新增功能 HCL AppScan 360°

功能性使用者：新增建立服務帳戶的功能，以促進自動化作業與系統整合。僅透過 API 提供。

• OWASP 2025 年 LLM 應用程式 10 大安全風險
• [加拿大] IT 安全風險管理：生命週期方法 (ITSG-33)

• 國際標準－ISO 27001:2022
• 國際標準－ISO 27002:2022
• 支付卡產業資料安全標準 (PCI DSS) - V4.0.1
• NIST 特別出版品 800-53－5.2.0 版
• [歐盟] 一般資料保護法規 (GDPR)
• [美國] 健康保險可攜性與責任法案 (HIPAA)

• Slack：在您的 Slack 通道中接收 AppScan 360° 的安全警示和掃描通知。
• Splunk：將 AppScan 360° 與 Splunk 連接，以透過分析和儀表板集中檢視掃描資料。
• Cursor AI：與 AppScan CodeSweep 整合，可在 AI 輔助編碼過程中識別並補救漏洞。

• 自動登入改善：AppScan 現在可更穩定地搜索 Angular 應用程式，修正了罕見的登入錄製失敗問題，並在重播失敗後的第二次嘗試中，新增動作之間的延遲，以提升整體成功率。
• 遮罩改善：在 AppScan 全面強化遮罩功能，以更一致地保護機密資訊。
• 已進一步支援使用 AngularJS 架構的單頁應用程式 (SPA) 掃描。
• 全新與更新的安全規則。

• 支援生成式 AI 監視：openai

• 現在提供一個新選項，可直接從 AppScan 360° 以自包含 tarball 形式下載 Node 代理程式，適用於無法存取公開 npm 登錄的實體隔離或受限環境。
  客戶現在可使用下列其中一種選項來建立 Node 代理程式：

  • Node.js（從 npm 取得代理程式）從公開的 npm 登錄擷取代理程式，而金鑰則從 AppScan 360° 取得。這是既有的方法，現已重新命名。
  • Node.js（下載代理程式）從 AppScan 360° 下載 Node 代理程式作為自包含的 tarball，使其可在無法存取 npm 的情況下進行安裝。

• 支援生成式 AI 監視：openai-java

• 支援生成式 AI 監視：OpenAI
• 支援透過 Proxy 與 AppScan 360° 進行通訊。
• 支援用於微服務的 IAST 分析工具。
• 現在可透過 secagent.log 環境變數配置 IAST 的日誌檔名稱和路徑。

• 效能改善和錯誤修正。

• 導入使用 Helm 圖表的替代安裝方法。
• 改善名稱空間過濾處理。
• 可透過新增 skip-iast-webhook="true" 標籤，在 IAST 安裝中略過個別 Pod。
• 新增 IAST 儲存器的 CPU 和記憶體配置限制。
• 當 IAST Webhook 伺服器不可用時，Pod 便不再受到影響。
• 自動變化同步：Webhook 伺服器現在會使用更新後的名稱空間配置，在推出和 Helm 升級期間，自動同步 MutatingWebhookConfiguration。

• 相關性已更新，可識別 IAST 發現項目與來自原始碼掃描的 SAST 發現項目之間的相關性。

• 新的安裝程序讓服務偵測功能更聰明。
• AppScan Go! 現在可在登入時自動偵測並填入正確的服務 URL。
• 指定用於掃描的軟體組成分析 (SCA) 檔案不再顯示絕對路徑。
• 使用者介面改善。

• AppScan 全新的 SCA 引擎現已納入整合式惡意軟體偵測功能。此增強功能會自動掃描開放原始碼與第三方元件中的已知惡意或遭入侵套件，進而協助團隊在開發初期識別並降低潛在的供應鏈風險。
• 在產生開放原始碼授權報告時，現在會顯示惡意程式庫。

如需相關資訊，請參閱 安裝檔案位置。

Entra ID (Azure AD) 支援 SSO： HCL AppScan 360° 現已全面支援 Microsoft Entra ID，可實現無縫的單一登入 (SSO) 整合，在提升安全性的同時也提供更順暢的鑑別體驗。

單一 VM 安裝程式：新的快速與自訂模式可簡化部署流程。

分散式安裝：新增的先決條件驗證可確保您的環境在進行完整部署前已準備就緒。

• 統一名稱空間支援：可將所有元件部署至單一使用者定義的名稱空間（透過 -n），進而簡化以角色為基礎的存取控制、監視及清理作業。
• 透過標籤進行版本綁定：可安裝特定標籤版本，以實現可控且可重現的部署，同時也更容易進行回復。
• 手動封存路徑：提供不需使用 Git 的安裝選項，適用於受限/實體隔離環境。

單一登入 (SSO)： HCL AppScan 360° 現在支援以 OIDC 為基礎的鑑別，並已透過 Okta 與 Keycloak 進行驗證。

Domino LDAP: 新增對 Domino LDAP 伺服器的支援，可提供更多企業鑑別選項。

• 已更新的相符性報告：
  • [美國] DISA 的應用程式安全與開發 STIG。V6R3
  • 2024 年 CWE 前 25 大最危險的軟體弱點

• 選取直欄：依類別選取直欄，以提高可用性。
• 從網格複製：以滑鼠右鍵點按任何表格資料格，即可輕鬆複製其內容。

AppScan 360° 現在可將掃描結果直接傳送至 Centraleyezer，實現跨工具的安全發現項目統一管理。

AppScan 360° 外掛程式現在支援 SCA 掃描。

My HCLSoftware (MHS) 入口網站已取代 FlexNet Operations (FNO) 入口網站的授權管理功能。自 2025 年 6 月 30 日起，不再支援 FNO。

• AppScan 360° 1.6.0 版及更早版本將於 2025 年 6 月 30 日後停止服務。
• 非 FIPS 的 AppScan 360° 1.6.1 版 僅可從 My HCLSoftware (MHS) 入口網站下載。
• 啟用 FIPS 的 AppScan 360° 1.6.1 版可於 Four, Inc. 取得。

• HCL AppScan 360° 可使用離線單一 VM 安裝套件來安裝。僅有安裝模式經過變更；安裝程式套件的內容仍與 1.5.0 版相同。

• 使用單一 Helm 指令進行簡單安裝。
• 使用 HCL Harbor 儲存器登錄的 Docker 映像檔進行輕量型安裝。
• 已針對啟用 Kubernetes 的基礎架構最佳化。

• 靜態分析用戶端已更新至 8.0.1604 版。
• 支援 HTML。
• 額外支援 Python Django 掃描。
• 更新機密掃描。
• 已新增新 CLI 指令來擷取日誌。
• 更新以掃描規則。
• AppScan Go! 已更新至 2.2.0 版。
  • 掃描名稱允許特殊字元。
  • 字首 static_ 不再自動包含在掃描名稱中。
  • 依預設，每次掃描都會啟用機密掃描。
  • 使用者介面改善。
  • 一般錯誤修正。

您可以選擇將 AppScan 360° 安裝在 分散式 Kubernetes 環境（標準安裝）或單一虛擬機器中。單一 VM 安裝可針對不需要高並行性的小型環境獨立部署 AppScan 360°，包括配置 Kubernetes，或作為規劃後續分散式安裝的一部分。

• 新的或更新的合規性與業界標準報告和原則：
  • 網路與資訊安全指引 (NIS2)
  • OWASP 雲端原生應用程式安全前 10
  • 2023 年 OWASP 前 10 大 API 安全性
  • 2023 年 CWE 前 25 大最危險的軟體弱點
  • [美國] DISA 的應用程式安全與開發 STIG，版本 5 發行版本 3
  • 付款卡產業資料安全標準 (PCI DSS) 版本 4
• 自動註解傳播：自動將最新註解與其他應用程式中相同問題的問題狀態一起傳播到目前應用程式。這可確保狀態和註解均持續更新，進而在所有應用程式中提供完整且同步的問題記錄。
• 問題「詳細資料」標籤中的儲存庫連結：問題詳細資料標籤中的「位置」欄位包含指定檔案的連結，以及原始碼儲存庫中的行（如適用）。如此即可直接存取相關程式碼，而無需切換標籤。

• 靜態分析用戶端已更新至 8.0.1577 版。
• AppScan Go! 升級至 2.1.1 版。
  • 已新增在 AppScan Go! 中透過 URL 掃描 SCM 儲存庫的功能。
  • AppScan Go! 現可自動建議掃描模式，可以是位元組碼/編譯或原始碼。
• SAST 掃描現可配置和排程，直接從公開的 GitHub 儲存庫擷取原始碼。請參閱掃描 GitHub 儲存庫。
• 使用者可在分類 SAST 發現項目時，直接在 GitHub.com 上檢視相關的原始碼。
• 發現項目現可依檔案名稱或路徑進行過濾，將重點放在代碼庫的特定區域，以更有效率的方式進行分類。
• CLI 指令 queue_analysis 會顯示靜態分析 (SAST) 的掃描 ID。
• 已針對 .NET 追蹤發現項目啟用 IFA 2.0。
• 改善機密掃描器與 Java 原始碼掃描器。
• 機密掃描器會掃描 PowerShell (.ps1) 檔案。
• 規則更新。
• 支援 Makefile/GNUMakefile、eSQL 與 Java 21。

  此外，Static Analyzer 指令行公用程式 (SAClientUtil) 套件中也包含 Java 21。

• DAST 掃描的即時日誌：在作用中掃描期間檢視即時日誌更新。
• 延伸支援模式：針對 DAST 掃描啟用延伸支援模式 (ESM)，以產生用於支援目的的詳細日誌。
• DAST 引擎已更新至 10.7.0.40885 版

• JetBrains IDE 外掛程式
• Jira、Azure DevOps 與 RTC DTS 整合
• ServiceNow 漏洞管理整合
• AppScan-SDK 自行建置整合

如需其他資訊，請參閱整合。

我們領先市場的 DAST 技術可讓組織在部署至網路之前，先掃描執行中的應用程式和 API 是否有漏洞。漸進式掃描與測試最佳化可讓公司根據開發生命週期的需求，平衡掃描的速度與深度。

• 日期過濾器已新增至「修正群組」頁面。根據日期範圍和/或與元件問題相關的時間相關內容來檢視修正群組。
• 「問題詳細資料」窗格中已新增共用選項。複製連結或問題 ID，透過簡訊或電子郵件快速有效地分享問題詳細資料。

• 設定頁面經過重新設計並具有改善的組織，且現在頁面設定變更時需要確認。

• 天藍色：DAST、SAST
• Jenkins：DAST、SAST
• Visual Studio 2022：SAST

使用者體驗 (UX) 改進：

• 資產群組：新的刪除資產群組流程簡化了資產群組的刪除程序。具有刪除資產群組許可權的使用者（如系統管理員和管理者等預設角色，以及自訂角色）可以刪除資產群組與其相關應用程式，包括掃描和發現項目，以協助移除不必要的應用程式。使用者也可以選擇將應用程式移至其他資產群組，無論是否有成員。
• 修正程式群組：在針對修正群組新增的安全報告中加入註解欄位，如此更能納入並追蹤附註和註解。

• 在改善 Java 智慧型發現項目分析 (IFA) 的主要增強功能中，我們的 AI/ML 自動分類技術包含更精確的發現項目以及減少誤判機率。由於改善了分析和優先順序，使用者可能會注意到先前掃描的程式碼中有其他發現項目。
• Git 儲存庫自動探索。新問題的檔案路徑與儲存庫根目錄有關。
• 擴大 RPG 語言的涵蓋範圍。
• AppScan Go! 已更新至 2.0.0 版

  AppScan Go! 透過重新整理並改良的使用者介面和改良的工作流程，逐步引導您配置和執行靜態或機密掃描。您可以執行完整掃描、準備 IRX 檔案以稍後掃描，或配置檔案以使用 AppScan 外掛程式進行自動掃描。您也可以在工具內檢視帳戶資訊。

• 支援 .NET 8 的靜態分析。
• 提高 Java、JavaScript 和 Python 語言的準確度。

• 部署在任何 Kubernetes 環境中。
• 接受 '--server' 選項 AppScan 中央平台 伺服器的主機名稱 (FQDN) 部分。
• 必須在部署期間提供儲存類別名稱 (--storage-class)。
• 選項 '--ingress-host' 的預設 AppScan 360° 靜態分析 輸入主機名稱會從 'sast.appscan.com' 變更為 'sast.example.com'。