддержки в нижнюю часть страницы (footer).

Исправления

• Исправили поведение Session timeout (INC-224) на стороне UI.
• ZAP: добавили обработку ответов ZAP для выявления ошибок сканирования (INC-196).
• Вынесли управление размером очереди задач на импорт в настройки (INC-283).
• Clair: исправили наименование уязвимостей.
• Правила: сняли ограничение на создание правил из Clair-уязвимостей.

Проблемы безопасности

• CVE-2020-1967.
• CVE-2021-3711.
• CVE-2021-3712.
• CVE-2021-23840.
• CVE-2022-0778.
• CVE-2022-2097.
• CVE-2022-4450.
• CVE-2022-42919.
• CVE-2023-0215.
• CVE-2023-0286.
• CVE-2023-4244.
• CVE-2023-5072.
• CVE-2023-6378.
• CVE-2023-20569.
• CVE-2023-20873.
• CVE-2023-37920.
• GHSA-9qwg-crg9-m2vc.
• GHSA-6hcf-g6gr-hhcr.
• GHSA-5crp-9r3c-p9vr.

2023.4.5

Улучшения

• AppScreener (INC-129):

  • Добавили сборку Java-кода на стороне hub-engine.
  • Исключили изображения из списка файлов, которые отправляются на анализ в сканер.
  • Добавили сканирование конфигурационных файлов (ядро CONFIG).
  • Добавили возможность запускать скан в инкрементальном режиме.
  • Добавили возможность сохранять архив с файлами для сканирования на стороне инструмента.

Исправления

• AppSec.Hub не стартовал на пустой базе данных (без установленной лицензии).
• AppScreener: не импортируются результаты сканирования (INC-214).
• OWASP DependencyTrack: реагировать на ошибки при формировании SBOM (INC-236).

2023.4.4

Интеграция

• PT AppInspector: отключили поддержку версий ранее 4.1.1.

Улучшения

• Добавили отображение полей Source, Structure unit, Release object на странице со списком дефектов.
• QG: добавили возможность принудительного сброса значения QG для всех дочерних объектов.
• Jira: добавили поддержку полей Epic Link и Single Issue Picker (INC-150).
• Scans: добавили автоматическое обновление страницы и скорректировали отображение статусов в фильтрах.

Исправления

• Аутентификация: система больше не сбрасывает локально установленные роли и группы для случая, когда соответствующий маппинг не задан в настройках LDAP/SSO (INC-227).
• appScreener: при загрузке результатов теперь обрезается строки кода длиной более 5000 символов (INC-156).
• Исправили ошибки фильтрации организационной структуры.
• Исправили ошибки фильтрации сканов.
• Checkmarx: исправили описание уязвимостей, добавили замену параметров на имена методов, элементов, номера строки и имя файла (INC-218).

Проблемы безопасности

• Устранили уязвимости:
  • CVE-2023-38039.
  • CVE-2023-34035.
  • CVE-2023-34034.
  • CVE-2023-32731.
  • CVE-2022-31692.
  • CVE-2023-27534.
  • CVE-2023-27536.
  • CVE-2023-20883.
  • CVE-2023-20863.
  • CVE-2023-20873.
  • CVE-2023-1428.
  • CVE-2022-42003.
  • CVE-2021-33560.
  • CVE-2016-1000027.

Дистрибутив

• Включили Helm Charts в состав дистрибутива (appVersion 2023.4.4, version 0.1.13). Теперь обновления чартов выпускаются одновременно с релизом.

• hub-engine: Обновили версию cdxgen до 9.8.10 (INC-229).

• Обновили базовый образ alpine: 3.18.

2023.4.3

Важно!

Начиная с версии 2023.4.3, в системе реализовано управление количеством пользователей, приложений, пайплайнов, кодовых баз, артефактов и экземпляров приложений (инстансов) через лицензии AppSec.Hub.

При переходе на версию 2023.4.3 и выше необходимо убедиться в наличии файла лицензии нового формата и обновить лицензию. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения обновить лицензию, см. раздел «Управление лицензией AppSec.Hub».

Интеграция

• PT BlackBox: добавили поддержку версии 2.6.
• PT Application Inspector: добавили поддержку версии 4.5.0.

• Repository: добавили поддержку реестров Docker-образов на основе Docker Registry API v2.0:

  • Docker Hub.
  • Harbor.
  • Nexus
  • GitLab.

• Trivy: добавили поддержку версии 0.45.

Улучшения

• QG: добавили наследование критериев качества (QG) с уровня организации и приложения.
• Добавили страницу для отслеживания статуса выполнения сканирования.
• Лицензия: расширили список контролируемых параметров лицензии AppSec.Hub.
• Правила: добавили использование wildcard (*) в поле language.
• Фильтры: добавили кнопку Сбросить для параметров с мультивыбором значений.
• Добавили возможность создать дефект на страницу деталей об уязвимости.
• Добавили сохранение и отображение имени пользователя, который изменил статус уязвимости.

Исправления

• AppScreener: добавили обработку сетевых проблем при запросе статуса сканирования.
• CodeScoring: исправили ошибку при выгрузке отчёта из сканера.
• PT Application Inspector: исправили маппинг статусов.
• Jira:
  • Добавили обработку лимита на запросы (код ответа 429).
  • Убрали «тяжелые» запросы к истории изменений дефекта.
  • Добавили экспорт дефекта сразу после создания.
  • Убрали из запроса к Jira неиспользуемые поля.
• ZAP: исправили ошибки при запуске сканов.
• Убрали отображение пароля учетной записи для тестовых стендов (инстансов).
• Добавили пакет pyyaml в образ hub-engine:2023.4.3-fortify.
• Если произошла ошибка загрузки результатов, то уязвимости теперь не переводятся в Fixed.
• Правила: оптимизировали работу правил, чтобы ускорить загрузку результатов.
• При отвязке уязвимостей от дефекта статус возвращается в To Verify.
• Отчёты:
  • Ошибка формирования PDF отчёта.
  • Часть уязвимостей выгружается без описания (Details).
• Устранили создание дублирующего скана.

Проблемы безопасности

• Устранили уязвимости:
  • CVE-2023-41419.
  • CVE-2023-39417.
  • CVE-2023-37920.
  • CVE-2022-41409.
  • CVE-2022-40152.
  • CVE-2022-1471.
  • CVE-2021-40690.

2023.4.1

Интеграция

• Стингрей: добавили поддержку версии 2023.6.
• PT BlackBox: добавили возможность выбирать профиль авторизации и использовать его в процессе сканирования.
• Checkmarx: добавили использование CxCLI для запуска сканирования.

Улучшения

• UI: убрали горизонтальный скроллинг на странице Детали дефекта.
• CLI: добавили возможность передавать параметры учётных записей для тестовых стендов.
• Добавили экранирование специальных символов в конфигурации ZAP.

Исправления

• Добавили права на просмотр страницы с информацией о сканировании для роли Security engineer.
• Исправили сообщения о результатах сканирования, связанных с проверками критериев качества (QG).
• DepTrack: убрали создание проекта, если SBOM не был сформирован.
• Добавили механизм обновления токенов для пайплайнов.
• Исправили обработку ошибок сервиса zap-scanner.
• Устранили ошибку импорта уязвимостей из PT Application Inspector.

Дистрибутив

• Переименовали образы:
  • gateway -> hub-gateway;
  • issue-rule -> hub-issue-rule;
  • zap-scanner -> hub-zap-scanner;
  • sfs-jenkins -> hub-engine-manager;
  • sfs-jenkins-slave-all -> hub-engine.
• Добавили hub-engine с предустановленными Java 17 и Java 11 (отдельно).

2023.3.2

Интеграция

• Добавили поддержку PT BlackBox 2.5.

Улучшения

• Добавили логирование контейнера hub-gateway.
• Улучшили логирование контейнера hub-core, убрали логирование HikariPool уровня debug, изменили уровень логирования для некоторых сообщений (импорт, статус сканирования).
• Добавили логирование версии релиза при старте hub-core.
• Добавили фильтрацию уязвимостей по Состоянию (State) и Скану (scan ID).
• Добавили поиск в фильтры по кодовым базам, артефактам и инстансам на странице списка уязвимостей.
• Улучшили отображение блока принятия риска/FP на странице деталей уязвимости.

Исправления

• PT AI:
  • устранили проблему с загрузкой результатов параллельных сканов;
  • устранили проблему «мигающих» статусов уязвимостей.
• AppScreener: добавили проверку на длительные сканы.
• CodeScoring: устранили ошибку загрузки версии уязвимой компоненты.
• OWASP Dependency-Track: устранили дублирование зависимостей при клонировании проекта.
• Jira: теперь при синхронизации метки (label) существующих дефектов не перетираются.
• Убрали сброс фильтров на странице Пайплайны.
• Решили проблему с отображением ветки исходного кода на странице скана.
• Решили проблему сохранения SMTP-настроек.
• Отслеживание дефектов: исправили редактирование фильтра для полей типа value.
• Правила: исправили работу wildcard'ов.
• Правила: исправили автоматическую подстановку значений из уязвимости при создании правила.

2023.3.1

Аутентификация

• Добавили поддержку единого входа (Single Sign-On, SSO).

2023.2

Интеграции

• CodeScoring: добавили интеграцию с инструментом.
• OWASP ZAP:
  • Обернули ZAP в Docker-образ и добавили API для взаимодействия с AppSec.Hub.
  • Добавили интеграцию с инструментом.
• Jira: обновили интеграцию, добавили поддержку версий до 9.3.0.

Аутентификация

• Добавили поддержку форматов: domain\login, login@domain.
• Добавили синхронизацию изменений в параметрах доменной учётной записи.

Проблемы безопасности

• Устранили критические уязвимости:
  • CVE-2023-1436.
  • CVE-2017-1000487.

Дистрибутив

• Добавили образ, позволяющий развернуть OWASP ZAP как сервис.

• Обновили PostgreSQL до 13.2 (alpine).

2023.1.2

Улучшения

• Добавили обновление описаний уязвимостей при импорте результатов из сканера.
• UI: добавили информацию о проекте на карточку Solar appScreener в пайплайне.

Исправления

• Solar appScreener: Множество ошибок выгрузки PDF.
• Gateway не переподключается к ws после рестарта Core.
• Авторизация: Неверный код ответа при неуспешной авторизации.
• UI: добавили валидацию email пользователей по RFC 5322.
• UI: устранили ошибку в фильтре уязвимостей, когда нельзя было указать версию компоненты содержащую +.

Проблемы безопасности

• Устранена уязвимость CVE-2022-45688.

2023.1.1

Исправления

• UI: На странице Administration/LDAP Settings отсутствует возможность добавления группы в Group mapping.
• AppScreener:
  • в дефект не попадают данные из описания к уязвимости;
  • при импорте уязвимостей все они импортируются в статусе To verify.

2023.1

Интеграции

• PT AppInspector:
  • Добавили поддержку PT AI 4.2.
  • Устранили ошибку с отменой локальных настроек проекта в PT AI.
• Solar AppScreener:
  • Обновили интеграцию.
  • Устранили ошибку, связанную с появлением дубликатов уязвимостей.
• OWASP DependencyTrack:
  • Убрали предустановленный порт «8080» из ссылки на стенд DepTrack’а.
  • Добавили раздел References в описание уязвимости загруженной из DepTrack.

Улучшения

• Добавили возможность выполнять принятие риска (Accept risk) для всех типов уязвимостей — теперь можно принять риск не только для SCA уязвимостей, но и для SAST и DAST, а также создать правило для автоматического принятия риска.
• Добавили возможность применить добавление/удаление инструмента ИБ не только в шаблон, но и во все дочерние пайплайны.

Аутентификация

• Добавили поддержку нескольких доменов AD (LDAP) — теперь можно подключать несколько организаций к одному экземпляру AppSec.Hub и использовать их доменные аккаунты для авторизации.

UI

• Большую часть интерфейса перевели на русский язык. В будущих релизах работа будет продолжена.
• Добавили возможность выделить несколько уязвимостей и выполнить одну операцию, например: принять риск или пометить как ложное срабатывание.

Архитектура

• Начали переводить AppSec.Hub на микросервисную архитектуру, поэтому в поставке появились новые образы — gateway, issue-rule и consul.