Пользовательский интерфейс:
-
Добавили управление агентами сканирования. Этот шаг призван повысить прозрачность и гибкость в менеджменте
ресурсов анализа, например, для ваших тяжеловесных проектов на Java J
Список агентов отображается в настройках запуска анализа. Чтобы получить справку о текущем состоянии агента, его загруженности и поддерживаемых технологиях, кликните по нему один раз. Выбор можно сохранить для последующих сканирований, чтобы важные проекты больше не «зависали» в очереди.
- Переработали логику работы системы при истечении срока действия лицензии. Результаты уже проведённых сканирований останутся доступны для просмотра. Также их можно будет экспортировать на новую установку.
-
Модуль динамического анализа:
-
Добавили возможность подставлять в URL для анализа адрес с переменными. Это повысит полноту
тестирования, позволяя проверить разные комбинации URL в одном анализе. Указать конечные точки пути и их
значения можно в настройках анализа. Для замены также потребуется файл OpenAPI.
- Способы авторизации дополнились NTLM.
-
Добавили возможность подставлять в URL для анализа адрес с переменными. Это повысит полноту
тестирования, позволяя проверить разные комбинации URL в одном анализе. Указать конечные точки пути и их
значения можно в настройках анализа. Для замены также потребуется файл OpenAPI.
-
Модуль анализа сторонних компонент:
-
Добавили возможность скачать из UI логи сканирования.
-
Добавили возможность скачать из UI логи сканирования.
Администрирование:
-
В панели администратора появилась новая вкладка: Агенты сканирования. Здесь будет храниться список агентов и
инструменты управления ими. Каждый агент содержит подробные данные о его технических характеристиках,
загруженности и исторические данные: с визуализацией в виде графиков и возможностью скачать логи.
Управляйте выделенными ресурсами (количеством потоков, памятью), чтобы комфортно сканировать большие проекты. Агент можно также временно отключить.
- Добавили возможность отдельно обновлять базы анализа сторонних компонент в разделе Правила. При доступе к интернету Solar appScreener может делать это автоматически, а в закрытом контуре есть возможность ручного обновления. Изменения в open-source всегда динамичные, и теперь вы можете быть уверены, что Solar appScreener их уже учёл.
- Добавили настройку таймаута сканирования для каждого типа анализа. Это также призвано помочь с управлением очередью сканирований.
Поставка:
- Прощаемся с модулем ENV! Благодаря этому сможем поддерживать большее количество Linux дистрибутивов для работы Solar appScreener. И помимо этого, отказ от дополнительного модуля упростит процесс установки и обновления системы.
Что улучшено
Пользовательский интерфейс:
-
Модуль анализа сторонних компонент:
- Комбинированный анализ SAST/OSA теперь можно отключить в настройках запуска сканирования. Пользуйтесь этой опцией, чтобы сократить время анализа.
-
Добавили опцию собрать SBOM только c зависимостями, напрямую включенными в проект, для Java (Gradle,
Maven).
- Граф зависимостей начнёт строиться в ядре анализатора. Во-первых, это быстрее. Во-вторых, снижает нагрузку на клиентский браузер.
-
Отчёт:
- Доработали отчёт формата SARIF для корректной работы с более ранними версиями Defect Dojo.
Модули анализа:
- Поработали над скоростью анализа (ускорили) и использованием памяти. Будет особенно заметно на больших проектах.
- Значительно ускорили процесс предварительной обработки файлов JavaScript.
- Исправили логику применения паттернов taint-анализа, в частности удаление флагов при срабатывании нескольких паттернов в одном месте в коде.
- Улучшили обработку файлов .asp для VBScript.