Перейти к содержанию

Описание релизов

Релиз 3.13.0 [15.11.2024]

[15.11.2024]

Новая функциональность

  • Проведен первый этап планового редизайна пользовательского интерфейса системы.
  • Добавлена возможность отправки уведомлений с помощью вебхуков для политик, приложений и непрерывного сканирования.
  • Добавлена возможность исключать из сканирования определенные файлы (по расширению, маске, пути) на уровне менеджера репозиториев или отдельного репозитория.
  • Добавлена возможность фильтрации результатов сканирования при формировании отчетов по приложениям.
  • Добавлена проверка хешей компонентов в практике SCA.
  • Добавлена возможность маппинга групп LDAP на глобальные роли пользователей в системе, а также возможность ручного назначения глобальных и локальных ролей для отдельных пользователей LDAP.
  • Добавлена возможность отправки тестового письма при настройке сервера отправки уведомлений.

Улучшения

  • Добавлено сохранение в браузере предпочитаемого способа входа в систему (выбранный LDAP-сервер или локальная учетная запись) для пользователя.
  • LDAP-пользователи могут проходить аутентификацию в системе как с помощью логина, так с помощью адреса электронной почты.
  • Убрана возможность создавать в системе пользователя без ролей (не относится к LDAP-пользователям).
  • Убрали возможность удалить в системе самого себя и добавили соответствующее сообщение об ошибке.
  • Добавлена возможность создания/изменения политики, если пользователь имеет право редактирования политик в связке с объектом.
  • Проведена оптимизация скорости работы бэкенда системы.

Исправления

  • Исправлена ошибка отсутствия пользователя в списке пользователей в случае назначения ему пустой роли без прав.
  • Исправлена навигация по дереву приложений после закрытия модального окна проверки SBOM-файла.
  • Исправлена работа фильтра «Имя пользователя» в разделе «Пользователи и роли».
  • Исправлено отображение имени уровня, на котором было создано исключение, в разделе «Исключения».
  • Исправлено некорректное отображение оценки CVSS при сканировании SCA.
  • Исправлено некорректное отображение длинных названий репозиториев.
  • Исправлено отображение элементов в графе транзитивных зависимостей, отображение циклических зависимостей и отображение спецсимволов вместо юникода в транзитивных зависимостях.
  • Исправлено отображение сообщения об ошибке соединения с фидом.
  • Исправлена работа поля поиска в логе действий пользователей и в логе запросов.
  • Перенесено отображение нарушений политик по лицензиям на странице блокировки из поля «Свойства компонента» в поле «Лицензии».
  • Изменено отображение типа записей в логе действий пользователя.

Релиз 3.12.0 [11.10.2024]

[11.10.2024]

Новая функциональность

  • Переработана система авторизации пользователей. Теперь на пользователя можно назначать как глобальные роли (для всех объектов), так и локальные (к примеру, доступ в какой-то определенный репозиторий или приложение).
  • Добавлена парольная политика: длина пароля, сложность, количество попыток входа.
  • Добавлена проверка хешей компонентов. При формировании политики можно использовать новые критерии проверки.
  • Добавлена возможность сканирования компонентов для нескольких Docker-репозиториев в модуле OSA.

Улучшения

  • Улучшена производительность системы, оптимизирована скорость работы проверки компонентов в модуле OSA.
  • Вход в систему теперь осуществляется по email-адресу, логин пользователя по умолчанию измен на admin@localhost.
  • Убрано условие «равно/не равно» в проверке по дате.
  • Добавлена сортировка по CVSS score на странице просмотра результатов сканирования.
  • Исправлен ряд багов, возникавших при работе с командами и отчетами.
  • Оптимизация модуля Scanner для работы в закрытом контуре.
  • Прекращена поддержка интеграции с OWASP DependencyTrack.

Релиз 3.11.0 [17.09.2024]

[17.09.2024]

Новая функциональность

  • Добавлена возможность сканирования RAW-репозиториев в модуле OSA.
  • Добавлена возможность сканирования Hosted-репозиториев в модуле OSA.
  • Добавлена возможность настройки политик по атрибутам компонента в репозитории (имя, дата публикации, путь).
  • Добавлена возможность настройки политик отдельно по CVSS v2 и CVSS v3, а также по компонентам векторов.

Улучшения

  • Экспортируемые отчеты в формате JSON (SBOM) теперь совместимы с DefectDojo.
  • Сообщение о блокировке пакета при загрузке через командную строку теперь содержит разделение на блокирующие и неблокирующие политики.
  • Ускорена скорость работы раздела "Репозитории", в список компонентов добавлены колонки CVSS v2, CVSS v3.
  • Указание формата пакета при формировании политик теперь доступно с использованием выпадающего списка.
  • Если не указано имя команды, приложения, версии или окружения при сканировании через CLI, то значения будут автоматически заданы по умолчанию.
  • Раздел «Поиск уязвимостей» переведен из режима бета в полную функциональность.
  • Версионирование плагинов синхронизировано с версионированием остальных компонентов системы.

Обновление до версии 3.11.0

  • После стандартных шагов по обновлению AppSec.Track до версии 3.11.0 для корректной работы лицензии необходимо на странице «Настройки» на вкладке «Сервис данных» нажать на кнопку «Сохранить».
  • Для обеспечения возможности работы с raw-репозиториями необходимо обновить плагин Track.Plugin для Nexus Repository Manager/JFrog Artifactory до версии 3.11.0.

Анонс

  • Начиная с версии 3.12.0, будет прекращена поддержка интеграции с OWASP DependencyTrack.

Релиз 3.10.0 [23.08.2024]

[23.08.2024]

Новая функциональность

  • Добавили дерево транзитивных зависимостей между компонентами приложения.

Улучшения

  • Исправили проблему с отображением длинного названия версии на странице «Добавление политики в исключения».
  • Исправили ошибку декодирования версий пакетов на странице «Сканирования компонентов».
  • Исправили ошибку валидации поля «Имя домена» в настройках LDAP.
  • Исправили работу параметра блокировки компонента при включении/отключении политик и повторных запросах на скачивание компонента.
  • Доработали отчет о сканировании.
  • Убрали возможность создания пользователя с уже существующим адресом электронной почты.

Релиз 3.9.0 [02.08.2024]

[02.08.2024]

Новая функциональность

  • Добавили сканирование компонентов в составе Docker-образов.
  • Добавили в политики возможность проверки по CWE уязвимости.
  • Добавили возможность добавления и поддержку нескольких доменов LDAP.
  • Добавили выпадающее меню с перечнем источников аутентификации на странице входа в систему.
  • Добавили названия компонентов в список «Нарушения политик» на странице информации о компоненте.
  • Добавили вывод сработавших политик с привязкой к компоненту внутри SBOM-файла на странице блокировки.
  • Добавили возможность добавления и удаления команд и приложений через пользовательский интерфейс.
  • Добавили страницу блокировки при скачивании Docker-образов из Nexus RM.
  • Добавили хранение всех просканированных SBOM-файлов на бэкенде.

Helm chart

Улучшения

  • Исправили логирование сообщения об ошибке отправки писем.
  • Расширили параметры, получаемые бэкендом из строки запроса.
  • Исправили ошибку при удалении приложения.
  • Исправили ошибку при создании команды.
  • Унифицировали алгоритм заполнения поля «Автор и дата создания» на различных страницах.
  • Изменили интерфейс SBOM для обработки переменных.
  • Добавили автоматическую очистку таблиц.
  • Исправили ошибку версии в формате Go.

Релиз 3.8.0 [28.06.2024]

[28.06.2024]

Новая функциональность

  • Добавили возможность проверки лицензионной чистоты с помощью политик, использующих проверки с типом поля «Лицензия».
  • Добавили страницу «Поиск уязвимостей», позволяющую получить детальную информацию о найденных уязвимостях.
  • Добавили информацию о наличии активной настройки уведомлений в дерево приложений.
  • Добавили поддержку YUM-репозиториев.
  • Добавили поиск и сортировку по CVSS.

Улучшения

  • Исправили применение дополнительных ролей, добавленных LDAP-пользователю.
  • Исправили проблему множественных параллельных запросов в бэкенд.
  • Исправили проблему пустых последних страниц лога действий пользователя.
  • Исправили проблему записи типа файла в поле «Версия» в таблице «Компоненты» в некоторых репозиториях.
  • Провели рефакторинг EmailValidator.

Релиз 3.7.0 [03.06.2024]

[03.06.2024]

Новая функциональность

  • Добавили возможность удаления политик, репозиториев, плагинов, пользователей и непрерывного сканирования.
  • Добавили сканирование репозиториев по задаче в Nexus Repository Manager.
  • Добавили вкладку «Исключения» на странице «Приложения».
  • Добавили фильтры на вкладку «Исключения» на странице «Репозитории».
  • Добавили в политики условие «Не содержит».
  • Добавили уведомления для SCA в пользовательском интерфейсе.
  • Добавили иконку включения уведомлений.
  • Добавили возможности очистки кэша с помощью запроса.
  • Добавили поддержку языка Rust (только в JFrog Artifactory).
  • Добавили на бэкенде возможность проверки лицензионной чистоты.
  • Изменили типы действий уведомления.
  • Добавили алиасы в отчеты.

Улучшения

  • Доработали шаблоны отчетов.
  • Настроили тайм-аут при кэшировании ответов Track.Feed.
  • Добавили переменную для внутреннего потока.
  • Поправили роли LDAP.
  • Исправили остановку нескольких одновременных подключений к API/БД.
  • Изменили шаблон и CSS для страницы 403-й ошибки.
  • Исправили счетчики в пользовательском интерфейсе.
  • Исправили выбор ролей в пользовательском интерфейсе.
  • Исправили обновление списка политик после создания/редактирования.
  • Исправили отображение профиля.
  • Изменили область исключения по умолчанию.

Релиз 3.6.0 [12.04.2024]

[12.04.2024]

Новая функциональность

  • Добавили возможность непрерывного мониторинга приложения с помощью механизма автоматического сканирования.
  • Добавили возможность получения отчета о результатах сканирования SCA в формате HTML/JSON.
  • Добавили конфигурирование уведомлений для SCA.
  • Добавили предопределенную конфигурацию LDAP.

Улучшения

  • Настроили параметры БД и обновили библиотеку соединения с БД.
  • Исправили работу с адресами электронной почты при непрерывном сканировании.
  • Сделали корректным вывод кириллицы в файлах отчета.
  • Исправили проблемы с загрузкой БД Kaspersky Feed.
  • Исправили ошибки подключения LDAP/LDAPS.
  • Удалили устаревший модуль /rule.
  • Исправили проблему шифрования пароля LDAP.
  • Исправили проблемы в сервисе нотификации.
  • Исправили уведомления для Kaspersky.
  • Код ошибки в новых подключаемых менеджерах репозиториев изменен на 403 по умолчанию (до этого был 404).
  • При обновлении на новый версии теперь не надо сбрасывать кэш сайта.
  • Тайминг работы в CLI. Теперь можно оценить за какое количество времени произошло сканирование.
  • Добавлен счетчик загруженных уязвимостей из Kaspersky Data Feed.
  • Добавлена возможность настраивать сложные фильтры в LDAP с использованием плейсхолдера {USER_DN}.
  • Добавлена валидация на поля в настройках системы.

Релиз 3.5.0 [22.03.2024]

[22.03.2024]

Новая функциональность

  • Добавили информацию о запросах на разблокировку на страницу информации о компоненте.
  • Добавили новый пользовательский интерфейс сервиса данных для фидов.
  • Добавили на страницу «Настройки» вкладку «Уведомления» с настройками сервера отправки уведомлений.
  • Добавили настройки запроса на разблокировку.
  • Добавили в окне настроек политики вкладку «Уведомления» с настройками уведомлений политик.
  • Добавили рассылку уведомлений политик по электронной почте.
  • Добавили рассылку уведомлений о созданном запросе на разблокировку и о принятом по запросу решении.
  • Добавили поддержку PHP-артефактов в Nexus Repository Manager.
  • Добавили автоматическое восстановление SCA в случае возникновения проблем в ходе сканирования.
  • Добавили в конфигурацию новый контроллер фида.
  • Добавили новый API для фидов с возможностью проверки соединения.
  • Добавили поддержку загрузки больших файлов, в том числе размером больше 3 гигабайт.
  • Добавили на бэкенде уведомления для SCA.

Улучшения

  • Реализовали хранение паролей LDAP в системе в зашифрованном виде.
  • Оптимизировали работу с Kaspersky Feed.
  • Исправили HTML-инъекции.
  • Исправили проблему с токеном.
  • Изменили порядок счетчиков в отчете SCA.

Релиз 3.4.0 [22.02.2024]

[22.02.2024]

Новая функциональность

  • Добавили возможность удаления исключений.
  • Добавили настройку автоматической активации репозиториев по регулярному выражению или по формату запрашиваемого компонента.
  • Добавили запросы на разблокировку.
  • Добавили кэширование ответов Track.Feed.
  • Добавили возможность настройки фида с помощью флажков состояния.
  • Добавили поддержку PHP-артефактов в Nexus Repository Manager (без блокировки).
  • Добавили возможность непрерывного мониторинга приложения с помощью механизма автоматического сканирования (без блокировки).
  • Добавили поддержку LDAPS.
  • Добавили API для работы с Kaspersky Feed.

Улучшения

  • Скрыли пароль LDAP из трафика между бэкендом и фронтендом.
  • Обновили и дополнили формат отчета в CLI.
  • Исправили формат и содержание отчетов.
  • Исправили электронную почту в unicode-формате.

Релиз 3.3.0 [15.01.2024]

[15.01.2024]

Новая функциональность

  • Добавили настройки уведомлений о сканировании компонентов приложений.
  • Добавили создание отчетов о сканировании.
  • Добавили поддержку работы с Kaspersky Feed.
  • Добавили поддержку работы с LDAP.
  • Добавили на бэкенде поддержку запросов на исключения.

Улучшения

  • Исправили ряд ошибок в работе системы.

Релиз 3.2.0 [03.11.2023]

[03.11.2023]

Новая функциональность

  • Добавили формирование отчетов в формате HTML.
  • Добавили формирование отчетов в формате JSON.

Улучшения

  • Обновили отображение AST-уязвимостей на странице информации о компоненте и всех связанных страницах.
  • Добавили валидацию кириллицы и цифр при создании/редактировании полей у пользователя.
  • Запретили редактирование имен LDAP-пользователей.
  • Исправили ошибки в работе с Kaspersky Feed.
  • Исправили ошибки в работе с LDAP.

Релиз 3.1.0 [20.10.2023]

[20.10.2023]

Новая функциональность

  • Добавили сервис формирования и отправки уведомлений.
  • Добавили страницу с детализацией по запросу разблокировки.
  • Добавили возможность создать запрос на разблокировку для безопасной версии компонента.
  • Добавили модальное окно отклонения запроса на разблокировку для одного компонента.
  • Перевели логи в человекочитаемый формат.

Улучшения

  • Исправили работу фильтра активности политик на странице «Информация о компоненте».
  • Убрали возможность отклонять запросы, уже находящиеся в статусе «Отклонен».
  • Добавили поддержку хэш-функций MD4 и SMD4 в LDAP.
  • Исправили ряд недочетов в пользовательском интерфейсе.

Релиз 3.0.0 [06.10.2023]

[06.10.2023]

Новая функциональность

  • Добавили историю для SCA.
  • Добавили новые логи.
  • Добавили на бэкенде поддержку LDAP.
  • Добавили на бэкенде поддержку Kaspersky Feed.
  • Добавили на бэкенде поддержку запросов на исключения (частично).
  • Добавили на бэкенде уведомления по электронной почте.
  • Добавили новые проверки для плагинов.
  • Добавили новые проверки для фидов.

Улучшения

  • Оптимизировали процесс оценки.