DefectDojo 2.42.3版本发布：安全风险管理平台的重要更新

项目简介

DefectDojo是一个开源的缺陷管理平台，专为安全团队设计，用于跟踪和管理应用程序安全风险。它提供了强大的功能，包括风险扫描、风险评估、报告生成以及与各种安全工具的集成。DefectDojo已经成为许多组织安全开发生命周期(SDLC)中不可或缺的一部分。

2.42.3版本更新概述

DefectDojo最新发布的2.42.3版本带来了一系列功能改进和问题修复，主要关注于用户体验、API增强和系统稳定性。这个版本虽然是一个小版本更新，但包含了一些值得注意的改进点。

核心功能改进

Webhook通知测试修复：开发团队修复了Webhook通知测试功能，确保系统能够正确测试和验证Webhook配置。这对于依赖自动化通知流程的团队尤为重要。

Wiz解析器增强：现在Wiz解析器会导入所有状态的安全发现，而不仅仅是特定状态的结果。这一改进使得安全团队能够获得更全面的风险视图，不会遗漏任何潜在问题。

OpenVAS和Nmap解析器改进：对OpenVAS解析器进行了修复，并增加了对script_id的支持。这一变化使得扫描结果更加详细和准确，有助于安全分析师更好地理解发现的风险。

用户体验优化

可访问性增强：开发团队持续关注产品的可访问性，为按钮、链接和表格添加了缺失的ARIA标签和角色。这些改进使得产品对使用辅助技术的用户更加友好。

分页组件改进：分页功能现在具有更好的可访问性，确保所有用户都能轻松浏览大量安全发现。

警报视图优化：警报内容现在经过适当的清理和标记处理，提高了显示的安全性，防止潜在的安全问题。

API功能增强

预取端点改进：API现在能够正确返回所有预取模型，即使同时请求多个端点。这一改进使得API客户端能够更高效地获取所需数据，减少了不必要的请求次数。

系统稳定性与维护

日志记录改进：当无法找到hashcode配置时，系统现在会记录这一情况，帮助管理员更快地诊断问题。

遗留重新导入日志级别调整：将遗留重新导入功能的日志级别从调试提升到警告，使得重要信息更加突出。

MySQL残留代码清理：移除了不再需要的MySQL相关代码，简化了代码库。

依赖项更新：包括asteval库从1.0.5升级到1.0.6，以及文档中的vite从6.0.7升级到6.0.9，确保使用最新的稳定版本。

技术细节

对于系统管理员和DevOps团队，这个版本包含了一些需要关注的配置变更：

1. 对settings.dist.py和local_settings.py文件进行了修改，使vulnids功能更加健壮
2. 移除了MySQL相关的遗留配置项

这些变更意味着在升级过程中，管理员需要仔细检查这些配置文件，确保新的设置符合组织的安全策略。

升级建议

对于正在使用DefectDojo的组织，建议在测试环境中首先验证2.42.3版本，确保所有自定义集成和功能正常工作。特别是：

• 检查Webhook通知功能是否按预期工作
• 验证所有解析器（特别是Wiz、OpenVAS和Nmap）是否正确处理扫描结果
• 确认API客户端能够正确处理预取模型的返回结果

这个版本虽然主要是修复和改进，但对于依赖特定功能的团队来说，某些变更可能会影响工作流程。建议在升级前仔细阅读完整的变更日志，并制定相应的测试计划。

DefectDojo持续改进其功能集和用户体验，2.42.3版本再次证明了项目团队对产品质量和用户需求的关注。对于安全团队来说，保持系统最新是确保最佳安全实践的重要部分。