DefectDojo 2.42.2版本发布：安全管理平台的重要更新

DefectDojo是一个开源的缺陷管理平台，它帮助安全团队高效地跟踪和管理应用程序安全问题。作为一个DevSecOps工具，DefectDojo提供了问题聚合、风险评估、工作流管理和报告功能，使安全团队能够更好地与开发团队协作。

核心功能更新

权限控制优化

本次版本对"Request Review"功能的RBAC(基于角色的访问控制)实现进行了改进，使其行为更加符合预期。在安全管理场景中，精确的权限控制至关重要，这一优化确保了评审请求流程中的权限检查更加严格和准确。

时间过滤增强

针对问题的"Mitigated On/Before/After"状态，新版本引入了DateTimeFilter，提供了更精确的时间过滤能力。安全团队现在可以根据具体的缓解时间范围来筛选问题，这在处理大量数据时特别有用。

资源注解支持

新增了对不同资源的注解功能，这为安全团队提供了更灵活的元数据管理能力。注解可以用于标记问题的特殊属性、处理状态或其他自定义信息，增强了系统的可扩展性。

安全扫描器集成改进

AWS安全服务增强

新版本对AWS SecurityHub和Inspector2解析器进行了增强，增加了对imageTags的支持。这使得在云原生环境中，安全团队能够更好地跟踪和管理容器镜像相关的问题。

Semgrep解析器优化

修复了Semgrep JSON报告中"fingerprint"和"lines"字段在需要登录情况下的处理问题。这一改进确保了即使需要认证访问的代码库，扫描结果也能被正确解析和处理。

风险评估功能增强

EPSS范围过滤器

新增了针对EPSS(Exploit Prediction Scoring System)的范围过滤器。EPSS是一个预测问题被利用可能性的评分系统，这一功能使安全团队能够根据问题被利用的可能性范围进行筛选，优先处理高风险问题。

XML解析器测试

为XML解析器中的Finding(发现)功能增加了测试用例，提高了解析器的稳定性和可靠性。这对于依赖XML格式报告的安全工具集成尤为重要。

后台架构改进

异步删除优化

针对异步删除操作中的竞态条件问题进行了加固。在大规模管理系统中，异步操作是提高性能的关键，这一改进确保了删除操作在高并发情况下的数据一致性。

验证状态粒度控制

数据库迁移中增加了验证状态的粒度控制，使安全团队能够更精细地管理问题验证过程。这一改进为复杂的安全验证工作流提供了更好的支持。

技术细节优化

通知系统改进

修复了通知上下文中site_url的使用问题，确保系统通知中的链接能够正确指向实例地址。这对于分布式部署环境尤为重要。

依赖项更新

将Django框架从5.1.4升级到5.1.5版本，包含了最新的安全修复和性能改进。

DefectDojo 2.42.2版本的这些更新进一步提升了平台的安全性、稳定性和可用性，特别是在大规模企业环境中的表现。安全团队现在能够更高效地管理问题生命周期，从发现到解决的整个过程都得到了增强。