Описание релизов
Важно!
Начиная с версии 2023.4.3, в системе реализовано управление количеством пользователей, приложений, пайплайнов, кодовых баз, артефактов и экземпляров приложений (инстансов) через лицензии AppSec.Hub.
При переходе на версию 2023.4.3 и выше необходимо убедиться в наличии файла лицензии нового формата и обновить лицензию. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения обновить лицензию, см. раздел «Управление лицензией AppSec.Hub».
2024.3.2
[16.10.2024]
Интеграции
- PT Application Inspector:
- Добавили поддержку сканирования артефактов.
- Solar AppScreener:
- Добавили исключение из сканирования файлов .git (INC-747).
- Исправили проблему, возникавшую при загрузке больших кодовых баз (> 2 GB) (INC-676).
- SonarQube:
- Добавили сохранение языка уязвимости (INC-659).
- Исправили сохранение и отображение пути уязвимости (INC-668).
- OWASP ZAP:
- Добавили возможность управления максимальным размером принимаемого файла плана автоматизации (INC-663).
Улучшения
- Переработали механизм branch filters - параметр branch filter перенесен на уровень пайплайнов, теперь на основе одной кодовой базы можно создать несколько пайплайнов с разным набором инструментов и QG.
- Добавили возможность использования разных шаблонов пайплайнов для разных названий веток.
- Добавили в историю статусов и состояний уязвимостей кодовых баз отображение веток, в которых были обнаружены уязвимости.
- Добавили фильтрацию уязвимостей по веткам кодовых баз.
- Добавили выгрузку отчета по уязвимостям, входящим в OWASP Top10.
- Добавили выгрузку отчета по ОУД4.
- Добавили новое правило корреляции SCA Security уязвимостей (компонент + версия исправления).
- Ускорили обработку группового изменения статуса выбранных уязвимостей.
- Добавили возможность фильтрации сканов по релизным объектам.
- Добавили предупреждение в лог CLI, если версия CLI не соответствует версии AppSec.Hub.
Исправления
- Исправили ошибку, приводившую к невозможности самостоятельной смены пароля.
- Ускорили загрузку списка уязвимостей и деталей уязвимости (INC-699).
- Исправили сохранение примененных фильтров на странице списка уязвимостей (INC-716).
- Исправили ошибку при загрузке отчета в формате AppSec.Hub, которая приводила к схлопыванию уязвимостей при одинаковых внешних идентификаторах (INC-791).
- Исправили навигацию по исходному коду для уязвимостей, загруженных через отчет в формате AppSec.Hub (INC-802).
- Исправили обновление состояния уязвимостей, загруженных через отчет в формате AppSec.Hub (INC-811).
- Исправили ошибку, возникающую при онбординге структурной единицы приложения.
- Исправили поведение поля "Обновлено" фильтра списка уязвимостей.
- Исправили отображение описания уязвимостей в части классификаторов, если нет информации о связи с классификаторами (INC-783).
- Добавили описание ошибки при получении исходного кода несуществующего файла (INC-668).
- Исправили расчет использования лицензий на объекты сканирования при удалении пайплайнов (INC-731).
- Исправили проблему шаблонов описания дефектов, из-за которой при экспорте дефекта в трекер могло теряться форматирование (INC-311).
- Исправили проблему, приводившую к увеличению длительности импорта уязвимости при включённой корреляции.
- Исправили формирование ссылок на коммиты (INC-688).
- Исправили проблему при загрузке отчетов с большим количеством уязвимостей (> 25k) (INC-660).
- Исправили ошибку, приводившую к отсутствию саммари по уязвимостям в пользовательском вебхуке.
- Исправили возврат статуса сканирования в пользовательском вебхуке (INC-534).
- Исправили форматирование описаний SAST-уязвимостей (INC-601).
- Исправили поведение уведомления об окончании лицензии, не позволявшее его скрыть.
- Исправили поведение модельного окна загрузки лицензии.
Проблемы безопасности
- CVE-2024-45492.
- CVE-2024-45491.
- CVE-2024-45490.
- CVE-2024-43044.
- CVE-2023-37920.
- CVE-2024-34750.
- CVE-2024-27307.
- CVE-2024-6345.
- CVE-2024-6197.
- CVE-2024-2398.
2024.3.1
[02.08.2024]
Интеграции
- PT Application Inspector:
- Добавили поддержку версии 4.7.2 (версии ниже 4.7.2 более не поддерживаются).
- Добавили возможность выбора нескольких языков при добавлении PTAI в пайплайн (INC-636).
- Добавили возможность выбора шаблона отчета, используемого для импорта уязвимостей.
- CodeScoring:
- Обновили версию Johnny до 2024.26.
- Bitbucket:
- Добавили интеграцию с VCS Bitbucket с возможностью навигации по исходному коду.
Улучшения
- Добавили возможность деактивации инструментов на уровне компании (в панели администратора).
- Добавили возможность деактивации инструментов в пайплайне.
- Добавили возможность выбора протокола подключения в настройках SMTP.
- Добавили возможность сканирования кодовых баз PHP и Go (сборщики composer и go mod).
- Оптимизировали получение групп корреляции (INC-630).
- Изменили алгоритм расчета WRI для групп корреляции (теперь в расчете учитываются только To Verify, Open и Confirmed уязвимости).
- Улучшили алгоритм корреляции SCA Security уязвимостей (теперь одинаковые компоненты с разными префиксами объединяются в группы).
- Оптимизировали процесс импорта уязвимостей.
- Добавили логирование запросов между сервисами.
UI
- Упростили процесс создания правил обработки уязвимостей.
- Отключили отображение кнопки перезапуска сканирования для пользователей без права запуска сканирования.
- Изменили стили отображения кода в описании уязвимостей.
- Добавили отображение версии релиза AppSec.Hub на UI вместо версий компонент (INC-500).
Исправления
- Исправили ошибку при просмотре уязвимостей из AppSec.Track.
- Исправили проблему получения артефактов из Nexus RM при определенных условиях (INC-626).
- Изменили текст предупреждения при импорте пустого отчета (INC-608).
- Исправили отображение графика сканирований, если QG не применялись (INC-644).
- Исправили передачу параметра названия кодовой базы через CLI (INC-615).
- Исправили проблемы с helm-chart (INC-620, INC-635).
- Исправили ошибку при переходе из TaskLog в приложение через хлебные крошки (INC-614).
- Исправили ошибку при импорте большого количества уязвимостей (INC-613).
- Исправили поведение страницы дефектов после проведения синхронизации (теперь страница обновляется после завершения синхронизации).
- Исправили ошибку, возникающую при миграции БД при некоторых условиях.
- Исправили ошибку, которая проявлялась в оставлении открытым модального окна при выходе из клиента.
- Обновили версию библиотеки requests в hub-engine (INC-617).
Проблемы безопасности
-
core, sso, gateway
-
engine-manager
2024.2.2
[27.06.2024]
Интеграции
- OWASP ZAP:
- Добавили возможность использования пользовательских конфигураций.
- Добавили возможность подгружать дополнительные файлы для сканирования.
- AppSec.Track:
- Подняли версию интеграции до 3.7 (INC-584).
Улучшения
- Доработали механизм Корреляции:
- Добавили пересчет групп корреляции при удалении объектов сканирования.
- Исключили из расчета удаленные уязвимости.
- Исключили из расчета WRI уязвимости в статусе Fixed.
- Доработали механизм AIR (Automated Issue Review):
- Добавили обновление предсказаний после каждого сканирования.
- Ограничили обрабатываемый набор уязвимостей текущим сканированием.
- Добавили поддержку no-wait сканирования instance в CLI.
UI
- Добавили поддержку многостраничного ввода комментария при принятии риска.
- Добавили перевод подсказки для поля приветственного сообщения.
Исправления
- Исправили отображение специальных символов в path и описании SAST-уязвимостей из PT AI (INC-548).
- Исправили сканирование yum-артефактов SAST-инструментом AppScreener.
- Исправили положение списка форматов экспортируемых отчетов.
- Исправили раскрытие path при клике на шеврон.
- Исправили отображение окна настройки конфигурации mDAST.
Проблемы безопасности
- Обновили версию syft (исправление CVE-2023-49568).
- Обновили образы postgres, dind, consul.
2024.2.1
[13.06.2024]
Интеграции
- AppScreener: добавили возможность сканирования артефактов.
- Jira: добавили возможность настройки терминального статуса.
- hub-tool-converters (https://github.com/Swordfish-Security/hub-tool-converters)
- Добавили поддержку конвертации отчета Burp suite.
- Добавили поддержку конвертации отчета Gosec.
- Добавили поддержку конвертации отчета Bandit.
- Добавили поддержку конвертации отчета Spotbugs.
- Добавили поддержку конвертации отчета Trufflehog.
- Добавили поддержку конвертации отчета MobSF.
- Добавили поддержку конвертации отчета checkov.
Улучшения
- Переработан механизм AVC (Application Vulnerabilities Correlation):
- Добавили возможность корреляции SAST, SCA Security, DAST уязвимостей.
- Добавили возможность действий c группами корреляции.
- Переработан механизм AIR (Automated Issue Review):
- Обновлена модель предсказаний.
- Добавлена возможность применения правил на основании предсказаний.
- Удалена функциональность и метрики переобучения (active learning).
- Добавили возможность расчета state уязвимостей для импортов отчетов в формате AppSec.Hub в настройках приложения.
- Добавили возможность установки настроек исходящих соединений через app.properties (INC-552).
- Добавили возможность установки поддерживаемых протоколов соединения (INC-411).
- Добавили второй уровень сортировки дефектов, теперь дефекты сортируются по Priority и Severity (INC-420).
UI
- Обновили Angular до версии 15.
- Изменили представление списка уязвимостей на странице приложения.
- Добавили возможность кастомизации страницы логина (INC-363).
- Добавили переводы панели администрирования и страницы логина.
- Добавили отображение исправленной версии для SCA Security уязвимостей на UI (INC-545).
Исправления
- Исправлена проблема, которая могла приводить к показу чувствительных данных в адресной строке (INC-517).
- Исправлен дефект, из-за которого последние страницы списка приложений могли быть пустыми.
- Исправили работу параметра уровня логирования --debug в CLI, теперь он работает как ожидается.
- Исправили текст ошибки при загрузке неверной лицензии.
- Исправили написание названий пайплайнов в фильтрах.
- Исправили ошибку при повторном импорте отчета для удаленной кодовой базы (INC-510).
- Исправили отображение результатов QG на графике на странице дашбордов (INC-468).
- Исправили отображение данных на странице деталей дефекта (INC-541).
- Исправили обработку пустого отчета в формате AppSec.Hub.
- Исправили отображение длинных строк на вкладке Path для SAST уязвимостей.
- Исправили ошибку отображения списка на глобальной странице уязвимостей.
- Исправили ошибку в CLI, которая могла приводить к выходу с неверным статусом сканирования.
- Исправили ошибку при выгрузке PDF отчета с выбранными фильтрами по связанным объектам (INC-497).
- Исправили ошибку интеграции с LDAP, приводящую к невозможности входа при различии регистра в почте пользователя в AppSec.Hub и LDAP-сервисе (INC-490).
- Исправили ошибку в шаблоне helm-чарта (INC-531).
- Исправили некоторые ошибки в документации (INC-492, 514, 526).
Проблемы безопасности
- Обновили базовые образы.
- hub-air
2024.1.6
[27.04.2024]
Интеграции
- AppSec.Track: добавили отображение параметров инструмента в карточке инструмента AppSec.Track в пайплайне.
- CodeScoring: добавили сохранение fix version из инструмента (при его наличии в отчете) (INC-424).
- NexusRM: добавили возможность работы с npm артефактами групп (субдиректорий).
- hub-tool-converters
- Создали репозиторий https://github.com/Swordfish-Security/hub-tool-converters с утилитой, позволяющей конвертировать отчеты из неподдерживаемых инструментов в формат отчета AppSec.Hub и загружать их затем в AppSec.Hub через функцию импорта отчета.
- Добавили поддержку конвертации отчета GitLeaks.
- Добавили поддержку конвертации отчета Semgrep.
- Добавили поддержку конвертации отчета SARIF формата.
- Добавили поддержку конвертации отчета PVS-Studio (через экспорт в формат SARIF).
- Добавили поддержку конвертации отчета Svace (через экспорт в формат SARIF).
- Добавили поддержку конвертации отчета Horusec.
Улучшения
- Добавили сбор метрик для сервиса hub-issue.
- Оптимизировали запрос на получение списка сканов (INC-412).
- Добавили в сервис hub-gateway возможность установки максимального размера GRPC сообщения (INC-429).
- Обновили базовый шаблон дефекта в репозитории https://github.com/Swordfish-Security/hub-defect-templates для поддержки Fix Version из CodeScoring (INC-424).
UI
- Добавили отображение времени автоматической блокировки пользователя в списке пользователей и на странице деталей пользователя.
- Добавили отображение автора правила на странице списка правил и деталей правила.
Исправления
- Исправили поведение, при котором дефекты, описание которых превышало лимит длины описания в Jira, теряли часть описания в AppSec.Hub (INC-449).
- Параметр structure unit больше не является обязательным в скрипте CLI import_report.py.
- Исправили ошибку, которая приводила к дублированию уведомлений о событии SCAN FAILED на почту.
- Исправили код ошибки при невозможности подключения AppSec.Hub к базе данных.
- Исправили ошибку, которая приводила к невозможности авторизоваться с первого раза после автоматической разблокировки пользователя.
- Исправили ошибку, приводящую к двойной регистрации сервиса hub-core в consul.
- Исправили ошибку, из-за которой при перезагрузке страницы списка дефектов не отображались дефекты (INC-465).
- Исправили ошибку, которая могла приводить к невозможности авторизации через SSO.
Проблемы безопасности
-
hub-ui
-
hub-engine
-
hub-core
- CVE-2024-28757.
- CVE-2023-52425.
- CVE-2023-5363.
- CVE-2023-46589.
- CVE-2024-22262.
- CVE-2024-22257.
- CVE-2024-22259.
- CVE-2016-1000027 – критическая уязвимость.
- CVE-2023-24998.
-
issue-rule
-
hub-issue
-
hub-sso
-
hub-gateway
- CVE-2024-22262.
- CVE-2024-22259.
- CVE-2024-22257.
- CVE-2016-1000027 – критическая уязвимость.
- CVE-2022-1471.
-
hub-engine
- CVE-2023-37920.
- CVE-2023-49569 – критическая уязвимость.
- CVE-2023-49568.
-
hub-zap-scanner
2024.1.5
[16.04.2024]
Исправления
- Исправили ошибку, из-за которой некоторые уязвимости не переходили в статус Fixed при их отсутствии в сканировании/импорте (INC-431).
2024.1.4
[05.04.2024]
Интеграции
-
AppSec.Track
- Добавили интеграцию с SCA инструментом AppSec.Track.
- Доступно сканирование кодовых баз и артефактов.
-
VCS: добавили интеграции с репозиториями GitLab и GitHub.
Улучшения
- Добавили возможность навигации по исходному коду в трассе SAST уязвимостей (для кодовых баз GitLab и GitHub).
- Добавили изменение статуса уязвимости на Fixed, если в отчете в формате AppSec.Hub данной уязвимости нет.
- Добавили возможность настройки количества попыток неудачного входа и времени блокировки пользователя через app.properties (INC-426).
- Добавили возможность разблокировки автоматически заблокированного пользователя из панели администрирования (INC-426).
- Добавили возможность установки максимальной длительности сканирования в hub-engine для всех пайплайнов через app.properties (INC-414).
- Добавили возможность гибкой настройки взаимодействия с Jira (частота запросов, кэширование) для ускорения работы интеграции (INC-263).
- Улучшили работу с фильтрами по объектам сканирования на страницах Issues, Scans, Rules.
- Добавили поддержку TLS v1.3 при подключении инструментов (INC-411).
- Убрали ограничение, не позволявшее сканировать артефакты из proxy-репозиториев Nexus RM (INC-403).
UI
- Добавили отображение поля description для SAST уязвимостей из отчета в формате AppSec.Hub на вкладе Description проблемы безопасности.
- Добавили перевод на русский язык разделов панели администрирования "Пользователи", "Команды", "Рабочие пространства", "Инструменты", а также "Профиль компании".
Исправления
- Исправили работу параметра --insecure в CLI скрипте import_report.py, не позволявшую использовать скрипт без проверки сертификатов.
- Исправили ошибки импорта из отчета в формате AppSec.Hub.
- Исправили ошибку дублирования названий Workspaces в профиле пользователя (INC-422).
- Исправили код выхода CLI при ошибке несовпадения ветки и установленного фильтра веток в кодовых базах.
- Исправили запись в логе аудита при событии issues.imported при ручном импорте проблем безопасности через UI.
- Исправили ошибку, которая приводила к дублированию дефектов после удаления и создания вновь конфигурации дефект-трекера в приложении.
- Исправили ошибку, из-за которой не приходили email-уведомления по событию SCAN_FAILED.
- Исправили ошибку, не позволявшую использовать инструмент Aqua Security с артефактами, имеющими длинный путь (INC-417).
- Исправили ошибку, приводящую к множественным сообщениям AVC в логах при импорте SAST проблем безопасности (INC-379).
- Исправили ошибку, не позволявшую изменить Locale у инструмента PT Application Inspector в настройках инструмента.
- Исправили отображение свойства "OBSOLETE" для правил обработки уязвимостей.
- Исправили ошибку сброса фильтров на странице инструментов в панели администрирования.
- Исправили автоматическое преобразование имен объектов сканирования при онбординге через CLI.
- Исправили ошибку в CLI, возникавшую при запросе на сканирование нового объекта, если в приложении была включена проверка целостности.
- Исправили проблему обновления токенов в hub-engine (INC-405).
- Исправили проблему конфигураций инструмента Solar Appscreener (параметры saveFile и incrementalScan) для ранее созданных конфигураций (INC-402).
2024.1.3
[13.03.2024]
Исправления
- Исправили ошибку маппинга уровня критичности уязвимостей из PT Application Inspector при выбранной русской локали (INC-404).
2024.1.2
[12.03.2024]
Интеграции
- PT Application Inspector: добавили возможность выбора JDK 17 при добавлении инструмента в пайлпайн.
Улучшения
-
Добавили загрузку уязвимостей из неподдерживаемых сканеров в формате AppSec.Hub (максимально похожем на SARIF).
-
Добавили возможность просмотра информации о задачах онбординга в Журнале задач приложения.
-
Добавили CWE ID в метаданные для DAST-уязвимостей (для инструментов ZAP, PT Blackbox).
-
Добавили поддержку множественных CWE для одной уязвимости.
-
Добавили логирование на задачи импорта (INC-387).
-
Изменили отображение статусов и деталей сканирования.
-
Обновили dotnet до версии 8 в образах HubEngines.
UI
-
Добавили возможность фильтрации уязвимостей по нескольким CWE ID.
-
Добавили ссылку на дефект в блоке метаданных на странице информации об уязвимости.
Исправления
-
Исправили метрики дефектов за текущий день (INC-323).
-
Убрали из пайплайнов настройку Bypass.
-
Исправили проблему дублирования компонент в инструменте Dependency-Track (INC-348).
-
Исправили отслеживание ошибок парсинга отчетов из PT AI (INC-380).
-
Исправили ошибку, не позволявшую настроить Custom design при некоторых условиях.
-
Исправили некорректное поведение при удалении Организации.
-
Исправили экспорт уязвимостей ZAP в PDF отчет.
-
Исправили работу Excluded dirs при сканировании Checkmarx.
-
Исправили проблему, не позволявшую обновить инструмент/имя для кодовой базы без связанного пайплайна.
-
Исправили переход по ссылке в AppSec.Hub, если пользователь не был ранее авторизован.
-
Исправили отображение автора дефекта.
-
Исправили ошибку при создании Организации.
-
Исправили отображение заголовков некоторых страниц.
Проблемы безопасности
- CVE-2024-22243 — исправили high-уязвимость в hub-core, hub-sso, hub-issue-rules, hub-gateway-образах.
2024.1.1
[12.02.2024]
Интеграция
-
PT Application Inspector:
- Добавили поддержку выбора локали (RU/EN).
- V4.6.0 - добавили поддержку версионного API v6, отключили поддержку более ранних версий.
-
Прекращена поддержка TeamCity как платформы для работы hub-engine.
-
Trivy:
- Добавили настройки для работы в закрытом контуре (INC-122).
- Добавили кэш БД для на стороне hub-engine.
-
Solar AppScreener: добавили замену HTML-кодов на символы при загрузке результатов.
- OWASP DependencyTrack: поддержали импорт изменений в поле severity (INC-284).
- Jira: добавили автоматический комментарий при смене статуса, если это необходимо для перехода из одного статуса в другой (INC-161).
Улучшения
- Добавили возможность настройки ширины канала GRPC (INC-324).
- Добавили возможность настройки ограничения количества символов в описании дефекта для Jira на UI.
UI
- Добавили возможность настраивать внешний вид AppSec.Hub.
- Добавили возможность поиска в фильтр по инструментам на страницах Пайплайнов и Инструментов.
- Добавили переключение вида детального описания дефекта (View/Edit).
- Убрали зависимость от стороннего роутера, мигрировали на @angular/router.
Исправления
- Исправили удаление Рабочей области / Workspace (INC-87).
- Добавили возможность перенести все Приложения из удаляемой Организации в ту, что остаётся в системе (INC-131).
- Убрали возможность эксплуатации Stored-XSS уязвимости через описание дефектов и рекомендации к устранению уязвимостей (INC-290).
- Исправили ошибку в механизме загрузки результатов: процесс останавливается с ошибкой, если превышен лимит очереди (INC-296).
- Оптимизировали количество сообщений в журнале (логе) вида «No content to map due to end-of-input» (INC-154).
- Исправили ссылку на объект сканирования (scan object) в списке сканов.
- Исправили отображение таблиц в описании дефекта (INC-307).
- Убрали логику объединения кодовых баз при пересечении значений branch filters (INC-157).
- Исправили поведение кнопок сохранения/сброса QG.
- Исправили отображение информации о ручной смене статуса при связывании уязвимостей с дефектом.
- Исправили вычисление метрик по открытым дефектам (INC-317).
2023.5.4
[01.02.2024]
Проблемы безопасности
- CVE-2024-23898 – критическая уязвимость (RCE) в hub-engine-manager.
2023.5.3
[26.12.2023]
Исправления
- ! Серьёзная ошибка релиза 2023.5.2 - необходимо обновиться до 2023.5.3! При отвязке DAST-уязвимости от дефекта подтягивается статус, которого не было. Некорректная информация накапливается в истории и влияет на результаты триажа.
- Шаблоны описания дефектов: Неверная ссылка на уязвимость (INC-306).
2023.5.2
[22.12.2023]
Улучшения
- Подтверждение уязвимостей без создания дефекта.
UI
- Дефекты: добавили иконку, предупреждающую о том, что статусы связанных уязвимостей не соответствуют статусу дефекта (INC-187).
Исправления
- Исправили поведение Session timeout (INC-224) на стороне Backend.
- Изменили методику подсчёта количества уязвимостей для значения в сайдбаре. Теперь там отображается количество открытых уязвимостей.
- Исправили ошибку при сохранении изменений статуса уязвимости, которая приводила к потере результатов триажа (INC-268).
2023.5.1
[15.12.2023]
Улучшения
-
Редактируемые шаблоны описания дефектов (INC-142, INC-143):
- Администратор может создавать новые, редактировать и удалять существующие шаблоны.
- Активный шаблон применяется при создании дефекта на основе уязвимостей.
-
Добавили возможность точечно привязывать/отвязывать уязвимости к дефекту.
- Trivy: на вкладке Path теперь отображается расположение уязвимой компоненты в образе.
UI
- Изменили внешний вид страницы пользователей.
- Добавили страницу профиля пользователя.
- Подняли версию до Angular 12.
- Вывели email службы технической поддержки в нижнюю часть страницы (footer).
Исправления
- Исправили поведение Session timeout (INC-224) на стороне UI.
- ZAP: добавили обработку ответов ZAP для выявления ошибок сканирования (INC-196).
- Вынесли управление размером очереди задач на импорт в настройки (INC-283).
- Clair: исправили наименование уязвимостей.
- Правила: сняли ограничение на создание правил из Clair-уязвимостей.
Проблемы безопасности
- CVE-2020-1967.
- CVE-2021-3711.
- CVE-2021-3712.
- CVE-2021-23840.
- CVE-2022-0778.
- CVE-2022-2097.
- CVE-2022-4450.
- CVE-2022-42919.
- CVE-2023-0215.
- CVE-2023-0286.
- CVE-2023-4244.
- CVE-2023-5072.
- CVE-2023-6378.
- CVE-2023-20569.
- CVE-2023-20873.
- CVE-2023-37920.
- GHSA-9qwg-crg9-m2vc.
- GHSA-6hcf-g6gr-hhcr.
- GHSA-5crp-9r3c-p9vr.
2023.4.5
Улучшения
-
AppScreener (INC-129):
- Добавили сборку Java-кода на стороне hub-engine.
- Исключили изображения из списка файлов, которые отправляются на анализ в сканер.
- Добавили сканирование конфигурационных файлов (ядро CONFIG).
- Добавили возможность запускать скан в инкрементальном режиме.
- Добавили возможность сохранять архив с файлами для сканирования на стороне инструмента.
Исправления
- AppSec.Hub не стартовал на пустой базе данных (без установленной лицензии).
- AppScreener: не импортируются результаты сканирования (INC-214).
- OWASP DependencyTrack: реагировать на ошибки при формировании SBOM (INC-236).
2023.4.4
Интеграция
- PT AppInspector: отключили поддержку версий ранее 4.1.1.
Улучшения
- Добавили отображение полей Source, Structure unit, Release object на странице со списком дефектов.
- QG: добавили возможность принудительного сброса значения QG для всех дочерних объектов.
- Jira: добавили поддержку полей Epic Link и Single Issue Picker (INC-150).
- Scans: добавили автоматическое обновление страницы и скорректировали отображение статусов в фильтрах.
Исправления
- Аутентификация: система больше не сбрасывает локально установленные роли и группы для случая, когда соответствующий маппинг не задан в настройках LDAP/SSO (INC-227).
- appScreener: при загрузке результатов теперь обрезается строки кода длиной более 5000 символов (INC-156).
- Исправили ошибки фильтрации организационной структуры.
- Исправили ошибки фильтрации сканов.
- Checkmarx: исправили описание уязвимостей, добавили замену параметров на имена методов, элементов, номера строки и имя файла (INC-218).
Проблемы безопасности
- Устранили уязвимости:
Дистрибутив
-
Включили Helm Charts в состав дистрибутива (appVersion 2023.4.4, version 0.1.13). Теперь обновления чартов выпускаются одновременно с релизом.
-
hub-engine: Обновили версию cdxgen до 9.8.10 (INC-229).
-
Обновили базовый образ alpine: 3.18.
2023.4.3
Важно!
Начиная с версии 2023.4.3, в системе реализовано управление количеством пользователей, приложений, пайплайнов, кодовых баз, артефактов и экземпляров приложений (инстансов) через лицензии AppSec.Hub.
При переходе на версию 2023.4.3 и выше необходимо убедиться в наличии файла лицензии нового формата и обновить лицензию. В случае его отсутствия необходимо обратиться за лицензионным файлом и после его получения обновить лицензию, см. раздел «Управление лицензией AppSec.Hub».
Интеграция
- PT BlackBox: добавили поддержку версии 2.6.
- PT Application Inspector: добавили поддержку версии 4.5.0.
-
Repository: добавили поддержку реестров Docker-образов на основе Docker Registry API v2.0:
- Docker Hub.
- Harbor.
- Nexus
- GitLab.
-
Trivy: добавили поддержку версии 0.45.
Улучшения
- QG: добавили наследование критериев качества (QG) с уровня организации и приложения.
- Добавили страницу для отслеживания статуса выполнения сканирования.
- Лицензия: расширили список контролируемых параметров лицензии AppSec.Hub.
- Правила: добавили использование wildcard (
*
) в поле language. - Фильтры: добавили кнопку Сбросить для параметров с мультивыбором значений.
- Добавили возможность создать дефект на страницу деталей об уязвимости.
- Добавили сохранение и отображение имени пользователя, который изменил статус уязвимости.
Исправления
- AppScreener: добавили обработку сетевых проблем при запросе статуса сканирования.
- CodeScoring: исправили ошибку при выгрузке отчёта из сканера.
- PT Application Inspector: исправили маппинг статусов.
- Jira:
- Добавили обработку лимита на запросы (код ответа 429).
- Убрали «тяжелые» запросы к истории изменений дефекта.
- Добавили экспорт дефекта сразу после создания.
- Убрали из запроса к Jira неиспользуемые поля.
- ZAP: исправили ошибки при запуске сканов.
- Убрали отображение пароля учетной записи для тестовых стендов (инстансов).
- Добавили пакет pyyaml в образ hub-engine:2023.4.3-fortify.
- Если произошла ошибка загрузки результатов, то уязвимости теперь не переводятся в Fixed.
- Правила: оптимизировали работу правил, чтобы ускорить загрузку результатов.
- При отвязке уязвимостей от дефекта статус возвращается в To Verify.
- Отчёты:
- Ошибка формирования PDF отчёта.
- Часть уязвимостей выгружается без описания (Details).
- Устранили создание дублирующего скана.
Проблемы безопасности
- Устранили уязвимости:
2023.4.1
Интеграция
- Стингрей: добавили поддержку версии 2023.6.
- PT BlackBox: добавили возможность выбирать профиль авторизации и использовать его в процессе сканирования.
- Checkmarx: добавили использование CxCLI для запуска сканирования.
Улучшения
- UI: убрали горизонтальный скроллинг на странице Детали дефекта.
- CLI: добавили возможность передавать параметры учётных записей для тестовых стендов.
- Добавили экранирование специальных символов в конфигурации ZAP.
Исправления
- Добавили права на просмотр страницы с информацией о сканировании для роли Security engineer.
- Исправили сообщения о результатах сканирования, связанных с проверками критериев качества (QG).
- DepTrack: убрали создание проекта, если SBOM не был сформирован.
- Добавили механизм обновления токенов для пайплайнов.
- Исправили обработку ошибок сервиса zap-scanner.
- Устранили ошибку импорта уязвимостей из PT Application Inspector.
Дистрибутив
- Переименовали образы:
- gateway -> hub-gateway;
- issue-rule -> hub-issue-rule;
- zap-scanner -> hub-zap-scanner;
- sfs-jenkins -> hub-engine-manager;
- sfs-jenkins-slave-all -> hub-engine.
- Добавили hub-engine с предустановленными Java 17 и Java 11 (отдельно).
2023.3.2
Интеграция
- Добавили поддержку PT BlackBox 2.5.
Улучшения
- Добавили логирование контейнера hub-gateway.
- Улучшили логирование контейнера hub-core, убрали логирование HikariPool уровня debug, изменили уровень логирования для некоторых сообщений (импорт, статус сканирования).
- Добавили логирование версии релиза при старте hub-core.
- Добавили фильтрацию уязвимостей по Состоянию (State) и Скану (scan ID).
- Добавили поиск в фильтры по кодовым базам, артефактам и инстансам на странице списка уязвимостей.
- Улучшили отображение блока принятия риска/FP на странице деталей уязвимости.
Исправления
- PT AI:
- устранили проблему с загрузкой результатов параллельных сканов;
- устранили проблему «мигающих» статусов уязвимостей.
- AppScreener: добавили проверку на длительные сканы.
- CodeScoring: устранили ошибку загрузки версии уязвимой компоненты.
- OWASP Dependency-Track: устранили дублирование зависимостей при клонировании проекта.
- Jira: теперь при синхронизации метки (label) существующих дефектов не перетираются.
- Убрали сброс фильтров на странице Пайплайны.
- Решили проблему с отображением ветки исходного кода на странице скана.
- Решили проблему сохранения SMTP-настроек.
- Отслеживание дефектов: исправили редактирование фильтра для полей типа
value
. - Правила: исправили работу wildcard'ов.
- Правила: исправили автоматическую подстановку значений из уязвимости при создании правила.
2023.3.1
Аутентификация
- Добавили поддержку единого входа (Single Sign-On, SSO).
2023.2
Интеграции
- CodeScoring: добавили интеграцию с инструментом.
- OWASP ZAP:
- Обернули ZAP в Docker-образ и добавили API для взаимодействия с AppSec.Hub.
- Добавили интеграцию с инструментом.
- Jira: обновили интеграцию, добавили поддержку версий до 9.3.0.
Аутентификация
- Добавили поддержку форматов: domain\login, login@domain.
- Добавили синхронизацию изменений в параметрах доменной учётной записи.
Проблемы безопасности
- Устранили критические уязвимости:
Дистрибутив
- Добавили образ, позволяющий развернуть OWASP ZAP как сервис.
- Обновили PostgreSQL до 13.2 (alpine).
2023.1.2
Улучшения
- Добавили обновление описаний уязвимостей при импорте результатов из сканера.
- UI: добавили информацию о проекте на карточку Solar appScreener в пайплайне.
Исправления
- Solar appScreener: Множество ошибок выгрузки PDF.
- Gateway не переподключается к ws после рестарта Core.
- Авторизация: Неверный код ответа при неуспешной авторизации.
- UI: добавили валидацию email пользователей по RFC 5322.
- UI: устранили ошибку в фильтре уязвимостей, когда нельзя было указать версию компоненты содержащую
+
.
Проблемы безопасности
- Устранена уязвимость CVE-2022-45688.
2023.1.1
Исправления
- UI: На странице Administration/LDAP Settings отсутствует возможность добавления группы в Group mapping.
- AppScreener:
- в дефект не попадают данные из описания к уязвимости;
- при импорте уязвимостей все они импортируются в статусе To verify.
2023.1
Интеграции
- PT AppInspector:
- Добавили поддержку PT AI 4.2.
- Устранили ошибку с отменой локальных настроек проекта в PT AI.
- Solar AppScreener:
- Обновили интеграцию.
- Устранили ошибку, связанную с появлением дубликатов уязвимостей.
- OWASP DependencyTrack:
- Убрали предустановленный порт «8080» из ссылки на стенд DepTrack’а.
- Добавили раздел References в описание уязвимости загруженной из DepTrack.
Улучшения
- Добавили возможность выполнять принятие риска (Accept risk) для всех типов уязвимостей — теперь можно принять риск не только для SCA уязвимостей, но и для SAST и DAST, а также создать правило для автоматического принятия риска.
- Добавили возможность применить добавление/удаление инструмента ИБ не только в шаблон, но и во все дочерние пайплайны.
Аутентификация
- Добавили поддержку нескольких доменов AD (LDAP) — теперь можно подключать несколько организаций к одному экземпляру AppSec.Hub и использовать их доменные аккаунты для авторизации.
UI
- Большую часть интерфейса перевели на русский язык. В будущих релизах работа будет продолжена.
- Добавили возможность выделить несколько уязвимостей и выполнить одну операцию, например: принять риск или пометить как ложное срабатывание.
Архитектура
- Начали переводить AppSec.Hub на микросервисную архитектуру, поэтому в поставке появились новые образы — gateway, issue-rule и consul.