以下项的新增功能 HCL AppScan 360°

功能用户：新增了创建服务帐户的功能，以便于执行自动化任务与系统集成。仅通过 API 提供。

• 2025 年 LLM 应用 OWASP 前 10 大漏洞
• [加拿大] IT 安全风险管理：生命周期方法 (ITSG-33)

• 国际标准 - ISO 27001:2022
• 国际标准 - ISO 27002:2022
• 支付卡行业数据安全标准 (PCI DSS) - V4.0.1
• NIST 特刊 800-53 - 5.2.0
• [欧盟] 通用数据保护条例 (GDPR)
• [美国] 健康保险流通与责任法案 (HIPAA)

• Slack：在您的 Slack 通道中接收 AppScan 360° 安全警报和扫描通知。
• Splunk：在 AppScan 360° 与 Splunk 之间建立连接，通过分析和仪表板实现对扫描数据的集中可视化。
• 游标 AI：与 AppScan CodeSweep 进行集成，以便在 AI 辅助编码过程中识别并修复漏洞。

• 自动登录改进：AppScan 现在可以更可靠地遍历 Angular 应用程序，修复罕见的登录录制错误，并在播放失败后的第二次尝试操作之间增加延迟，从而提高总体成功率。
• 屏蔽改进：增强了 AppScan 的屏蔽功能，可更一致地保护敏感信息。
• 改进了对使用 AngularJS 框架的单页应用程序 (SPA) 扫描的支持。
• 全新和更新后的安全规则。

• 为生成式 AI 监控提供支持：openai

• 我们现在提供了一个新的选项，能够以独立 tarball 的形式从 AppScan 360° 下载 Node.js 代理程序。此选项专为无法访问公共 npm 注册表的物理隔离或受限的环境而设计。
  客户现在可以使用以下选项之一创建 Node.js 代理程序：

  • Node.js（来自 npm 的代理程序）从公共 npm 注册表中检索代理程序，而密钥则从 AppScan 360° 中获取。这是现有的方法，现已重命名。
  • Node.js（下载代理程序）以独立 tarball 的形式从 AppScan 360° 下载 Node.js 代理程序，以便在无法访问 npm 的情况下进行安装。

• 为生成式 AI 监控提供支持：openai-java

• 为生成式 AI 监控提供支持：OpenAI
• 支持通过代理与 AppScan 360° 进行通信。
• 支持用于微服务的 IAST 分析器。
• 现在，可通过 secagent.log 环境变量配置 IAST 的日志文件名和路径。

• 性能提升和缺陷修复。

• 引入了使用 Helm 图表的替代安装方法。
• 优化了命名空间过滤的处理方式。
• 通过添加标签 skip-iast-webhook="true"，可以在 IAST 安装过程中跳过单个 Pod。
• 为 IAST 容器 CPU 和内存分配添加了限制。
• 当 IAST webhook 服务器不可用时，Pod 将不再受到影响。
• 自动突变同步：现在，webhook 服务器会在部署和 Helm 升级期间自动将 MutatingWebhookConfiguration 与更新后的命名空间配置进行同步。

• 关联功能已更新，现在能够识别 IAST 结果与源代码扫描的 SAST 结果之间的关联。

• 新的安装程序允许更智能地检测服务。
• 现在，AppScan Go! 会在登录时自动检测并填写正确的服务 URL。
• 为扫描指定的软件组成分析 (SCA) 文件不再显示绝对路径。
• 用户界面改进。

• AppScan 的全新 SCA 引擎现已集成恶意软件检测功能。此增强功能会自动扫描开源和第三方组件，以查找是否存在已知的恶意或遭到入侵的包，从而帮助团队在开发过程的早期阶段识别和缓解潜在的供应链风险。
• 现在，生成开源许可证报告时，系统会列出恶意库。

有关其他信息，请参阅 安装文件位置。

支持通过 Entra ID (Azure AD) 进行 SSO： HCL AppScan 360° 现已全面支持 Microsoft Entra ID 来实现无缝单点登录 (SSO) 集成，从而提升安全性并提供更流畅的认证体验。

单个 VM 安装程序：全新的快速和定制模式可简化部署。

分布式安装：新增先决条件验证功能，可确保您的环境在进行全面部署之前已准备就绪。

• 统一命名空间支持：将所有组件部署到用户定义的单个命名空间中（通过 -n），以便更轻松地进行基于角色的访问控制、监控与清理。
• 带标签的版本锁定：安装特定且带标签的版本，以确保部署过程可控、可重现，并且能够更轻松地实现回滚。
• 手动存档路径：不依赖 Git 的安装选项，适用于受限/物理隔离的环境。

单点登录 (SSO)： HCL AppScan 360° 现在支持基于 OIDC 的认证，并已通过 Okta 和 Keycloak 验证。

Domino LDAP: 新增对 Domino LDAP 服务器的支持，可为您提供更多的企业认证选项。

• 更新的合规性报告：
  • [US] DISA's Application Security and Development STIG。V6R3
  • 2024 年 CWE 最危险的 25 个软件漏洞

• 列选择：列选择按类别进行组织，以提高可用性。
• 从网格复制：右键单击任何表格单元格即可轻松复制其内容。

AppScan 360° 现在可以将扫描结果直接发送到 Centraleyezer，从而实现跨工具安全发现的统一管理。

AppScan 360° 插件现在支持 SCA 扫描。

对于许可管理，My HCLSoftware (MHS) 门户网站已取代 FlexNet Operations (FNO) 门户网站。从 2025 年 6 月 30 日起，FNO 不再受支持。

• 在 2025 年 6 月 30 日之后，将不再提供 AppScan 360° 1.6.0 及更早版本。
• AppScan 360° 的非 FIPS 1.6.1 版本只能从 My HCLSoftware (MHS) 门户网站进行下载。
• AppScan 360° 支持 FIPS 的 1.6.1 版本可从 Four, Inc. 获取

• HCL AppScan 360° 可以使用脱机单个 VM 安装包进行安装。只更改了安装模式，安装程序包的内容仍与 1.5.0 版本相同。

• 使用单个 Helm 命令进行简单安装。
• 使用 HCL Harbor 容器注册表中的 Docker 映像进行轻量化设置。
• 针对支持 Kubernetes 的基础结构进行了优化。

• 将静态分析客户机更新到 8.0.1604 版本。
• 支持 HTML。
• 对 Python Django 扫描的额外支持。
• 对密钥扫描的更新。
• 添加了新的 CLI 命令以检索日志。
• 对扫描规则的更新。
• AppScan Go! 已更新到 V2.2.0。
  • 扫描名称允许使用特殊字符。
  • 前缀 static_ 不再自动包含在扫描名称中。
  • 缺省情况下已启用每次扫描的密钥扫描。
  • 用户界面改进。
  • 常规错误修复。

您可以选择在分布式 Kubernetes 环境中安装 AppScan 360°（标准安装）,也可以在单个虚拟机上安装。单个 VM 安装可以在不需要高并发处理能力的情况下，为数据量较小的环境提供独立的 AppScan 360° 部署（包括配置 Kubernetes），也可作为后续分布式安装规划的一部分。

• 新的或更新的合规性和行业标准报告和政策：
  • 网络与信息安全指令 (NIS2)
  • OWASP 云原生应用程序安全性前 10 名
  • 2023 年 OWASP 十大 API 安全风险
  • 2023 年 CWE 最危险的 25 个软件漏洞
  • [美国] DISA 应用程序安全和开发 STIG V5 R3。
  • 支付卡行业数据安全标准 (PCI DSS) - V4
• 自动传播注释：自动将另一个应用程序中相同问题的最新注释和问题状态传播到当前应用程序。这可确保持续更新状态和注释，从而在所有应用程序中提供完整且同步的问题记录。
• 问题“详细信息”选项卡中的存储库链接：问题详细信息选项卡中的“位置”字段包含指向源代码存储库中指定文件和行的链接（如果适用）。这样一来，您无需切换选项卡即可直接访问相关代码。

• 将静态分析客户机更新到 8.0.1577 版本。
• AppScan Go! 已更新到 V2.1.1。
  • 增加了使用 URL 扫描 AppScan Go! 中 SCM 存储库的功能。
  • AppScan Go! 现自动推荐扫描模式，可以是字节码/编译模式或源代码模式。
• SAST 扫描可以配置和计划，以便直接从公共 GitHub 存储库中提取源代码。请参阅扫描 GitHub 存储库。
• 对 SAST 结果进行分类时，用户可以直接在 GitHub.com 上查看相关源代码。
• 现在可以按文件名或路径过滤结果，通过关注代码库的特定区域，使分类更有效。
• CLI 命令 queue_analysis 显示静态分析 (SAST) 的扫描标识。
• 启用了 IFA 2.0，可获取 .NET 跟踪结果。
• 改进了密钥扫描程序和 Java 源代码扫描程序。
• 密钥扫描程序扫描 PowerShell (.ps1) 文件。
• 规则更新。
• 支持 Makefile/GNUMakefile、eSQL 和 Java 21。

  此外，Java 21 还包含在 Static Analyzer Command Line Utility (SAClientUtil) 包中。

• DAST 扫描的实时日志：查看活动扫描期间的实时日志更新。
• 扩展支持方式：为 DAST 扫描启用扩展支持方式 (ESM)，以便生成用于提供支持的详细日志。
• DAST 引擎已更新到 10.7.0.40885

• JetBrains IDE 插件
• Jira、Azure DevOps 和 RTC DTS 集成
• ServiceNow 漏洞管理集成
• AppScan-SDK 自建集成

有关更多信息，请参阅集成。

我们出色的 DAST 技术使组织能够在将正在运行的应用程序和 API 部署到 Web 之前扫描它们是否存在漏洞。增量扫描和测试优化使公司能够根据开发生命周期的需求平衡扫描的速度和深度。

• 已将日期过滤器添加到修复组页面。根据日期范围和/或与组件问题相关的时间属性查看修复组。
• 共享选项已添加到问题详细信息面板中。复制链接或问题标识，通过文本或电子邮件快速高效地共享问题详细信息。

• 设置页面经过重新设计，改进了组织结构，现在需要确认对页面设置的更改。

• Azure：DAST、SAST
• Jenkins：DAST、SAST
• Visual Studio 2022：SAST

用户体验 (UX) 改进：

• 资产组：新的删除资产组流简化了删除资产组的流程。具有删除资产组许可权的用户（管理员和管理者等缺省角色以及定制角色）可以删除资产组及其关联的应用程序（包括扫描和结果），从而方便移除不必要的应用程序。用户还可以选择将应用程序移到另一个资产组，并可选择包括或不包括其成员。
• 修复组：在修复组的安全性报告中添加了“注释”字段，以便更好地包含和跟踪备注和注释。

• 我们的 AI/ML 自动筛选技术（即 Java 智能结果分析 (IFA)）的主要增强功能包括更精确的结果和更少的假阳性。由于改进了分析和优先级划分，用户可能会在之前扫描的代码中注意到其他结果。
• 自动发现 Git 存储库。新问题的文件路径与存储库根相关。
• 增加了 RPG 语言的覆盖范围。
• AppScan Go! 已更新到 V2.0.0

  凭借更新和改进的用户界面和优化的工作流程，AppScan Go! 将引导您配置和运行静态或密钥扫描。您可以运行完整扫描，准备 IRX 文件以便以后扫描，或者配置文件，以便使用 AppScan 插件自动执行扫描。您也可以在工具中查看帐户信息。

• 对 .NET 8 的静态分析支持。
• 提高了 Java、JavaScript 和 Python 语言的准确性。

• 在任何 Kubernetes 环境中部署。
• 接受“--server”选项的 AppScan Central Platform 服务器主机名 (FQDN) 部分。
• 部署期间必须提供存储类名称 (--storage-class)。
• 选项“--ingress-host”的缺省 AppScan 360° Static Analysis入口主机名已从“sast.appscan.com”更改为“sast.example.com”。