Перейти к содержанию

Описание релизов

Важно!

Начиная с версии 2023.4.3, в системе реализовано управление количеством пользователей, приложений, пайплайнов, кодовых баз, артефактов и экземпляров приложений (инстансов) через лицензии AppSec.Hub.

При переходе на версию 2023.4.3 и выше необходимо убедиться в наличии файла лицензии нового формата и обновить лицензию. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения обновить лицензию, см. раздел «Управление лицензией AppSec.Hub».

2024.3.2

[16.10.2024]

Интеграции

  • PT Application Inspector:
    • Добавили поддержку сканирования артефактов.
  • Solar AppScreener:
    • Добавили исключение из сканирования файлов .git (INC-747).
    • Исправили проблему, возникавшую при загрузке больших кодовых баз (> 2 GB) (INC-676).
  • SonarQube:
    • Добавили сохранение языка уязвимости (INC-659).
    • Исправили сохранение и отображение пути уязвимости (INC-668).
  • OWASP ZAP:
    • Добавили возможность управления максимальным размером принимаемого файла плана автоматизации (INC-663).

Улучшения

  • Переработали механизм branch filters - параметр branch filter перенесен на уровень пайплайнов, теперь на основе одной кодовой базы можно создать несколько пайплайнов с разным набором инструментов и QG.
  • Добавили возможность использования разных шаблонов пайплайнов для разных названий веток.
  • Добавили в историю статусов и состояний уязвимостей кодовых баз отображение веток, в которых были обнаружены уязвимости.
  • Добавили фильтрацию уязвимостей по веткам кодовых баз.
  • Добавили выгрузку отчета по уязвимостям, входящим в OWASP Top10.
  • Добавили выгрузку отчета по ОУД4.
  • Добавили новое правило корреляции SCA Security уязвимостей (компонент + версия исправления).
  • Ускорили обработку группового изменения статуса выбранных уязвимостей.
  • Добавили возможность фильтрации сканов по релизным объектам.
  • Добавили предупреждение в лог CLI, если версия CLI не соответствует версии AppSec.Hub.

Исправления

  • Исправили ошибку, приводившую к невозможности самостоятельной смены пароля.
  • Ускорили загрузку списка уязвимостей и деталей уязвимости (INC-699).
  • Исправили сохранение примененных фильтров на странице списка уязвимостей (INC-716).
  • Исправили ошибку при загрузке отчета в формате AppSec.Hub, которая приводила к схлопыванию уязвимостей при одинаковых внешних идентификаторах (INC-791).
  • Исправили навигацию по исходному коду для уязвимостей, загруженных через отчет в формате AppSec.Hub (INC-802).
  • Исправили обновление состояния уязвимостей, загруженных через отчет в формате AppSec.Hub (INC-811).
  • Исправили ошибку, возникающую при онбординге структурной единицы приложения.
  • Исправили поведение поля "Обновлено" фильтра списка уязвимостей.
  • Исправили отображение описания уязвимостей в части классификаторов, если нет информации о связи с классификаторами (INC-783).
  • Добавили описание ошибки при получении исходного кода несуществующего файла (INC-668).
  • Исправили расчет использования лицензий на объекты сканирования при удалении пайплайнов (INC-731).
  • Исправили проблему шаблонов описания дефектов, из-за которой при экспорте дефекта в трекер могло теряться форматирование (INC-311).
  • Исправили проблему, приводившую к увеличению длительности импорта уязвимости при включённой корреляции.
  • Исправили формирование ссылок на коммиты (INC-688).
  • Исправили проблему при загрузке отчетов с большим количеством уязвимостей (> 25k) (INC-660).
  • Исправили ошибку, приводившую к отсутствию саммари по уязвимостям в пользовательском вебхуке.
  • Исправили возврат статуса сканирования в пользовательском вебхуке (INC-534).
  • Исправили форматирование описаний SAST-уязвимостей (INC-601).
  • Исправили поведение уведомления об окончании лицензии, не позволявшее его скрыть.
  • Исправили поведение модельного окна загрузки лицензии.

Проблемы безопасности

2024.3.1

[02.08.2024]

Интеграции

  • PT Application Inspector:
    • Добавили поддержку версии 4.7.2 (версии ниже 4.7.2 более не поддерживаются).
    • Добавили возможность выбора нескольких языков при добавлении PTAI в пайплайн (INC-636).
    • Добавили возможность выбора шаблона отчета, используемого для импорта уязвимостей.
  • CodeScoring:
    • Обновили версию Johnny до 2024.26.
  • Bitbucket:
    • Добавили интеграцию с VCS Bitbucket с возможностью навигации по исходному коду.

Улучшения

  • Добавили возможность деактивации инструментов на уровне компании (в панели администратора).
  • Добавили возможность деактивации инструментов в пайплайне.
  • Добавили возможность выбора протокола подключения в настройках SMTP.
  • Добавили возможность сканирования кодовых баз PHP и Go (сборщики composer и go mod).
  • Оптимизировали получение групп корреляции (INC-630).
  • Изменили алгоритм расчета WRI для групп корреляции (теперь в расчете учитываются только To Verify, Open и Confirmed уязвимости).
  • Улучшили алгоритм корреляции SCA Security уязвимостей (теперь одинаковые компоненты с разными префиксами объединяются в группы).
  • Оптимизировали процесс импорта уязвимостей.
  • Добавили логирование запросов между сервисами.

UI

  • Упростили процесс создания правил обработки уязвимостей.
  • Отключили отображение кнопки перезапуска сканирования для пользователей без права запуска сканирования.
  • Изменили стили отображения кода в описании уязвимостей.
  • Добавили отображение версии релиза AppSec.Hub на UI вместо версий компонент (INC-500).

Исправления

  • Исправили ошибку при просмотре уязвимостей из AppSec.Track.
  • Исправили проблему получения артефактов из Nexus RM при определенных условиях (INC-626).
  • Изменили текст предупреждения при импорте пустого отчета (INC-608).
  • Исправили отображение графика сканирований, если QG не применялись (INC-644).
  • Исправили передачу параметра названия кодовой базы через CLI (INC-615).
  • Исправили проблемы с helm-chart (INC-620, INC-635).
  • Исправили ошибку при переходе из TaskLog в приложение через хлебные крошки (INC-614).
  • Исправили ошибку при импорте большого количества уязвимостей (INC-613).
  • Исправили поведение страницы дефектов после проведения синхронизации (теперь страница обновляется после завершения синхронизации).
  • Исправили ошибку, возникающую при миграции БД при некоторых условиях.
  • Исправили ошибку, которая проявлялась в оставлении открытым модального окна при выходе из клиента.
  • Обновили версию библиотеки requests в hub-engine (INC-617).

Проблемы безопасности

2024.2.2

[27.06.2024]

Интеграции

  • OWASP ZAP:
    • Добавили возможность использования пользовательских конфигураций.
    • Добавили возможность подгружать дополнительные файлы для сканирования.
  • AppSec.Track:
    • Подняли версию интеграции до 3.7 (INC-584).

Улучшения

  • Доработали механизм Корреляции:
    • Добавили пересчет групп корреляции при удалении объектов сканирования.
    • Исключили из расчета удаленные уязвимости.
    • Исключили из расчета WRI уязвимости в статусе Fixed.
  • Доработали механизм AIR (Automated Issue Review):
    • Добавили обновление предсказаний после каждого сканирования.
    • Ограничили обрабатываемый набор уязвимостей текущим сканированием.
  • Добавили поддержку no-wait сканирования instance в CLI.

UI

  • Добавили поддержку многостраничного ввода комментария при принятии риска.
  • Добавили перевод подсказки для поля приветственного сообщения.

Исправления

  • Исправили отображение специальных символов в path и описании SAST-уязвимостей из PT AI (INC-548).
  • Исправили сканирование yum-артефактов SAST-инструментом AppScreener.
  • Исправили положение списка форматов экспортируемых отчетов.
  • Исправили раскрытие path при клике на шеврон.
  • Исправили отображение окна настройки конфигурации mDAST.

Проблемы безопасности

  • Обновили версию syft (исправление CVE-2023-49568).
  • Обновили образы postgres, dind, consul.

2024.2.1

[13.06.2024]

Интеграции

  • AppScreener: добавили возможность сканирования артефактов.
  • Jira: добавили возможность настройки терминального статуса.
  • hub-tool-converters (https://github.com/Swordfish-Security/hub-tool-converters)
    • Добавили поддержку конвертации отчета Burp suite.
    • Добавили поддержку конвертации отчета Gosec.
    • Добавили поддержку конвертации отчета Bandit.
    • Добавили поддержку конвертации отчета Spotbugs.
    • Добавили поддержку конвертации отчета Trufflehog.
    • Добавили поддержку конвертации отчета MobSF.
    • Добавили поддержку конвертации отчета checkov.

Улучшения

  • Переработан механизм AVC (Application Vulnerabilities Correlation):
    • Добавили возможность корреляции SAST, SCA Security, DAST уязвимостей.
    • Добавили возможность действий c группами корреляции.
  • Переработан механизм AIR (Automated Issue Review):
    • Обновлена модель предсказаний.
    • Добавлена возможность применения правил на основании предсказаний.
    • Удалена функциональность и метрики переобучения (active learning).
  • Добавили возможность расчета state уязвимостей для импортов отчетов в формате AppSec.Hub в настройках приложения.
  • Добавили возможность установки настроек исходящих соединений через app.properties (INC-552).
  • Добавили возможность установки поддерживаемых протоколов соединения (INC-411).
  • Добавили второй уровень сортировки дефектов, теперь дефекты сортируются по Priority и Severity (INC-420).

UI

  • Обновили Angular до версии 15.
  • Изменили представление списка уязвимостей на странице приложения.
  • Добавили возможность кастомизации страницы логина (INC-363).
  • Добавили переводы панели администрирования и страницы логина.
  • Добавили отображение исправленной версии для SCA Security уязвимостей на UI (INC-545).

Исправления

  • Исправлена проблема, которая могла приводить к показу чувствительных данных в адресной строке (INC-517).
  • Исправлен дефект, из-за которого последние страницы списка приложений могли быть пустыми.
  • Исправили работу параметра уровня логирования --debug в CLI, теперь он работает как ожидается.
  • Исправили текст ошибки при загрузке неверной лицензии.
  • Исправили написание названий пайплайнов в фильтрах.
  • Исправили ошибку при повторном импорте отчета для удаленной кодовой базы (INC-510).
  • Исправили отображение результатов QG на графике на странице дашбордов (INC-468).
  • Исправили отображение данных на странице деталей дефекта (INC-541).
  • Исправили обработку пустого отчета в формате AppSec.Hub.
  • Исправили отображение длинных строк на вкладке Path для SAST уязвимостей.
  • Исправили ошибку отображения списка на глобальной странице уязвимостей.
  • Исправили ошибку в CLI, которая могла приводить к выходу с неверным статусом сканирования.
  • Исправили ошибку при выгрузке PDF отчета с выбранными фильтрами по связанным объектам (INC-497).
  • Исправили ошибку интеграции с LDAP, приводящую к невозможности входа при различии регистра в почте пользователя в AppSec.Hub и LDAP-сервисе (INC-490).
  • Исправили ошибку в шаблоне helm-чарта (INC-531).
  • Исправили некоторые ошибки в документации (INC-492, 514, 526).

Проблемы безопасности

  • Обновили базовые образы.
  • hub-air

2024.1.6

[27.04.2024]

Интеграции

  • AppSec.Track: добавили отображение параметров инструмента в карточке инструмента AppSec.Track в пайплайне.
  • CodeScoring: добавили сохранение fix version из инструмента (при его наличии в отчете) (INC-424).
  • NexusRM: добавили возможность работы с npm артефактами групп (субдиректорий).
  • hub-tool-converters
    • Создали репозиторий https://github.com/Swordfish-Security/hub-tool-converters с утилитой, позволяющей конвертировать отчеты из неподдерживаемых инструментов в формат отчета AppSec.Hub и загружать их затем в AppSec.Hub через функцию импорта отчета.
    • Добавили поддержку конвертации отчета GitLeaks.
    • Добавили поддержку конвертации отчета Semgrep.
    • Добавили поддержку конвертации отчета SARIF формата.
    • Добавили поддержку конвертации отчета PVS-Studio (через экспорт в формат SARIF).
    • Добавили поддержку конвертации отчета Svace (через экспорт в формат SARIF).
    • Добавили поддержку конвертации отчета Horusec.

Улучшения

  • Добавили сбор метрик для сервиса hub-issue.
  • Оптимизировали запрос на получение списка сканов (INC-412).
  • Добавили в сервис hub-gateway возможность установки максимального размера GRPC сообщения (INC-429).
  • Обновили базовый шаблон дефекта в репозитории https://github.com/Swordfish-Security/hub-defect-templates для поддержки Fix Version из CodeScoring (INC-424).

UI

  • Добавили отображение времени автоматической блокировки пользователя в списке пользователей и на странице деталей пользователя.
  • Добавили отображение автора правила на странице списка правил и деталей правила.

Исправления

  • Исправили поведение, при котором дефекты, описание которых превышало лимит длины описания в Jira, теряли часть описания в AppSec.Hub (INC-449).
  • Параметр structure unit больше не является обязательным в скрипте CLI import_report.py.
  • Исправили ошибку, которая приводила к дублированию уведомлений о событии SCAN FAILED на почту.
  • Исправили код ошибки при невозможности подключения AppSec.Hub к базе данных.
  • Исправили ошибку, которая приводила к невозможности авторизоваться с первого раза после автоматической разблокировки пользователя.
  • Исправили ошибку, приводящую к двойной регистрации сервиса hub-core в consul.
  • Исправили ошибку, из-за которой при перезагрузке страницы списка дефектов не отображались дефекты (INC-465).
  • Исправили ошибку, которая могла приводить к невозможности авторизации через SSO.

Проблемы безопасности

2024.1.5

[16.04.2024]

Исправления

  • Исправили ошибку, из-за которой некоторые уязвимости не переходили в статус Fixed при их отсутствии в сканировании/импорте (INC-431).

2024.1.4

[05.04.2024]

Интеграции

  • AppSec.Track

    • Добавили интеграцию с SCA инструментом AppSec.Track.
    • Доступно сканирование кодовых баз и артефактов.
  • VCS: добавили интеграции с репозиториями GitLab и GitHub.

Улучшения

  • Добавили возможность навигации по исходному коду в трассе SAST уязвимостей (для кодовых баз GitLab и GitHub).
  • Добавили изменение статуса уязвимости на Fixed, если в отчете в формате AppSec.Hub данной уязвимости нет.
  • Добавили возможность настройки количества попыток неудачного входа и времени блокировки пользователя через app.properties (INC-426).
  • Добавили возможность разблокировки автоматически заблокированного пользователя из панели администрирования (INC-426).
  • Добавили возможность установки максимальной длительности сканирования в hub-engine для всех пайплайнов через app.properties (INC-414).
  • Добавили возможность гибкой настройки взаимодействия с Jira (частота запросов, кэширование) для ускорения работы интеграции (INC-263).
  • Улучшили работу с фильтрами по объектам сканирования на страницах Issues, Scans, Rules.
  • Добавили поддержку TLS v1.3 при подключении инструментов (INC-411).
  • Убрали ограничение, не позволявшее сканировать артефакты из proxy-репозиториев Nexus RM (INC-403).

UI

  • Добавили отображение поля description для SAST уязвимостей из отчета в формате AppSec.Hub на вкладе Description проблемы безопасности.
  • Добавили перевод на русский язык разделов панели администрирования "Пользователи", "Команды", "Рабочие пространства", "Инструменты", а также "Профиль компании".

Исправления

  • Исправили работу параметра --insecure в CLI скрипте import_report.py, не позволявшую использовать скрипт без проверки сертификатов.
  • Исправили ошибки импорта из отчета в формате AppSec.Hub.
  • Исправили ошибку дублирования названий Workspaces в профиле пользователя (INC-422).
  • Исправили код выхода CLI при ошибке несовпадения ветки и установленного фильтра веток в кодовых базах.
  • Исправили запись в логе аудита при событии issues.imported при ручном импорте проблем безопасности через UI.
  • Исправили ошибку, которая приводила к дублированию дефектов после удаления и создания вновь конфигурации дефект-трекера в приложении.
  • Исправили ошибку, из-за которой не приходили email-уведомления по событию SCAN_FAILED.
  • Исправили ошибку, не позволявшую использовать инструмент Aqua Security с артефактами, имеющими длинный путь (INC-417).
  • Исправили ошибку, приводящую к множественным сообщениям AVC в логах при импорте SAST проблем безопасности (INC-379).
  • Исправили ошибку, не позволявшую изменить Locale у инструмента PT Application Inspector в настройках инструмента.
  • Исправили отображение свойства "OBSOLETE" для правил обработки уязвимостей.
  • Исправили ошибку сброса фильтров на странице инструментов в панели администрирования.
  • Исправили автоматическое преобразование имен объектов сканирования при онбординге через CLI.
  • Исправили ошибку в CLI, возникавшую при запросе на сканирование нового объекта, если в приложении была включена проверка целостности.
  • Исправили проблему обновления токенов в hub-engine (INC-405).
  • Исправили проблему конфигураций инструмента Solar Appscreener (параметры saveFile и incrementalScan) для ранее созданных конфигураций (INC-402).

2024.1.3

[13.03.2024]

Исправления

  • Исправили ошибку маппинга уровня критичности уязвимостей из PT Application Inspector при выбранной русской локали (INC-404).

2024.1.2

[12.03.2024]

Интеграции

  • PT Application Inspector: добавили возможность выбора JDK 17 при добавлении инструмента в пайлпайн.

Улучшения

  • Добавили загрузку уязвимостей из неподдерживаемых сканеров в формате AppSec.Hub (максимально похожем на SARIF).

  • Добавили возможность просмотра информации о задачах онбординга в Журнале задач приложения.

  • Добавили CWE ID в метаданные для DAST-уязвимостей (для инструментов ZAP, PT Blackbox).

  • Добавили поддержку множественных CWE для одной уязвимости.

  • Добавили логирование на задачи импорта (INC-387).

  • Изменили отображение статусов и деталей сканирования.

  • Обновили dotnet до версии 8 в образах HubEngines.

UI

  • Добавили возможность фильтрации уязвимостей по нескольким CWE ID.

  • Добавили ссылку на дефект в блоке метаданных на странице информации об уязвимости.

Исправления

  • Исправили метрики дефектов за текущий день (INC-323).

  • Убрали из пайплайнов настройку Bypass.

  • Исправили проблему дублирования компонент в инструменте Dependency-Track (INC-348).

  • Исправили отслеживание ошибок парсинга отчетов из PT AI (INC-380).

  • Исправили ошибку, не позволявшую настроить Custom design при некоторых условиях.

  • Исправили некорректное поведение при удалении Организации.

  • Исправили экспорт уязвимостей ZAP в PDF отчет.

  • Исправили работу Excluded dirs при сканировании Checkmarx.

  • Исправили проблему, не позволявшую обновить инструмент/имя для кодовой базы без связанного пайплайна.

  • Исправили переход по ссылке в AppSec.Hub, если пользователь не был ранее авторизован.

  • Исправили отображение автора дефекта.

  • Исправили ошибку при создании Организации.

  • Исправили отображение заголовков некоторых страниц.

Проблемы безопасности

  • CVE-2024-22243 — исправили high-уязвимость в hub-core, hub-sso, hub-issue-rules, hub-gateway-образах.

2024.1.1

[12.02.2024]

Интеграция

  • PT Application Inspector:

    • Добавили поддержку выбора локали (RU/EN).
    • V4.6.0 - добавили поддержку версионного API v6, отключили поддержку более ранних версий.
  • Прекращена поддержка TeamCity как платформы для работы hub-engine.

  • Trivy:

    • Добавили настройки для работы в закрытом контуре (INC-122).
    • Добавили кэш БД для на стороне hub-engine.
  • Solar AppScreener: добавили замену HTML-кодов на символы при загрузке результатов.

  • OWASP DependencyTrack: поддержали импорт изменений в поле severity (INC-284).
  • Jira: добавили автоматический комментарий при смене статуса, если это необходимо для перехода из одного статуса в другой (INC-161).

Улучшения

  • Добавили возможность настройки ширины канала GRPC (INC-324).
  • Добавили возможность настройки ограничения количества символов в описании дефекта для Jira на UI.

UI

  • Добавили возможность настраивать внешний вид AppSec.Hub.
  • Добавили возможность поиска в фильтр по инструментам на страницах Пайплайнов и Инструментов.
  • Добавили переключение вида детального описания дефекта (View/Edit).
  • Убрали зависимость от стороннего роутера, мигрировали на @angular/router.

Исправления

  • Исправили удаление Рабочей области / Workspace (INC-87).
  • Добавили возможность перенести все Приложения из удаляемой Организации в ту, что остаётся в системе (INC-131).
  • Убрали возможность эксплуатации Stored-XSS уязвимости через описание дефектов и рекомендации к устранению уязвимостей (INC-290).
  • Исправили ошибку в механизме загрузки результатов: процесс останавливается с ошибкой, если превышен лимит очереди (INC-296).
  • Оптимизировали количество сообщений в журнале (логе) вида «No content to map due to end-of-input» (INC-154).
  • Исправили ссылку на объект сканирования (scan object) в списке сканов.
  • Исправили отображение таблиц в описании дефекта (INC-307).
  • Убрали логику объединения кодовых баз при пересечении значений branch filters (INC-157).
  • Исправили поведение кнопок сохранения/сброса QG.
  • Исправили отображение информации о ручной смене статуса при связывании уязвимостей с дефектом.
  • Исправили вычисление метрик по открытым дефектам (INC-317).

2023.5.4

[01.02.2024]

Проблемы безопасности

  • CVE-2024-23898 – критическая уязвимость (RCE) в hub-engine-manager.

2023.5.3

[26.12.2023]

Исправления

  • ! Серьёзная ошибка релиза 2023.5.2 - необходимо обновиться до 2023.5.3! При отвязке DAST-уязвимости от дефекта подтягивается статус, которого не было. Некорректная информация накапливается в истории и влияет на результаты триажа.
  • Шаблоны описания дефектов: Неверная ссылка на уязвимость (INC-306).

2023.5.2

[22.12.2023]

Улучшения

  • Подтверждение уязвимостей без создания дефекта.

UI

  • Дефекты: добавили иконку, предупреждающую о том, что статусы связанных уязвимостей не соответствуют статусу дефекта (INC-187).

Исправления

  • Исправили поведение Session timeout (INC-224) на стороне Backend.
  • Изменили методику подсчёта количества уязвимостей для значения в сайдбаре. Теперь там отображается количество открытых уязвимостей.
  • Исправили ошибку при сохранении изменений статуса уязвимости, которая приводила к потере результатов триажа (INC-268).

2023.5.1

[15.12.2023]

Улучшения

  • Редактируемые шаблоны описания дефектов (INC-142, INC-143):

    • Администратор может создавать новые, редактировать и удалять существующие шаблоны.
    • Активный шаблон применяется при создании дефекта на основе уязвимостей.
  • Добавили возможность точечно привязывать/отвязывать уязвимости к дефекту.

  • Trivy: на вкладке Path теперь отображается расположение уязвимой компоненты в образе.

UI

  • Изменили внешний вид страницы пользователей.
  • Добавили страницу профиля пользователя.
  • Подняли версию до Angular 12.
  • Вывели email службы технической поддержки в нижнюю часть страницы (footer).

Исправления

  • Исправили поведение Session timeout (INC-224) на стороне UI.
  • ZAP: добавили обработку ответов ZAP для выявления ошибок сканирования (INC-196).
  • Вынесли управление размером очереди задач на импорт в настройки (INC-283).
  • Clair: исправили наименование уязвимостей.
  • Правила: сняли ограничение на создание правил из Clair-уязвимостей.

Проблемы безопасности

2023.4.5

Улучшения

  • AppScreener (INC-129):

    • Добавили сборку Java-кода на стороне hub-engine.
    • Исключили изображения из списка файлов, которые отправляются на анализ в сканер.
    • Добавили сканирование конфигурационных файлов (ядро CONFIG).
    • Добавили возможность запускать скан в инкрементальном режиме.
    • Добавили возможность сохранять архив с файлами для сканирования на стороне инструмента.

Исправления

  • AppSec.Hub не стартовал на пустой базе данных (без установленной лицензии).
  • AppScreener: не импортируются результаты сканирования (INC-214).
  • OWASP DependencyTrack: реагировать на ошибки при формировании SBOM (INC-236).

2023.4.4

Интеграция

  • PT AppInspector: отключили поддержку версий ранее 4.1.1.

Улучшения

  • Добавили отображение полей Source, Structure unit, Release object на странице со списком дефектов.
  • QG: добавили возможность принудительного сброса значения QG для всех дочерних объектов.
  • Jira: добавили поддержку полей Epic Link и Single Issue Picker (INC-150).
  • Scans: добавили автоматическое обновление страницы и скорректировали отображение статусов в фильтрах.

Исправления

  • Аутентификация: система больше не сбрасывает локально установленные роли и группы для случая, когда соответствующий маппинг не задан в настройках LDAP/SSO (INC-227).
  • appScreener: при загрузке результатов теперь обрезается строки кода длиной более 5000 символов (INC-156).
  • Исправили ошибки фильтрации организационной структуры.
  • Исправили ошибки фильтрации сканов.
  • Checkmarx: исправили описание уязвимостей, добавили замену параметров на имена методов, элементов, номера строки и имя файла (INC-218).

Проблемы безопасности

Дистрибутив

  • Включили Helm Charts в состав дистрибутива (appVersion 2023.4.4, version 0.1.13). Теперь обновления чартов выпускаются одновременно с релизом.

  • hub-engine: Обновили версию cdxgen до 9.8.10 (INC-229).

  • Обновили базовый образ alpine: 3.18.

2023.4.3

Важно!

Начиная с версии 2023.4.3, в системе реализовано управление количеством пользователей, приложений, пайплайнов, кодовых баз, артефактов и экземпляров приложений (инстансов) через лицензии AppSec.Hub.

При переходе на версию 2023.4.3 и выше необходимо убедиться в наличии файла лицензии нового формата и обновить лицензию. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения обновить лицензию, см. раздел «Управление лицензией AppSec.Hub».

Интеграция

  • PT BlackBox: добавили поддержку версии 2.6.
  • PT Application Inspector: добавили поддержку версии 4.5.0.
  • Repository: добавили поддержку реестров Docker-образов на основе Docker Registry API v2.0:

    • Docker Hub.
    • Harbor.
    • Nexus
    • GitLab.
  • Trivy: добавили поддержку версии 0.45.

Улучшения

  • QG: добавили наследование критериев качества (QG) с уровня организации и приложения.
  • Добавили страницу для отслеживания статуса выполнения сканирования.
  • Лицензия: расширили список контролируемых параметров лицензии AppSec.Hub.
  • Правила: добавили использование wildcard (*) в поле language.
  • Фильтры: добавили кнопку Сбросить для параметров с мультивыбором значений.
  • Добавили возможность создать дефект на страницу деталей об уязвимости.
  • Добавили сохранение и отображение имени пользователя, который изменил статус уязвимости.

Исправления

  • AppScreener: добавили обработку сетевых проблем при запросе статуса сканирования.
  • CodeScoring: исправили ошибку при выгрузке отчёта из сканера.
  • PT Application Inspector: исправили маппинг статусов.
  • Jira:
    • Добавили обработку лимита на запросы (код ответа 429).
    • Убрали «тяжелые» запросы к истории изменений дефекта.
    • Добавили экспорт дефекта сразу после создания.
    • Убрали из запроса к Jira неиспользуемые поля.
  • ZAP: исправили ошибки при запуске сканов.
  • Убрали отображение пароля учетной записи для тестовых стендов (инстансов).
  • Добавили пакет pyyaml в образ hub-engine:2023.4.3-fortify.
  • Если произошла ошибка загрузки результатов, то уязвимости теперь не переводятся в Fixed.
  • Правила: оптимизировали работу правил, чтобы ускорить загрузку результатов.
  • При отвязке уязвимостей от дефекта статус возвращается в To Verify.
  • Отчёты:
    • Ошибка формирования PDF отчёта.
    • Часть уязвимостей выгружается без описания (Details).
  • Устранили создание дублирующего скана.

Проблемы безопасности

2023.4.1

Интеграция

  • Стингрей: добавили поддержку версии 2023.6.
  • PT BlackBox: добавили возможность выбирать профиль авторизации и использовать его в процессе сканирования.
  • Checkmarx: добавили использование CxCLI для запуска сканирования.

Улучшения

  • UI: убрали горизонтальный скроллинг на странице Детали дефекта.
  • CLI: добавили возможность передавать параметры учётных записей для тестовых стендов.
  • Добавили экранирование специальных символов в конфигурации ZAP.

Исправления

  • Добавили права на просмотр страницы с информацией о сканировании для роли Security engineer.
  • Исправили сообщения о результатах сканирования, связанных с проверками критериев качества (QG).
  • DepTrack: убрали создание проекта, если SBOM не был сформирован.
  • Добавили механизм обновления токенов для пайплайнов.
  • Исправили обработку ошибок сервиса zap-scanner.
  • Устранили ошибку импорта уязвимостей из PT Application Inspector.

Дистрибутив

  • Переименовали образы:
    • gateway -> hub-gateway;
    • issue-rule -> hub-issue-rule;
    • zap-scanner -> hub-zap-scanner;
    • sfs-jenkins -> hub-engine-manager;
    • sfs-jenkins-slave-all -> hub-engine.
  • Добавили hub-engine с предустановленными Java 17 и Java 11 (отдельно).

2023.3.2

Интеграция

  • Добавили поддержку PT BlackBox 2.5.

Улучшения

  • Добавили логирование контейнера hub-gateway.
  • Улучшили логирование контейнера hub-core, убрали логирование HikariPool уровня debug, изменили уровень логирования для некоторых сообщений (импорт, статус сканирования).
  • Добавили логирование версии релиза при старте hub-core.
  • Добавили фильтрацию уязвимостей по Состоянию (State) и Скану (scan ID).
  • Добавили поиск в фильтры по кодовым базам, артефактам и инстансам на странице списка уязвимостей.
  • Улучшили отображение блока принятия риска/FP на странице деталей уязвимости.

Исправления

  • PT AI:
    • устранили проблему с загрузкой результатов параллельных сканов;
    • устранили проблему «мигающих» статусов уязвимостей.
  • AppScreener: добавили проверку на длительные сканы.
  • CodeScoring: устранили ошибку загрузки версии уязвимой компоненты.
  • OWASP Dependency-Track: устранили дублирование зависимостей при клонировании проекта.
  • Jira: теперь при синхронизации метки (label) существующих дефектов не перетираются.
  • Убрали сброс фильтров на странице Пайплайны.
  • Решили проблему с отображением ветки исходного кода на странице скана.
  • Решили проблему сохранения SMTP-настроек.
  • Отслеживание дефектов: исправили редактирование фильтра для полей типа value.
  • Правила: исправили работу wildcard'ов.
  • Правила: исправили автоматическую подстановку значений из уязвимости при создании правила.

2023.3.1

Аутентификация

  • Добавили поддержку единого входа (Single Sign-On, SSO).

2023.2

Интеграции

  • CodeScoring: добавили интеграцию с инструментом.
  • OWASP ZAP:
    • Обернули ZAP в Docker-образ и добавили API для взаимодействия с AppSec.Hub.
    • Добавили интеграцию с инструментом.
  • Jira: обновили интеграцию, добавили поддержку версий до 9.3.0.

Аутентификация

  • Добавили поддержку форматов: domain\login, login@domain.
  • Добавили синхронизацию изменений в параметрах доменной учётной записи.

Проблемы безопасности

Дистрибутив

  • Добавили образ, позволяющий развернуть OWASP ZAP как сервис.
  • Обновили PostgreSQL до 13.2 (alpine).

2023.1.2

Улучшения

  • Добавили обновление описаний уязвимостей при импорте результатов из сканера.
  • UI: добавили информацию о проекте на карточку Solar appScreener в пайплайне.

Исправления

  • Solar appScreener: Множество ошибок выгрузки PDF.
  • Gateway не переподключается к ws после рестарта Core.
  • Авторизация: Неверный код ответа при неуспешной авторизации.
  • UI: добавили валидацию email пользователей по RFC 5322.
  • UI: устранили ошибку в фильтре уязвимостей, когда нельзя было указать версию компоненты содержащую +.

Проблемы безопасности

2023.1.1

Исправления

  • UI: На странице Administration/LDAP Settings отсутствует возможность добавления группы в Group mapping.
  • AppScreener:
    • в дефект не попадают данные из описания к уязвимости;
    • при импорте уязвимостей все они импортируются в статусе To verify.

2023.1

Интеграции

  • PT AppInspector:
    • Добавили поддержку PT AI 4.2.
    • Устранили ошибку с отменой локальных настроек проекта в PT AI.
  • Solar AppScreener:
    • Обновили интеграцию.
    • Устранили ошибку, связанную с появлением дубликатов уязвимостей.
  • OWASP DependencyTrack:
    • Убрали предустановленный порт «8080» из ссылки на стенд DepTrack’а.
    • Добавили раздел References в описание уязвимости загруженной из DepTrack.

Улучшения

  • Добавили возможность выполнять принятие риска (Accept risk) для всех типов уязвимостей — теперь можно принять риск не только для SCA уязвимостей, но и для SAST и DAST, а также создать правило для автоматического принятия риска.
  • Добавили возможность применить добавление/удаление инструмента ИБ не только в шаблон, но и во все дочерние пайплайны.

Аутентификация

  • Добавили поддержку нескольких доменов AD (LDAP) — теперь можно подключать несколько организаций к одному экземпляру AppSec.Hub и использовать их доменные аккаунты для авторизации.

UI

  • Большую часть интерфейса перевели на русский язык. В будущих релизах работа будет продолжена.
  • Добавили возможность выделить несколько уязвимостей и выполнить одну операцию, например: принять риск или пометить как ложное срабатывание.

Архитектура

  • Начали переводить AppSec.Hub на микросервисную архитектуру, поэтому в поставке появились новые образы — gateway, issue-rule и consul.
К началу