DefectDojo 2.47.0版本发布：安全管理平台的重要更新

项目概述

DefectDojo是一个开源的安全管理平台，专门为安全团队和开发人员设计，用于跟踪和管理应用程序安全问题。它提供了一个集中的平台来聚合、分析和报告安全发现，支持多种安全扫描工具的集成，并帮助团队在整个软件开发生命周期中持续改进安全状况。

核心功能更新

问题标识符增强

2.47.0版本引入了ELA和ALEA两种新型问题标识符系统，为安全团队提供了更灵活的问题跟踪方式。这些标识符系统能够更好地适应不同组织的安全需求，特别是在处理大规模安全管理时。

用户界面改进

本次更新对UI进行了多项优化：

• 修复了组件头部与过滤器主体之间的间隙问题
• 调整了详细指标面板的页脚边距
• 增强了强制对比模式的可访问性
• 改进了分页选项，提供更合理的数值选择
• 修复了用户名检索功能中的拼写错误

安全扫描器集成

DefectDojo持续扩展其对各种安全扫描器的支持：

• 为Anchorectl解析器添加了新的"evaluations"格式支持
• 改进了OpenVAS CSV解析器，现在包含CVSS评分
• 修复了Cyberwatch解析器的问题
• 增强了HCL Appscan解析器中的CWE处理
• 为AuditJS解析器添加了CVSSv4支持并改进了错误处理

技术架构改进

数据库与性能

• 对unique_id_from_tool字段的使用进行了澄清和优化
• 数据库迁移确保了数据一致性
• 通过Ruff静态分析工具添加了PERF401、PERF403等性能相关规则

API增强

• Dojo Meta迁移到filterset_class并添加了不区分大小写的过滤器
• 为导入/重新导入功能添加了对标签逗号分隔的支持

部署选项

• Helm图表现在支持使用外部serviceAccount
• 移除了对postgresql-ha的支持
• 修复了夜间构建的Helm图表问题

安全与合规

• 增加了会话超时通知功能
• 改进了Celery日志记录，现在会尊重CELERY_LOG_LEVEL设置
• 增强了文件下载时的文件名清理处理

维护与依赖更新

项目持续保持依赖项的更新，包括：

• 升级了boto3、cryptography、django-polymorphic等关键依赖
• 更新了Node.js、PostgreSQL等基础设施组件
• 改进了构建和发布工作流

总结

DefectDojo 2.47.0版本在安全管理、用户界面、扫描器集成和系统架构等多个方面都有显著改进。这些更新不仅提升了平台的稳定性和性能，还增强了其处理复杂安全场景的能力。对于依赖DefectDojo进行安全管理的团队来说，升级到这个版本将获得更好的用户体验和更全面的安全覆盖。