首页
/ DefectDojo 2.46.0版本发布:安全管理平台的重要更新

DefectDojo 2.46.0版本发布:安全管理平台的重要更新

2025-06-14 01:02:05作者:房伟宁

DefectDojo是一个开源的缺陷管理平台,它帮助安全团队高效地管理应用程序安全测试结果。该平台支持多种安全工具的集成,提供缺陷跟踪、报告生成和风险管理等功能。最新发布的2.46.0版本带来了一系列功能增强和问题修复,进一步提升了平台的稳定性和可用性。

核心功能改进

本次更新在多个关键功能模块进行了优化:

  1. 缺陷解析器增强

    • OSV解析器现在能够包含修复包版本的缓解信息
    • 新增了ImmuniWeb JSON解析器支持
    • 改进了Nessus解析器,能够解析更多字段
    • 增强了Wiz扫描解析器,处理更多字段和unique_id_from_tool
    • RustyHog解析器现在能正确处理空报告
  2. 缺陷标识符(VulnID)扩展

    • 新增了对阿里巴巴Linux、Amazon Linux安全中心、HCL Commerce KB和Cisco安全公告的支持
    • 改进了Slackware和Siemens缺陷标识符的区分
  3. SLA计算优化

    • 简化了SLA计算逻辑
    • 使用mass update进行重新计算提高性能
    • 移除了不工作的DD_SLA_BUSINESS_DAYS功能以避免混淆

系统架构改进

在系统架构层面,2.46.0版本进行了多项优化:

  1. 数据库迁移

    • 更新了JIRA用户名和密码字段的描述文本
    • 统一了标签的允许字符格式
    • 修改了导入/重新导入统计中"left untouched"的命名
  2. API增强

    • 现在可以通过API设置风险接受的recommendation和decision字段
    • 改进了风险接受相关的API功能
  3. UI用户体验

    • 修复了标签导航时焦点指示器消失的问题
    • 在端点视图中修复了错误显示
    • 最近的笔记现在会显示日期和作者信息
    • 提高了页面加载速度,使用更小的资源文件

安全与稳定性

本次更新特别关注了平台的安全性和稳定性:

  1. 依赖项升级

    • 将Django框架升级至5.1.8版本
    • 更新了多个Python依赖包,包括boto3、celery、django-extensions等
    • 将Ruff静态分析工具升级到0.11.x系列
  2. 安全修复

    • 修复了Webhook中缺失引号导致的渲染问题
    • 修复了通知中产品名称渲染不正确的问题
    • 改进了Fortify解析器,将抑制的发现处理为假阳性

维护与文档

在维护和文档方面也有显著改进:

  1. 文档更新

    • 新增了SSO维护文档
    • 添加了标签使用指南
    • 完善了专业版功能增强文档
    • 更新了Wiz解析器和Anchore Enterprise的文档
    • 重新组织了Jira和导入相关的文档结构
  2. 维护工具

    • 改进了GitHub Actions工作流
    • 添加了输入验证以防止发布错误
    • 实现了夜间开发版本的自动发布

技术细节优化

在技术实现细节上,2.46.0版本进行了多项优化:

  1. 代码质量

    • 添加了S324静态分析规则
    • 最终修复了PTH123规则相关的问题
    • 改进了解析器的文档字符串
  2. 性能改进

    • 关闭旧发现时不再覆盖已缓解的时间戳
    • 使用批量更新进行SLA重新计算
    • 优化了资源加载,使用更小的JS和CSS文件
  3. 功能弃用

    • 添加了关于异步导入功能将在2.46.0版本中移除的弃用通知

DefectDojo 2.46.0版本的发布标志着这个开源缺陷管理平台的持续成熟。通过新增解析器支持、改进现有功能、增强安全性和优化性能,这个版本为安全团队提供了更强大、更可靠的工具来管理他们的应用程序安全计划。特别是对SLA计算和缺陷标识符的改进,使得平台在处理复杂安全场景时更加得心应手。

登录后查看全文
热门项目推荐

项目优选

收起
docsdocs
OpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
149
1.95 K
kernelkernel
deepin linux kernel
C
22
6
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
980
395
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
192
274
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
931
555
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
145
190
nop-entropynop-entropy
Nop Platform 2.0是基于可逆计算理论实现的采用面向语言编程范式的新一代低代码开发平台,包含基于全新原理从零开始研发的GraphQL引擎、ORM引擎、工作流引擎、报表引擎、规则引擎、批处理引引擎等完整设计。nop-entropy是它的后端部分,采用java语言实现,可选择集成Spring框架或者Quarkus框架。中小企业可以免费商用
Java
8
0
金融AI编程实战金融AI编程实战
为非计算机科班出身 (例如财经类高校金融学院) 同学量身定制,新手友好,让学生以亲身实践开源开发的方式,学会使用计算机自动化自己的科研/创新工作。案例以量化投资为主线,涉及 Bash、Python、SQL、BI、AI 等全技术栈,培养面向未来的数智化人才 (如数据工程师、数据分析师、数据科学家、数据决策者、量化投资人)。
Jupyter Notebook
75
66
openHiTLS-examplesopenHiTLS-examples
本仓将为广大高校开发者提供开源实践和创新开发平台,收集和展示openHiTLS示例代码及创新应用,欢迎大家投稿,让全世界看到您的精巧密码实现设计,也让更多人通过您的优秀成果,理解、喜爱上密码技术。
C
65
519
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.11 K
0