新增功能 HCL AppScan 360°

• 完整的服務圖形視圖：為微服務的互動方式提供全方位視覺化呈現，讓您更深入瞭解微服務間的關係。
• 降低誤判率：運用服務圖表提升漏洞偵測的精確度，減少不相關的警示並增加安全性工作效能。

新款引擎強化原已優良的偵測功能，將噪音降至最低並提供更準確的結果，進一步提升精確度。

更快速精確地識別已知風險。

當掃描中有相依性資料，您會看到視覺化的圖形視圖，有利於更輕鬆瞭解套件關係和影響。

C/C++、PHP 和 Java 配置檔。須更新至靜態分析用戶端 8.0.1646 版。

• 選取直欄：依類別選取直欄，以提高可用性。
• 從網格複製：以滑鼠右鍵點按任何表格資料格，即可輕鬆複製其內容。

• 使用報告佈置為報告設定自訂標題。
• 產生的報告會顯示報告類型。

• 已更新的相符性報告：
  • [美國] DISA 的應用程式安全與開發 STIG。V6R3
  • 2024 年 CWE 前 25 大最危險的軟體弱點

流量資料檔案上含多個網域：上傳含有多個網域的流量資料檔案時，HCL AppScan 360° 會自動將這些網域新增至「要測試的網域」清單，並將已驗證的網域標記為納入掃描。

My HCLSoftware (MHS) 入口網站已取代 FlexNet Operations (FNO) 入口網站的授權管理功能。自 2025 年 6 月 30 日起，不再支援 FNO。

• AppScan 360° 1.6.0 版及更早版本將於 2025 年 6 月 30 日後停止服務。
• 非 FIPS 的 AppScan 360° 1.6.1 版 僅可從 My HCLSoftware (MHS) 入口網站下載。
• 啟用 FIPS 的 AppScan 360° 1.6.1 版可於 Four, Inc. 取得。

• HCL AppScan 360° 可使用離線單一 VM 安裝套件來安裝。僅有安裝模式經過變更；安裝程式套件的內容仍與 1.5.0 版相同。

• 使用單一 Helm 指令進行簡單安裝。
• 使用 HCL Harbor 儲存器登錄的 Docker 映像檔進行輕量型安裝。
• 已針對啟用 Kubernetes 的基礎架構最佳化。

• 靜態分析用戶端已更新至 8.0.1604 版。
• 支援 HTML。
• 額外支援 Python Django 掃描。
• 更新機密掃描。
• 已新增新 CLI 指令來擷取日誌。
• 更新以掃描規則。
• AppScan Go! 已更新至 2.2.0 版。
  • 掃描名稱允許特殊字元。
  • 字首 static_ 不再自動包含在掃描名稱中。
  • 依預設，每次掃描都會啟用機密掃描。
  • 使用者介面改善。
  • 一般錯誤修正。

您可以選擇將 AppScan 360° 安裝在 分散式 Kubernetes 環境（標準安裝）或單一虛擬機器中。單一 VM 安裝可針對不需要高並行性的小型環境獨立部署 AppScan 360°，包括配置 Kubernetes，或作為規劃後續分散式安裝的一部分。

• 新的或更新的合規性與業界標準報告和原則：
  • 網路與資訊安全指引 (NIS2)
  • OWASP 雲端原生應用程式安全前 10
  • 2023 年 OWASP 前 10 大 API 安全性
  • 2023 年 CWE 前 25 大最危險的軟體弱點
  • [美國] DISA 的應用程式安全與開發 STIG，版本 5 發行版本 3
  • 付款卡產業資料安全標準 (PCI DSS) 版本 4
• 自動註解傳播：自動將最新註解與其他應用程式中相同問題的問題狀態一起傳播到目前應用程式。這可確保狀態和註解均持續更新，進而在所有應用程式中提供完整且同步的問題記錄。
• 問題「詳細資料」標籤中的儲存庫連結：問題詳細資料標籤中的「位置」欄位包含指定檔案的連結，以及原始碼儲存庫中的行（如適用）。如此即可直接存取相關程式碼，而無需切換標籤。

• 靜態分析用戶端已更新至 8.0.1577 版。
• AppScan Go! 升級至 2.1.1 版。
  • 已新增在 AppScan Go! 中透過 URL 掃描 SCM 儲存庫的功能。
  • AppScan Go! 現可自動建議掃描模式，可以是位元組碼/編譯或原始碼。
• SAST 掃描現可配置和排程，直接從公開的 GitHub 儲存庫擷取原始碼。請參閱掃描 GitHub 儲存庫。
• 使用者可在分類 SAST 發現項目時，直接在 GitHub.com 上檢視相關的原始碼。
• 發現項目現可依檔案名稱或路徑進行過濾，將重點放在代碼庫的特定區域，以更有效率的方式進行分類。
• CLI 指令 queue_analysis 會顯示靜態分析 (SAST) 的掃描 ID。
• 已針對 .NET 追蹤發現項目啟用 IFA 2.0。
• 改善機密掃描器與 Java 原始碼掃描器。
• 機密掃描器會掃描 PowerShell (.ps1) 檔案。
• 規則更新。
• 支援 Makefile/GNUMakefile、eSQL 與 Java 21。

  此外，Static Analyzer 指令行公用程式 (SAClientUtil) 套件中也包含 Java 21。

• DAST 掃描的即時日誌：在作用中掃描期間檢視即時日誌更新。
• 延伸支援模式：針對 DAST 掃描啟用延伸支援模式 (ESM)，以產生用於支援目的的詳細日誌。
• DAST 引擎已更新至 10.7.0.40885 版

• JetBrains IDE 外掛程式
• Jira、Azure DevOps 與 RTC DTS 整合
• ServiceNow 漏洞管理整合
• AppScan-SDK 自行建置整合

如需其他資訊，請參閱整合。

我們領先市場的 DAST 技術可讓組織在部署至網路之前，先掃描執行中的應用程式和 API 是否有漏洞。漸進式掃描與測試最佳化可讓公司根據開發生命週期的需求，平衡掃描的速度與深度。

• 日期過濾器已新增至「修正群組」頁面。根據日期範圍和/或與元件問題相關的時間相關內容來檢視修正群組。
• 「問題詳細資料」窗格中已新增共用選項。複製連結或問題 ID，透過簡訊或電子郵件快速有效地分享問題詳細資料。

• 設定頁面經過重新設計並具有改善的組織，且現在頁面設定變更時需要確認。

• 天藍色：DAST、SAST
• Jenkins：DAST、SAST
• Visual Studio 2022：SAST

使用者體驗 (UX) 改進：

• 資產群組：新的刪除資產群組流程簡化了資產群組的刪除程序。具有刪除資產群組許可權的使用者（如系統管理員和管理者等預設角色，以及自訂角色）可以刪除資產群組與其相關應用程式，包括掃描和發現項目，以協助移除不必要的應用程式。使用者也可以選擇將應用程式移至其他資產群組，無論是否有成員。
• 修正程式群組：在針對修正群組新增的安全報告中加入註解欄位，如此更能納入並追蹤附註和註解。

• 在改善 Java 智慧型發現項目分析 (IFA) 的主要增強功能中，我們的 AI/ML 自動分類技術包含更精確的發現項目以及減少誤判機率。由於改善了分析和優先順序，使用者可能會注意到先前掃描的程式碼中有其他發現項目。
• Git 儲存庫自動探索。新問題的檔案路徑與儲存庫根目錄有關。
• 擴大 RPG 語言的涵蓋範圍。
• AppScan Go! 已更新至 2.0.0 版

  AppScan Go! 透過重新整理並改良的使用者介面和改良的工作流程，逐步引導您配置和執行靜態或機密掃描。您可以執行完整掃描、準備 IRX 檔案以稍後掃描，或配置檔案以使用 AppScan 外掛程式進行自動掃描。您也可以在工具內檢視帳戶資訊。

• 支援 .NET 8 的靜態分析。
• 提高 Java、JavaScript 和 Python 語言的準確度。

• 部署在任何 Kubernetes 環境中。
• 接受 '--server' 選項 AppScan 中央平台 伺服器的主機名稱 (FQDN) 部分。
• 必須在部署期間提供儲存類別名稱 (--storage-class)。
• 選項 '--ingress-host' 的預設 AppScan 360° 靜態分析 輸入主機名稱會從 'sast.appscan.com' 變更為 'sast.example.com'。