DefectDojo 2.46.0版本发布：安全管理平台的重要更新

DefectDojo是一个开源的缺陷管理平台，它帮助安全团队高效地管理应用程序安全测试结果。该平台支持多种安全工具的集成，提供缺陷跟踪、报告生成和风险管理等功能。最新发布的2.46.0版本带来了一系列功能增强和问题修复，进一步提升了平台的稳定性和可用性。

核心功能改进

本次更新在多个关键功能模块进行了优化：

1. 缺陷解析器增强：

   • OSV解析器现在能够包含修复包版本的缓解信息
   • 新增了ImmuniWeb JSON解析器支持
   • 改进了Nessus解析器，能够解析更多字段
   • 增强了Wiz扫描解析器，处理更多字段和unique_id_from_tool
   • RustyHog解析器现在能正确处理空报告

2. 缺陷标识符(VulnID)扩展：

   • 新增了对阿里巴巴Linux、Amazon Linux安全中心、HCL Commerce KB和Cisco安全公告的支持
   • 改进了Slackware和Siemens缺陷标识符的区分

3. SLA计算优化：

   • 简化了SLA计算逻辑
   • 使用mass update进行重新计算提高性能
   • 移除了不工作的DD_SLA_BUSINESS_DAYS功能以避免混淆

系统架构改进

在系统架构层面，2.46.0版本进行了多项优化：

1. 数据库迁移：

   • 更新了JIRA用户名和密码字段的描述文本
   • 统一了标签的允许字符格式
   • 修改了导入/重新导入统计中"left untouched"的命名

2. API增强：

   • 现在可以通过API设置风险接受的recommendation和decision字段
   • 改进了风险接受相关的API功能

3. UI用户体验：

   • 修复了标签导航时焦点指示器消失的问题
   • 在端点视图中修复了错误显示
   • 最近的笔记现在会显示日期和作者信息
   • 提高了页面加载速度，使用更小的资源文件

安全与稳定性

本次更新特别关注了平台的安全性和稳定性：

1. 依赖项升级：

   • 将Django框架升级至5.1.8版本
   • 更新了多个Python依赖包，包括boto3、celery、django-extensions等
   • 将Ruff静态分析工具升级到0.11.x系列

2. 安全修复：

   • 修复了Webhook中缺失引号导致的渲染问题
   • 修复了通知中产品名称渲染不正确的问题
   • 改进了Fortify解析器，将抑制的发现处理为假阳性

维护与文档

在维护和文档方面也有显著改进：

1. 文档更新：

   • 新增了SSO维护文档
   • 添加了标签使用指南
   • 完善了专业版功能增强文档
   • 更新了Wiz解析器和Anchore Enterprise的文档
   • 重新组织了Jira和导入相关的文档结构

2. 维护工具：

   • 改进了GitHub Actions工作流
   • 添加了输入验证以防止发布错误
   • 实现了夜间开发版本的自动发布

技术细节优化

在技术实现细节上，2.46.0版本进行了多项优化：

1. 代码质量：

   • 添加了S324静态分析规则
   • 最终修复了PTH123规则相关的问题
   • 改进了解析器的文档字符串

2. 性能改进：

   • 关闭旧发现时不再覆盖已缓解的时间戳
   • 使用批量更新进行SLA重新计算
   • 优化了资源加载，使用更小的JS和CSS文件

3. 功能弃用：

   • 添加了关于异步导入功能将在2.46.0版本中移除的弃用通知

DefectDojo 2.46.0版本的发布标志着这个开源缺陷管理平台的持续成熟。通过新增解析器支持、改进现有功能、增强安全性和优化性能，这个版本为安全团队提供了更强大、更可靠的工具来管理他们的应用程序安全计划。特别是对SLA计算和缺陷标识符的改进，使得平台在处理复杂安全场景时更加得心应手。