Mises à jour précédentes 2025

• Mise à jour du client d'analyse statique vers la version 8.0.1677.
• Prise en charge pour .NET 10.
• Prise en charge pour la structure Flutter dans le cadre de la prise en charge de Dart.
• Présentation technique : Processus de configuration simplifié pour l'analyse des flux de données .NET
• Mises à jour des règles.
• ICA 2.0 : Amélioration de la précision basée sur l'IA pour les flux de données Java et .NET.
  Remarque : Cette mise à jour utilise l'IA pour mieux catégoriser les API inconnues. Des modifications des résultats d'examen sont attendues pour les projets Java et .NET, car le moteur réduit les faux positifs et améliore la classification des vulnérabilités.

• Intégration d'Azure App Service : Introduction du déploiement de l'agent en tant qu'extension Azure .NET, offrant un processus d'installation simple entièrement intégré avec les Azure App Services pour .NET Core sur Windows, éliminant le besoin d'une installation basée sur NuGet.
• Nouvel agent IAST .NET (1.15.3)
  • Permet l'utilisation de l'analyseur IAST Kubernetes avec les services .NET dans les environnements Kubernetes.
  • Correctifs de bogues.
• Nouvel agent IAST .PHP (1.2.2) :
  • Corrections diverses.

• DAST pour les applications augmentées par LLM : Testez et protégez dynamiquement votre entreprise contre les risques liés au grand modèle linguistique (LLM) avec AppScan DAST, spécialement conçu pour identifier les vulnérabilités critiques telles que la divulgation d'informations sensibles, l'injection d'invite et bien plus encore avant que les pirates ne les exploitent. Pour plus d'informations, voir le blog.
• Gestion des modèles : Option permettant de télécharger le modèle et de remplacer un fichier modèle existant par une configuration mise à jour.

• IAST pour Kubernetes (1.0.10) :
  • Introduction d'une autre méthode d'installation à l'aide des graphiques Helm.
  • Amélioration du traitement du filtrage de l'espace de noms.
  • Possibilité d'ignorer des pods individuels de l'installation IAST en ajoutant le libellé skip-iast-webhook="true".
  • Des limites ont été ajoutées à l'allocation de mémoire et d'UC du conteneur IAST.
  • Les pods ne sont plus affectés lorsque le serveur webhook IAST n'est pas disponible.
  • Image de base mise à jour.
• Corrélations :
  • Prise en charge de la corrélation entre les résultats IAST et les résultats de scanner personnalisé SAST.

• Page d'accueil : La nouvelle page d'accueil d'ASoC vous donne un aperçu rapide de vos applications et examens récents et facilite l'accès à votre travail récent.

• Améliorations de la connexion automatique : AppScan analyse désormais les applications Angular de manière plus fiable, corrige les rares échecs d'enregistrement de connexion et ajoute un délai entre les actions lors de la deuxième tentative après un échec de lecture, améliorant ainsi le taux de réussite global.
• Améliorations du masquage : Masquage amélioré sur AppScan pour une protection plus cohérente des informations sensibles.
• Amélioration de la prise en charge des analyses SPA (Single Page Applications) qui utilisent la structure AngularJS.
• Nouvelles règles de sécurité et règles de sécurité mises à jour.

• Le nouveau moteur SCA d'AppScan inclut désormais des fonctionnalités intégrées de détection des programmes malveillants. Cette amélioration examine automatiquement les composants Open Source et tiers à la recherche de packages malveillants ou compromis connus, ce qui aide les équipes à identifier et à atténuer les risques potentiels de la chaîne d'approvisionnement dès le début du processus de développement.

• Gestion des modèles : Gérez les modèles DAST dans ASoC pour contrôler et accélérer les configurations DAST. Les modèles peuvent être personnalisés et affectés à des groupes d'actifs selon les besoins.
• Créer un examen à partir d'un modèle téléchargé : Après avoir téléchargé un modèle sur ASoC, vous pouvez vérifier et modifier sa configuration avant d'exécuter l'examen.

• Nouveaux rapports de conformité :
  • Top 10 OWASP pour les applications LLM 2025
  • [Canada] Gestion des risques de sécurité informatique : Une approche du cycle de vie (ITSG-33)
• Rapports de conformité mis à jour :
  • Norme internationale - ISO 27001:2022
  • Norme internationale - ISO 27002:2022
  • The Payment Card Industry Data Security Standard (PCI DSS) – V4.0.1
  • Publication spéciale NIST 800-53 - 5.2.0
  • [UE] Règlement général sur la protection des données (RGPD)
  • [US] Health Insurance Portability and Accountability Act (HIPAA)

• Les champs d'application personnalisés sont désormais disponibles dans un fichier CSV exporté contenant les détails de l'application et sont affichés dans les rapports de sécurité générés.

• De nouveaux plug-ins et intégrations sont désormais disponibles et sont accessibles depuis la page d'intégration :
  • Slack : Recevez des alertes de sécurité AppScan on Cloud et des notifications d'examen dans vos canaux Slack.
  • Splunk : Connectez AppScan on Cloud à Splunk pour bénéficier d'une visibilité centralisée sur les données d'examen via des analyses et des tableaux de bord.
  • Cursor AI : Intégrez à AppScan CodeSweep pour identifier et corriger les vulnérabilités pendant le codage assisté par l'IA.

• Mise à jour du client d'analyse statique vers la version 8.0.1663.
• Lors de la génération d'un rapport, les utilisateurs peuvent désormais spécifier s'ils doivent inclure les sections « Table des matières » et « Résumé » dans le rapport.
• L'analyse statique peut désormais traiter les fichiers .mjs dans le cadre de la prise en charge de JavaScript.
• Mises à jour des règles.

• SAST : Vous pouvez maintenant effectuer une recherche dans la liste déroulante Référentiel GitHub et branche.
• Chargement des pages plus rapide.
• Précision de la navigation du fil d'Ariane améliorée.
• Couleurs et graphiques mis à jour pour prendre en charge l'accessibilité.

• Nouvel agent IAST Java (1.21.1)
  • Mise à jour des dépendances pour une meilleure compatibilité et sécurité.
• Nouvel agent IAST .NET (1.15.2)
  • Actualisation des dépendances, amélioration de la précision des résultats.
• Nouvel agent IAST .PHP (1.2.1) :
  • Optimisation des performances et correctifs de bogues.

• Mise à jour du client d'analyse statique vers la version 8.0.1655.
• Mises à jour des règles.

• Reprendre l'examen : Dans certains cas, vous pouvez maintenant reprendre des examens ayant échoué ou partiellement terminés. Cette fonction améliore le processus d'examen en vous permettant de reprendre là où l'examen s'est arrêté une fois les limitations précédentes résolues, permettant ainsi d'économiser du temps et des ressources.

• L'onglet Piste d'audit pour les bibliothèques Open Source fournit des informations claires sur toutes les actions et modifications liées à chaque bibliothèque, ce qui permet aux équipes de suivre l'historique, de maintenir la conformité et d'améliorer la responsabilité.
• Le système EPSS (Exploit Prediction Scoring System) est disponible dans le nouveau moteur SCA pour de nouveaux examens, ce qui permet une hiérarchisation plus intelligente des vulnérabilités en fonction de la probabilité d'exploitation réelle. Le score EPSS et le percentile sont répertoriés dans le volet Détails pour les problèmes SCA. Pour plus d'informations, voir EPSS.

• L'interface Groupe de correctifs a été repensée pour une meilleure convivialité. La nouvelle interface facilite la compréhension des problèmes groupés, la navigation dans les résolutions et la gestion efficace des correctifs.

• Mise à jour du client d'analyse statique vers la version 8.0.1653.
• Corrige le problème suivant : les informations Git peuvent être collectées de manière incorrecte si un référentiel Azure DevOps est à l'état « Detached Head ».
• Mises à jour des règles.

• Nouvel agent IAST Java (1.20.2)
  • Meilleure prise en charge pour les clients utilisant org.springframework.core.io.UrlResource.
• Nouvel agent IAST .NET (1.14.3)
  • Prise en charge de l'analyseur IAST pour les microservices.
  • Le nom et le chemin du fichier journal pour IAST peuvent désormais être configurés via la variable d'environnement secagent.log.
  • Meilleure prise en charge pour les clients utilisant System.Net.WebClient.
• Nouvel agent IAST .PHP (1.1.4) :
  • Améliorations des performances et correctifs de bogues pour les utilisateurs de la structure Magento.
• IAST pour Kubernetes (1.0.8)
  • Mises à jour de sécurité

• Mise à jour du client d'analyse statique vers la version 8.0.1651.
• Base de la prise en charge à venir du gestionnaire de packages Yarn par l'analyse de la composition logicielle (SCA). Une prise en charge complète sera annoncée.

• Mise à jour du client d'analyse statique vers la version 8.0.1650.
• Résolution du problème suivant : les échecs Maven/Gradle provoquaient l'échec de « Chemin 2 » dans l'AppScan Go!.
• Clarification des messages Failed in IAssemblyInfo call affichés dans la sortie de la console.
• Résolution du problème suivant : le chemin relatif Git échouait pour les fichiers situés à la racine du référentiel sur Linux.

• AppScan Go! mis à jour vers la version 2.3.0.
• La nouvelle procédure d'installation permet une détection de service plus intelligente.
• AppScan Go! détecte et renseigne désormais automatiquement l'URL de service correcte lors de la connexion.
• Les utilisateurs peuvent désormais autoriser l'intervention de notre équipe d'activation d'examens dans AppScan Go!.
• Les fichiers SCA spécifiés pour le balayage n'affichent plus de chemins absolus.
• Améliorations de l'interface utilisateur.

Au cours des prochaines semaines, l'équipe AppScan migrera les comptes pour utiliser le nouveau moteur SCA amélioré.

• Moteur d'analyse de la composition logicielle (SCA) mis à jour vers la version 3.
• Des résultats de balayage plus propres et plus fiables.

  Le nouveau moteur accroît nos capacités de détection déjà puissantes, et ce, en améliorant davantage la précision grâce à une réduction du bruit et à une meilleure précision des résultats.

• Base de données de vulnérabilités étendue.

  Identification plus rapide et précise des risques connus.

• La vue du graphique de dépendance est désormais disponible.

  Lorsque les données de dépendance sont disponibles dans un examen, une vue graphique visuelle est affichée, ce qui facilite la compréhension des relations et de l'impact des packages.

• Prise en charge étendue du balayage des fichiers de configuration.

  Fichiers de configuration C/C++, PHP et Java. Client d'analyse statique version 8.0.1646 requis.

• Mise à jour du client d'analyse statique vers la version 8.0.1646.
• Corrige un problème dans le cache de traitement parallèle Java pour les fichiers .irx générés localement.

• Mise à jour du client d'analyse statique vers la version 8.0.1645.
• Mises à jour des règles.
• Amélioration des performances IRGen lors de la découverte Git.
• Le balayage des secrets est désormais correctement activé à l'aide du paramètre Organisation.

• AppScan for Dev - vérificateur de l'absence de problèmes DAST : Ajout de l'option permettant de télécharger un script Python et de l'exécuter dans l'IDE.
• Télécharger le fichier d'examen pour les examens ayant échoué : vous pouvez désormais télécharger le fichier d'examen même si l'examen échoue pour un dépannage plus poussé dans AppScan Standard. Le fichier ne peut être téléchargé que si l'examen a commencé à s'exécuter.

• Ajout du statut « Supprimé » à la vue de la bibliothèque : Par défaut, la vue de la bibliothèque n'affiche pas d'informations sur les bibliothèques qui ont été supprimées de l'application. Vous pouvez désormais appliquer un filtre pour afficher les bibliothèques qui ont été supprimées et ces bibliothèques sont clairement indiquées avec l'état « Supprimé ».

• Mises à jour de personnalisation des rapports
  • Définissez un titre personnalisé pour vos rapports à l'aide de la mise en page du rapport.
  • Le type de rapport s'affiche dans les rapports générés.

• Nouvelle conception de la page d'abonnement : la page d'abonnement a été repensée pour améliorer l'expérience utilisateur.
• Tableaux :
  • Sélection des colonnes : la sélection des colonnes est organisée par catégorie pour améliorer la convivialité.
  • Copier à partir de la grille : cliquez avec le bouton droit de la souris sur n'importe quelle cellule du tableau pour copier facilement son contenu.

• Mises à jour vers le balayage C/C++.

• Les détails de l'analyse SCA incluent le statut de la bibliothèque : l'analyse SCA indique désormais si une bibliothèque est toujours présente dans le dernier examen, ce qui permet de suivre la progression de la résolution.

• Examens JavaScript : nouveau balayage hybride pour une meilleure précision lors du balayage du code source JavaScript, y compris l'analyse de flux corrompus.
• ICA 2.0 pour Java : les principales améliorations apportées à l'analyse de code intelligente (ICA) pour Java, notre descripteur de sécurité automatique IA/ML, incluent des constatations plus précises et une réduction du nombre de faux positifs.

• Analyseur IAST pour microservices (Node.js)
  • Vue graphique du service complet : fournit une visualisation complète de la façon dont vos microservices interagissent, offrant ainsi une meilleure visibilité sur leurs relations.
  • Réduction du nombre de faux positifs : améliore la précision de la détection des vulnérabilités en exploitant le graphique des services, ce qui permet de réduire le nombre d'alertes non pertinentes et de mieux concentrer les efforts de sécurité.

• Rapports sur la conformité mis à jour :
  • [US] DISA's Application Security and Development STIG V6R3
  • Rapport CWE : Les 25 vulnérabilités logicielles les plus dangereuses en 2024

• Mise à jour du client d'analyse statique vers la version 8.0.1640.
• Mises à jour des règles.

• AppScan for Dev - vérificateur de l'absence de problèmes DAST : Cette approche permet aux développeurs de simuler les vulnérabilités DAST qu'AppScan signale directement dans l'IDE ou le navigateur. Les développeurs peuvent exécuter un script généré par AppScan pour répliquer le problème, le déboguer et valider le correctif, le tout sans avoir besoin d'un nouvel examen et avant d'archiver le code.

• Plusieurs domaines d'un fichier de trafic : lors du chargement d'un fichier de trafic avec plusieurs domaines, ASoC ajoute automatiquement ces domaines à la liste « Domaines à tester » et marque ceux qui sont vérifiés pour les inclure dans l'examen.

• IAST pour microservices offre désormais une prise en charge améliorée des environnements Node.js Kubernetes, fournissant ainsi une solution non intrusive pour le déploiement automatique de l'agent IAST dans les pods Kubernetes. AppScan automatise l'intégration des agents à l'aide d'un script de déploiement. Cette nouvelle fonctionnalité facilite la gestion de nombreux conteneurs et permet aux environnements de test et de production d'utiliser l'image d'application d'origine sans modification. Cela permet d'obtenir une vue graphique complète de votre microservice, mais aussi d'identifier et de résoudre les problèmes de sécurité dès le début du cycle de développement.

• Un nouveau plug-in Centraleyezer vous permet d'importer et de gérer en toute transparence les données de vulnérabilité HCL AppScan on Cloud, y compris les examens DAST et SAST, au sein de la plateforme Centraleyezer Vulnerability Management, ce qui vous permet d'identifier, de hiérarchiser, de suivre et de résoudre les vulnérabilités de sécurité.
• Intégration avec CMD+CTRL Security pour une formation pratique et immersive sur le code sécurisé.

• Correctifs des bogues du moteur

• Correction d'un bug affectant les clients utilisant .NET Framework.

• Ajout de la prise en charge des clients utilisant Red Hat 8 avec PHP 8.2.
• Problèmes d'installation sur Windows résolus.
• Performances améliorées et optimisations diverses.
• Correctifs d'erreurs d'ordre général.

• Le rapport de sécurité répertorie l'URL du référentiel associé pour les problèmes.

• Le plug-in ThreadFix a été supprimé.

• L'onglet Stratégies de test est désormais ajouté sous Organisation. Ici, vous pouvez gérer vos stratégies de test et télécharger une stratégie personnalisée que vous avez créée dans AppScan Standard ou AppScan Enterprise.
• L'onglet stratégies sous Organisation est désormais renommé Stratégies de conformité.

• Mise à jour des dépendances
• Corriger les privilèges de conteneur
• Corriger l'installation de Windows
• Le script d'installation peut obtenir le nom du registre en tant que paramètre, pour les clients utilisant un registre privé.

• La configuration d'Azure OpenAI améliore la précision en réduisant les faux positifs afin d'améliorer les résultats de test.

• Les rapports de nomenclature logicielle (SBOM), qui sont disponibles dans l'interface utilisateur de notre plateforme, sont désormais accessibles via l'API Swagger.

• Personnalisation de rapports : Personnalisez vos rapports avec votre identité de marque, en ajoutant facilement le logo de votre entreprise et en créant des en-têtes et des pieds de page personnalisés.
• Stratégies personnalisées : Les problèmes peuvent désormais être filtrés en fonction de la technologie, ainsi que d'autres options de filtrage déjà disponibles.

• Amélioration des performances.
• Réduction de la fréquence des communications de pulsation à AppScan on Cloud lorsque l'agent est désactivé.
• Algorithme amélioré pour la fusion de problèmes similaires.