首页
/ DefectDojo 2.44.3版本发布:安全风险管理平台的重要更新

DefectDojo 2.44.3版本发布:安全风险管理平台的重要更新

2025-06-14 00:51:36作者:平淮齐Percy

DefectDojo是一个开源的缺陷管理和安全测试平台,它帮助开发团队和安全团队跟踪、管理和报告应用程序中的安全问题。作为一个功能强大的工具,DefectDojo支持多种安全扫描工具的集成,并提供问题生命周期管理、报告生成和团队协作等功能。

核心更新内容

解析器功能增强

本次2.44.3版本对多个安全扫描工具的解析器进行了改进和优化:

  1. Generic JSON解析器现在能够更明确地处理标签数据,确保与其他工具的标签处理方式保持一致。这一改进使得从不同安全工具导入的数据能够更一致地展示和管理。

  2. Anchore Engine解析器进行了重构,以支持新的报告格式。Anchore Engine是一个容器镜像安全扫描工具,这次更新确保了DefectDojo能够正确解析其最新版本生成的报告。

  3. 新增了对Aqua Security风险报告格式的支持。Aqua Security是一个云原生安全平台,这一集成扩展了DefectDojo对容器安全扫描结果的处理能力。

风险管理改进

  1. Jira Webhook集成进行了优化,现在能够防止已修复的组发现被错误地重新打开。这一改进减少了误报和重复工作,提高了团队的工作效率。

  2. Proofpoint安全问题添加了专门的vulnID支持,使得来自Proofpoint安全产品的风险能够被更准确地识别和跟踪。

技术架构优化

  1. 移除了已弃用的Django导入和is_safe_url函数,保持代码库现代化并减少潜在的安全风险。

  2. SLA计算功能进行了单元测试的增强,确保服务级别协议的计算逻辑更加可靠和可预测。

  3. 修复了dedupe命令在处理空模型集时的NoneType错误,提高了数据去重功能的稳定性。

文档与维护改进

  1. 文档构建系统进行了版本锁定,并添加了GitHub Actions工作流来自动测试文档构建失败情况,确保文档质量。

  2. 统一了Docker相关文档中的命令格式,全部使用docker compose语法,提高一致性和易用性。

  3. 修复了文档中的单元测试示例,确保开发者能够获得正确的参考实现。

技术细节与开发者关注点

  1. Helm指标导出格式进行了调整,以更好地兼容Prometheus监控系统。

  2. 移除了Burp解析器中未使用的方法,精简代码库并提高可维护性。

  3. 对设置文件(settings.dist.py/local_settings.py)进行了多项调整,包括Jira Webhook和Proofpoint相关的配置选项更新。

DefectDojo 2.44.3版本虽然是一个小版本更新,但包含了多项重要的功能改进和错误修复,特别是在解析器兼容性和风险管理流程方面。这些更新进一步巩固了DefectDojo作为企业级风险管理平台的地位,为安全团队提供了更可靠、更高效的工作工具。对于现有用户来说,建议参考升级指南进行平滑升级,以获取这些改进带来的好处。

登录后查看全文
热门项目推荐
相关项目推荐