以前の更新 2019-2020
これまでの更新 (2019 ~ 2020 年) で AppScan on Cloud サービスに追加された機能をリストします。
2020 年 12 月 16 日の新機能
- 静的分析クライアントがバージョン 8.0.1419 に更新されました。
- Infrastructure as Code (IaC) スキャンの新しいサポート。
- Java 11 のサポート。
- スキャン時の Java 名前空間の組み込みと除外のサポート。
2020 年 12 月 7 日の新機能
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.3 に更新されました。AppScan Standard の修正のリストを参照してください
- 「プラグインと API」ページ: HackEDU が追加されました
2020 年 11 月 30 日の新機能
- CSV ファイルの変更: 問題を ASoC にインポートするときに CSV ファイルで使用される列ヘッダーが、以下のように ASoC の UI に一致するように変更されました。
- 名前変更:
- 「状況」 > 「問題状況」
- 「重大度値」 > 「重大度」
- 「ソース・ファイル」 > 「ファイル名」
- 追加: 「外部 ID」と「CVSS」
- 削除済み: プロトコル
注: CWE およびスキャン・テクノロジーの値は現在サポートされていません。 - 名前変更:
2020 年 11 月 9 日の新機能
- モバイル・スキャンは、iOS バージョン 14.1 までをサポートするようになりました。
2020 年 11 月 3 日の新機能
- Vue.js の新しい言語サポート。
- Java 分析エンジンがアップグレードされ、より高速かつ正確にスキャンできるようになりました。アップグレードされた Java エンジンは、スキャンの深さと正確さを維持しながら、ほぼ増分をスキャンします。このエンジンは以前とほとんど同じ検出結果を提供しますが、結果の一部が変わることが予期されます。新しいスキャン手法について詳しくは、「Java アプリケーションの並列処理」を参照してください。
2020 年 11 月 2 日の新機能
- SAST および DAST デモ・スキャン用にダウンロード可能なログが追加されました。
- ランディング・ページ内のグラフが更新され、 API が含まれるようになりました。
- 修正された APAR: サブスクリプションの期限が切れたユーザーが、猶予期間中にスキャン・レポートを生成できない。
2020 年 10 月 19 日の新機能
- レポート: DAST スキャン・レポートに以前のようにテスト・ポリシーが追加されました。
- API: ポリシーに次の 2 つの新しい値が追加されました。作成者、関連アプリケーションの数。
2020 年 10 月 11 日の新機能
- 翻訳版のドキュメントが更新されました。
2020 年 10 月 7 日の新機能
2020 年 10 月 6 日の新機能
- UI: タイトル・バーに新しい「プラグインと API」ページへのリンクが追加されました
- API: 管理者は組織の詳細を更新できるようになりました (put /api/V2/Account/TenantInfo)
- レポート: PDF レポートの作成に失敗した場合、HTML レポートが届くようになりました
- APAR 修正:
- 「NIST Special Publication 800-53」アプリ・レポートを作成すると、「Sarbanes-Oxley Act (SOX)」レポートが作成される
- アプリケーション・ポリシーに含まれているが、非準拠として表示されないオープン・ソースのセキュリティー問題
2020 年 9 月 21 日に更新
- 以前に告知したとおり、30 日以上経過した個人スキャンはすべて削除されました。今後、現在の動作が続行されます。すべての個人スキャンは、30 日を経過した時点で、それまでにプロモートされない限り、削除されます。詳細については、「個人スキャン」を参照してください。
2020 年 9 月 15 日の新機能
- 全般的なバグ修正および改善。
2020 年 9 月 14 日の新機能
- IAST 監視は .NET Framework をサポートするようになりました。
- SAST: ログのダウンロード機能が追加されました (「アクション」>「ログ・ファイル」)。
- CSV レポート: 日付が ISO 8601 形式で表示されるようになりました。
- バグの修正:
- アプリケーション・データは、UI で「メタデータ」>「範囲」チェック・ボックスが選択されているか、REST API で「範囲」フラグが使用されている場合にのみ、レポートに含められるようになりました (予定どおり)。
- PRB0067750: スキャン・ジョブがスキャン・エージェントのために転送されると最適化レベルが変更される問題が修正されました。
2020 年 9 月 9 日の新機能
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.2 に更新されました。AppScan Standard の修正のリストを参照してください。
2020 年 9 月 6 日の新機能
- IP 範囲: システム要件で、モバイル・スキャン向けに ASoC で使用される IP 範囲のリストが更新されました (これによる実際上の変更点はありません)。次の範囲: 192.8.127.21/26 を、より標準的な表記: 192.8.127.0/26 に変更しましたが、この 2 つの範囲は実際には同一です。
2020 年 8 月 24 日の新機能
- サンプルの DAST スキャン結果およびレポートを更新
- 全般的なバグ修正および改善
2020 年 8 月 5 日の新機能
- AngularJS 8 および 9 のサポート。
- Ionic Framework のサポート。
- TypeScript の新しい言語サポート。
- 全般的なバグ修正および改善。
2020 年 8 月 4 日の新機能
- 携帯電話: Android 10 がサポートされるようになりました。
- DAST: スキャン・ログを UI からダウンロードできるようになりました。
- SAST: 重複を減らすため、SAST 検出の固有性 (ハッシュ) 計算を更新しました。既存の検出は、新しいハッシュ・バージョンに自動的に移行されます。
- API:
- ステータスごとの問題数を返す API 関数を実装しました。
- ドメイン API を追加しました。
- Swagger 関数にエラー応答コードが含まれるようになりました。
- レポート: DAST スキャン・レポートの「アプリケーション・データ」セクションに、パラメーター、コメント、Java スクリプト、Cookie、およびフィルタリングされた URL が追加されました。
2020 年 7 月 19 日の新機能
- エクスポートされた CSV ファイルに Inviter の名前列が含まれるようになりました。
- 修正グループ ID が CSV レポートに含まれるようになりました (他の形式では既に含まれています)。
- API: 新しい「InformationalIssues」フィールド (含まれるアクティブな「情報」レベルの問題の数を示す) がアプリケーションに追加されました。注: この新しいフィールドはすべてのアプリケーションに含まれるため、UI の「最終更新日時」フィールドはこの変更の時間に変更されました。
2020 年 7 月 12 日の新機能
- ユーザー・インターフェース:
- 「レビュー中」のスキャンを削除できるようになりました。
- ユーザーがログインしている場合、「UI の設定」ページから Swagger を自動で開くことができるようになりました。
- API: DAST スキャン・ログのダウンロードが可能になりました。
- 文書: オンライン・ヘルプのメニュー・バーに「言語の変更」ドロップダウン・リストが追加され、任意のページで言語を簡単に切り替えられるようになりました。
2020 年 6 月 28 日の新機能
- IAST:
- IAST テクノロジー「IAST スキャン」の名称を「IAST 監視セッション」または「IAST セッション」へと変更しました
- IAST セッションを開始するウィザードを簡素化しました
- エージェントのダウンロードにエージェント・キーが必ず含まれるようになりました
- レポート: DISA レポートが R4V10 に更新されました
- API:
- エラー通知が改善されました
- FlexNet LicenseKey の末尾数文字が GetTenantInfo で表示されるようになりました
2020 年 6 月 24 日の新機能
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.1 に更新されました。AppScan Standard の修正のリストを参照してください。
- Groovy の言語サポートが新しく追加されました。
- Symfony の言語サポートが新しく追加されました。
- 全般的なバグ修正および改善。
2020 年 6 月 22 日の新機能
- iOS: StackTrace の安全でない接続がスキャン・レポートに追加されました。
2020 年 6 月 10 日の新機能
- IAST: セキュリティー・ルールの追加 (サーバーおよび x-powered-by ヘッダーの検出、パスワードの漏えい)、バグの修正、パフォーマンスの強化。
2020 年 6 月 7 日の新機能
- レポート: お客様による CSV 形式のアプリケーション・レポート、およびフィルタリング済み問題レポートの作成が可能になりました。
2020 年 5 月 25 日の新機能
- 期間にスキャンの実行時間 (キューや保留中の時間を除く) が表示されるように、実行日時がスキャンの詳細に追加されました。
- 「修正グループ」タブのクイック・フィルターが「アクティブ状況」から「非準拠」に変更されました。
- 「IAST スキャンの作成」ダイアログに、IAST 文書へのリンクが追加されました。
- 重大度別の問題数を取得するための新規 API が追加されました。
- Webhook が API に追加され、AppScan On Cloud で発生したイベントに関する通知を受け取れるようになりました。スキャン実行の完了と、アプリケーション・カウンターまたは状況の変更という 2 つのイベント・タイプがサポートされています。詳細については、「Webhooks」を参照してください。
- SAST スキャンで重複する問題をフィルタリングするよう改善されました。SAST の問題を一意に識別するために使用されるハッシュ・アルゴリズムが改善され、問題の重複が軽減されました。新しい問題は、新たに内部ハッシュに保存されるようになります。ただし、既存の問題のハッシュ値が変更されることはありません。
- レポート: 修正グループ ID がレポートの「修正グループ」セクションに追加されました。
2020 年 5 月 21 日の新機能
2020 年 5 月 10 日の新機能
- スキャンの名前変更: UI でスキャンの名前を変更できるようになりました。過去に検出された問題は古いスキャン名の下に記載されたまま残りますが、新規および繰り返しの問題は新しい名前で記載されるようになります。
- レポート:
- SAST のカスタム・アドバイザリー構造が変更されました。
- すべてのレポートのカバー・ページが統一されました。
- DAST XML レポート: DAST XML レポートの「URL グループ」および「エンティティー・グループ」セクションの順番が変わりました。レポートの他のバージョンには影響ありません。
- ダッシュボード: パフォーマンスの改善。
- スキャン履歴: 特にリスト内に多くのスキャンがある場合のロードが改善されました。
- 全般的なバグ修正。
2020 年 4 月 22 日の新機能
- スキャン・レポート:
- SAST の修正グループとコンテンツが UI およびアプリケーション・レポートに表示される名前およびコンテンツと一致するようになりました。
- SAST スキャン・レポートに、アプリケーション・レポートにあるようなカスタム・アドバイザリーが含まれるようになりました。
- アプリケーション・レポートに合わせてカバー・ページが更新され、TOC が追加されました。
- 「ディスカッション」および「履歴」チェック・ボックスが「メタデータ」オプションに追加されました。
- ユーザー・インターフェース: 検索機能が「ユーザーおよびロール」と「資産グループ」に追加されました。
- パフォーマンスの強化とバグの修正。
2020 年 4 月 15 日の新機能
- 全般的なバグ修正および改善。
2020 年 4 月 7 日の新機能
- 文書: 文書のローカライズ・バージョン (フランス語、日本語、中国語 (簡体字)、中国語 (繁体字)) が更新されました。
2020 年 4 月 6 日の新機能
- ユーザー・インターフェースの強化:
- 「すべての問題」タブで列ヘッダーをクリックすることで、「問題」列および「AppScan プレゼンス」列を並べ替えることができるようになりました。
- 動的スキャンの作成時に、URL フィールドにオートコンプリート機能が追加されました。
- 全般的な改善およびバグ修正
2020 年 4 月 3 日の新機能
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.0 に更新されました。AppScan Standard の修正のリストを参照してください。
2020 年 3 月 27 日の新機能
- Kotlin と Swift の新しい言語サポート。
- 誤検出を減らすための .NET 分析の改善。
- PHP サポートの改善。
- 全般的なバグ修正および改善。
2020 年 3 月 25 日の新機能
- IAST スキャン: 最新のスキャン・テクノロジーでは、テスト対象のアプリケーションの Web サーバーに配置されたエージェントを使用して、ランタイム中に送信されるトラフィックを監視し、検出された脆弱性をレポートします。他の ASoC スキャンとは異なり、IAST スキャン自体はトラフィックを生成しませんが、システム・テスト、または DAST スキャン中に送信されるトラフィックをモニターします。したがって、専用のテスト要求を送信することなく、実行時の問題を継続的に確認できます。インタラクティブ監視 (IAST) について を参照してください。
- DAST スキャンのテストの最適化: 「DAST スキャン設定」ウィザードの新しい「テスト最適化」スライダーで、問題のカバー範囲とスキャン速度とのトレードオフの程度を制御できます。「テストの最適化」では、アプリケーション内の重要な問題を検出する可能性が最も高いテストを選択的に送信するため、製品開発時には、完全性を多少失いながら、速度優先スキャンを利用することができます。初期段階のテスト、DevSecOps、プレリリース、コンプライアンスなど、各種のニーズに合わせて 4 つの最適化レベルから選択することができます。最速オプションには、脆弱性範囲が約 70% で非最適化スキャンの最大 10 倍速いテスト・ステージが含まれています。テストの最適化 を参照してください。
- DAST スキャンのテスト・ポリシー: AppScan Standard のデフォルトのテスト・ポリシーが、ウィザードで構成されたすべての DAST スキャンに適用されるようになりました。AppScan Standard でスキャンを設定するか、API を通じて、異なるテスト・ポリシーを適用できます。
- 全般的な改善およびバグ修正。
2020 年 3 月 17 日の新機能
- 自己署名ルート証明書を使用した SSL (HTTPS) のサポート改善
- 全般的な改善およびバグ修正
2020 年 3 月 10 日の新機能
- 全般的なバグ修正および改善。
2020 年 3 月 5 日の新機能
2020 年 2 月 26 日の新機能
- SAST 問題に関する詳細とガイダンスの強化。
- 安定性のバグが修正された新しい DAST エンジン。
- 全般的な改善およびバグ修正。
2020 年 2 月 18 日の新機能
- 全般的な改善およびバグ修正。
2020 年 2 月 10 日の新機能
- ASP クラシックの新しい言語サポート。
- NodeJS スキャンの改善:
- 37 の新規記事
- 29 のルールを詳細化
- これらの改善により、最終的に検索結果の総数が少なくなります。
- ただし、更新により、既存の検索結果が新規の検索結果として表示される可能性があります。
2020 年 2 月 5 日の新機能
- 全般的な改善およびバグ修正
2020 年 2 月 2 日の新機能
- 動的分析エンジンは AppScan Standard バージョン 9.0.3.14 iFix001 に更新されました。修正リスト (ここ) を参照してください。
2020 年 1 月 21 日に更新
- DAST プロキシーで DAST.CONFIG ファイルの暗号化をサポートするようになりました
- ASoC で、暗号化された DAST.CONFIG ファイルのスキャンをサポートするようになりました
- プロキシー・サーバーの CLI コマンドと REST API コマンドの変更。
2020 年 1 月 19 日に更新
- 「アプリケーション」>「すべての問題」タブでは:
- デフォルトのリストに、非準拠の問題のみが表示されるようになりました (新規、未解決、進行中、再オープン済み)
- 新しいフィルター表示
- SAST スキャン: 「すべての問題」リストの問題ごとに修正グループ・リンクが追加され、その問題の「修正グループ」タブを開くことができます
- セキュリティー・レポート:
- 問題がない場合、またはすべての問題が規制を順守している場合でも、レポートを生成できるようになりました
- SAST スキャン: アプリケーション・セキュリティー・レポートに「修正グループごとの問題」セクションが追加されました
- 全般的な改善およびバグ修正
2020 年 1 月 12 日に更新
- モバイル分析は、iOS バージョン 13.3 までをサポートするようになりました。
2020 年 1 月 1 日に更新
- IBMid はサポートされなくなりました。元 IBM ユーザーが ASoC を使用し続けるには、HCL Software ID を作成する必要があります。AppScan on Cloud アカウントの作成 を参照してください。
- 全般的なバグ修正。
- ASoC が使用していた IP 範囲が変更されました。「システム要件およびサポートされるバージョン」を参照してください。
2019 年 12 月 19 日に更新
- Golang 分析が改善されました。
- 全般的なバグ修正。
2019 年 12 月 17 日に更新
- SAST 修正グループの場合、以下が可能になりました。
- 問題ごとに状況を変更
- 修正グループごとに注記を追加
- 特定のポリシー (複数可) への準拠別に問題をフィルタリング
2019 年 12 月 16 日に更新
- AppScan Go! と同様に、コマンド行インターフェースを使用してスキャンする場合はスキャンの速度を指定できます。
- CLI で IRX ファイルを作成する際に、
<configuration>
属性を使用してサード・パーティーやオープン・ソースのスキャンを指定できます。 - 全般的なバグ修正。
2019 年 12 月 5 日に更新
- 動的分析エンジンは AppScan Standard バージョン 9.0.3.14 に更新されました。修正リスト (ここ) を参照してください。
2019 年 11 月 18 日に更新
- 新規 CIAM (Customer Identity Access Management) システム: 本製品を使用するために、ユーザーは HCL Software ID の作成を必要とするようになりました。既存の ASoC ユーザーは、2019 年 12 月 18 日まで引き続き自分の IBMid でログインできますが、ワークフローが中断されないように、できるだけ早く HCL Software ID を作成することが推奨されます。これは、組織ごと、またはユーザーごとに行うことができます。HCL Software ID を作成したら、ログインして、通常どおり ASoC を使用し続けることができます。詳しくは、AppScan on Cloud アカウントの作成を参照してください。
- ASoC REST API に次の新しい関数が追加されました。
GET /api/v2/Issues/{scope}/{scopeId}
この関数は、特定のスコープ (アプリケーション、スキャンまたはスキャン実行) の問題を返します。通常の odata パラメーター (フィルターおよびページング) を受け入れ、問題をフィルターするためにポリシーを適用すべきかどうか、およびどのポリシーを適用するかを決定するパラメーターも使用します。次のすべての関数 (廃止とマークされていない関数) が、この新しい関数によって置換されます。
GET /api/V2/Issues/Count
GET /api/v2/Apps/{id}/NonCompliantCount
GET /api/v2/Apps/{id}/NonCompliantIssues
GET /api/v2/Apps/{id}/Issues
GET /api/v2/Apps/{id}/IssuesAsPage
GET /api/v2/Apps/{id}/IssuesCount
GET /api/v2/Scans/Executions/{executionId}/Issues
GET /api/v2/Scans/{scanId}/Executions/{executionId}/Issues
GET /api/v2/Scans/{scanId}/NonCompliantIssues
GET /api/v2/Scans/{scanId}/NonCompliantCount
GET /api/v2/Scans/{scanId}/Issues
2019 年 11 月 7 日の新機能
-
AppScan on Cloud GUI、AppScan Go! の最新の更新では、「完全」スキャン速度を指定する機能が追加されました。完全スキャンでは、最大数の脆弱性を特定するために、最も包括的な分析を行うことができます。完全スキャンは、完了するのに最も時間のかかるスキャンでもあります。
このスキャン速度を生かすには、AppScan Go! の最新バージョンをダウンロードしてインストールします
注: 完全スキャンは、コマンド行インターフェースからも利用できます。それには、-Dpreset_hint=thorough
をappscan prepare
コマンドに追加します。例えば、appscan prepare -Dpreset_hint=thorough
などと指定します。
2019 年 11 月 5 日に更新
- Go プログラミング言語 (Golang) の新しい言語サポート。
- 全般的なバグ修正。
2019 年 10 月 30 日に更新
- 修正グループが UI に表示されるようになりました。静的分析で検出された問題は修正グループに割り当てられます。修正グループでは、グループ内のすべての問題が共通の修正ポイント、API、またはオープン・ソースを共有します。詳しくは、「修正グループ」を参照してください。注: アプリケーション・ビューに新しい「修正グループ」タブが表示されるのは、静的分析スキャンを実行した場合のみです。このタブには、新規スキャンで見つかった問題のみが入力されます。機能が追加される前に実行されたスキャンは、修正グループに割り当てられません。
- 動的分析エンジンは AppScan Standard バージョン 9.0.3.13.001 に更新されました。修正リスト (ここ) を参照してください。
- サポート要求の作成時に使用するための組織 ID が「サブスクリプション」ページに追加されます。
2019 年 10 月 24 日に更新
- 最適化されたスキャナーで PHP 解析を実行できるようになり、スキャンを活用しやすくなりました。詳細。
- Static Analyzer コマンド行ユーティリティーのバージョン 8.x にアップグレードしてください。
- 全般的なバグ修正。
2019 年 9 月 25 日の新機能
- 静的分析で検出された問題のための新しい「修正グループ」API。問題はそれぞれ「修正グループ」に属し、スキャン・レポートに表示されます。この API を使用して、以下を行うことができます。
- 修正グループ内の問題を、アプリケーション・レベルまたはスキャン・レベルで表示または更新できます。
- 修正グループ内のすべての問題にステータス (新規、未解決、ノイズなど) を設定できます。
StickyStatus=True
: 今後のスキャンで検出された、その修正グループの追加の問題に自動的に適用されます。またはStickyStatus=False
: この修正グループで新たな問題が検出された場合、そのステータスは「新規」のままになり、グループのステータスは「混合」に変わります。
- 動的分析: スキャンを構成し、保存して後から実行できるようになりました。
- 実行している複数のスキャンのステータスを表示する際の、パフォーマンスの問題は修正されました。
- 全般的なバグ修正。
2019 年 9 月 9 日の新機能
- 静的スキャンを構成および実行するための新しいユーザー・インターフェース。
- 全般的なバグ修正。
2019 年 8 月 6 日の新機能
- DAST エンジンの改善:
- JavaScript で作成された新しい Cookies の特定。URL フィルターの改善。範囲の改善
- クロスサイト・スクリプティング分析の改善: DOM ベースのクロスサイト・スクリプティングの検出が向上
- サーバー/アプリケーション障害の検出の向上: サーバー/アプリケーション障害のハードビートで、ルート・パスだけでなくスキャンの完全な開始 URL をテストできるようになり、スキャンの精度が向上しています。
- 全般的なバグ修正。
2019 年 7 月 31 日の新機能
- スキャン・レポートを他のフォーマットに加えて CSV フォーマットでダウンロードできるようになりました。
- DAST スキャンを一時停止および再開できるようになりました。
- ASoC で使用される IP 範囲のリストに、新しい IP 範囲が追加されました。ファイアウォールでブロックされていないことを確認してください (ユーザー・インターフェースの新しい 「システム要件」タブで IP リストを確認してください)。
2019 年 7 月 18 日の新機能
- DAST スキャン: AppScan Activity Recorder (Chrome 拡張機能) を使用して記録されたログイン手順を ASoC にアップロードできるようになりました。
- Androidネットワーク・セキュリティー構成をサポートするようになりました (Android API レベル 24 以降): NSC 構成ファイルを使用して、証明書のピン留めの欠落、およびその他のセキュリティーの脆弱性を明らかにします。
2019 年 7 月 9 日の新機能
- 「新規スキャン」をクリックして、新規ウィザードですべてのスキャン・タイプの設定を簡易化できます。
- スキャンを作成する前に、ドメインの検証を実行できるようになりました ( )。
- DAST スキャン・ファイルを ASoC からダウンロードして、詳細レビュー用に AppScan Standard で開くことができます。
- スキャンを削除する場合は、そのスキャンでのみ検出されたすべての問題をアプリケーションから削除することを選択できます。
2019 年 7 月 1 日の新機能
- 新しいドメインは別の IP108.168.255.173 を使用するため、アクセスできるかどうか確認してください。新しい IP が不明な IP としてブロックされる場合は、ホワイトリストに登録してください。
- お使いのツールやスクリプトで ASoC REST API を使用する場合は、すべての API コールのドメインを、appscan.ibmcloud.com から cloud.appscan.com に変更する必要があります。
- ASoC で使用されるすべてのツールおよび DevOps プラグインの新規バージョンをリリースしました。これらは、新しいドメインを使用するように設定されています。いずれかのツールまたはプラグインを介して ASoC を使用する場合は、この変更が反映されるように最新バージョンに更新してください。
- 新しい「スキャンの作成」ダイアログ・ボックス、および 「スキャンの作成」フローの改善。
- 新しい「プレゼンスの作成」ダイアログ・ボックス、「プレゼンスの作成」フローの改善、および「AppScan プレゼンス」ビューの改善。
- 新しい「ユーザーの追加」ダイアログ・ボックス、および 「ユーザーの追加」フローの改善。
- 新規ユーザーを招待する際に、「ユーザー・ロール」 を設定できます。
- 「アプリケーション」>「スキャン履歴」 ビューおよび「スキャン」 ビューの更新。
- ロールで許可される場合、スキャン自体を削除する際に、スキャンで検出されたすべての問題を削除するオプション。他のスキャンでも検出された問題は、削除されません。
- スキャンの完了後、DAST スキャン (.scan) 用のスキャン構成ファイルをダウンロードし、AppScan Standard を使用して確認および構成できるようになりました。このファイルは、スキャン後 60 日間ダウンロードできます。
- DAST スキャンの最適化を利用できるようになり、デフォルトで有効化されています。
- スキャンを開始する前に、「設定」>「ドメインの検証」を実行できるようになりました。
- API: API/V2/Account/IBMIdLogin は 6 月 17 日に非推奨となり、削除されました。代わりに API/V2/Account/ApiKeyLogin を使用してください。
2019 年 6 月 17 日の新機能
- レポート生成の改善: 大規模スキャンの静的分析 HTML レポートを最大 5 倍速く生成できるようになりました。
- API の変更: API/V2/Account/IBMIdLogin は非推奨になり、今後 2 週間以内に削除されます。代わりに API/V2/Account/ApiKeyLogin を使用してください。
- ASoC 問題 ID (UI で表示される) がすべてのレポートに含められるようになりました (XML、HTML、PDF)。注: (XML レポートのみ) XML レポートにのみ表示される追加の ID
<issue><item id>
は、ここで言及する<asoc-issue-id>
とは異なります。 - 全般的な改善およびバグ修正。
2019 年 6 月 13 日の新機能
- 全般的なバグ修正。
2019 年 5 月 22 日の新機能
- 新しい言語サポート (Perl、PL/SQL、TSQL)。
- VisualStudio フレームワークの Apex サポート。
- フル・スキャンを実行する前に検証の問題を確認するための、コマンド行インターフェース (CLI) の「リハーサル」オプション。
- WebLogic JSP コンパイラーのサポート。
- 新しい Java ステージング機能: Java プロジェクト内でスキャン対象ファイルを迅速に特定するための新しい方法によって、ユーザー・コードをより包括的に分析できます。
新しい Java ステージャー・プロセスによって、Java プロジェクトをよりインテリジェントに処理し、どのファイルを分析するか、およびどのファイルを従属ファイルとして扱うかを決定できます。ステージャー・プロセスでは、すべての war ファイル、jar ファイル、サブ jar ファイルなどを解凍し、解凍したすべてのファイルをディスクに保存してから分析対象ファイルを決定する、という時間のかかるプロセスではなく、きわめて正確なアプローチを採用して Java プロジェクトを評価します。
新しい Java ステージャー・プロセスを使用することで、以前のプロセスよりもかなり迅速に ear、war、jar ファイルを調べることができます。lib の war ファイルと jar ファイルは完璧に処理されますが、IR 時間が遅くなることがあります。ただし、war ファイル内にある jar ファイルまたはクラス・ファイル形式の場合、プロセスでユーザー・コードが適切に識別されるため、より完全な結果を得ることができます。- 検出結果
以前に分析したプロジェクトに対して新しい Java ステージャー・プロセスを使用すると、新しいように見えるほぼ同じ結果と、war ファイルのより包括的な分析を基にした新しい結果が得られることがあります。
- ロギング
新しい Java ステージャー・プロセスでは、Java プロジェクトをより確実に処理するほかに、追加のロギングも生成されます。このロギングには、現在分析されている Java パッケージが表示され、欠落する Java 除外エントリーを見つけるのに便利です。
次に例を示します。-DSTAGE_INFO=true For example: D:\apps\app\appscan prepare -n app -DSTAGE_INFO=true Discovering targets... Target added: app Validating... Staging D:\apps\app\app.jar Evaluating Entry: app.jar.files/lib/tomcat-coyote-7.0.12.jar Java Packages To Be Analyzed For app: com.app.java.test No problems found during validation. Generating IRX file... IRX file generation successful.
- 検出結果
2019 年 5 月 14 日の新機能
- システム要件: 使用される IP 範囲のリストに、新しい IP アドレスが追加されました。これらの IP アドレスが、ファイアウォールでブロックされないようにしてください。
2019 年 5 月 6 日に更新
- 全般的な更新およびバグ修正。
2019 年 4 月 10 日の新機能
- APEX のサポート
- Visual Studio 2019 プラグインおよび CLI サポート
- JSP コンパイル引数を appscan-config.xml で使用できます。
2019 年 4 月 2 日の新機能
- テスト最適化
- 徹底的にスキャンするよりも迅速に結果を得ることの方が重要な場合、この DAST スキャン (デフォルトで有効になっており、スキャン設定時に制御されます) の新機能によってスキャンをスピードアップできます。「テストの最適化」を参照してください。
- DAST スキャン・レポートの「全般情報」セクションに、スキャンが最適化されたかどうかが示されるようになりました。
2019 年 3 月 28 日の新機能
- システム要件: 使用される IP 範囲のリストに、新しい IP アドレスが追加されました。これらの IP アドレスが、ファイアウォールでブロックされないようにしてください。
2019 年 3 月 18 日の新機能
- 新しいテスト状況の動作 (「アプリケーション属性」を参照):
- スキャンを作成すると、アプリケーションのテスト状況が「進行中」に変わります。
- アプリケーションをリセットすると (UI: 「編集 >「リセット」>「すべて削除」… | API: Apps/Reset/Delete Issues)、アプリケーションのテスト状況は「未開始」に変わります。
- 新しい API オプション:
- GET Presences API 関数にフィルターが追加されました。例えば、
GET: ..Presences/?$select=PresenceName%2C%20Id
により、すべてのプレゼンスとその ID のリストが返されます。 - 以下を使用して DAST スキャン・ファイルをダウンロードします。
GET ..Scans/DynamicAnalyzerScanFile/{executionId}
- GET Presences API 関数にフィルターが追加されました。例えば、
- XML スキャン・レポートが戻ってきました。AppScan Enterprise と整合させるために、いくつかの主要セクションの順序を含め、内容と構造が変更されました。変更内容は、技術情報に詳しく記載されています。http://www.ibm.com/support/docview.wss?uid=ibm10876392
- スキャンで 20,000 を超える問題が検出された場合、ASoC は代表的な 20,000 の問題を選択して、それらのみをスキャン結果に含めます。
2019 年 3 月 6 日の新機能
- 「ユーザーおよびロール」ビューの新しい 「ユーザー・リストのエクスポート」ボタンを使用して、ユーザーのリストを CVS ファイルとしてマシンにダウンロードできます。
- ColdFusion サポート。
- Azure DevOps (VSTS) および Team Foundation Server (TFS) サポートが拡張されました。
- appscan-config.xml を使用した SAST スキャンの組み込み/除外動作が改善されました。
2019 年 2 月 26 日の新機能
- 全般的な更新およびバグ修正。
2019 年 2 月 20 日の新機能
- オープン・ソース・レポートに関連するエントリーのライブラリー・バージョンが含まれるようになりました。
- 個人スキャン: (通常スキャンではなく) 個人スキャンの作成権限のみで、ユーザーを作成できるようになりました。
2019 年 2 月 14 日の新機能
- SAST のバグ修正。
2019 年 2 月 13 日の新機能
- Payment Card Industry Data Security Standard (PCI) レポートがバージョン 3.2.1 に更新されました
- DAST エンジンがバージョン AppScan Standard 9.0.3.11 iFix002 に更新されました
2019 年 2 月 6 日の新機能
- ユーザー管理: ユーザー・ロールの作成または編集時に (「ユーザー管理」>「ユーザーおよびロール」>「ロールの追加/編集」)、管理者が編集権限を付与しなくても「ユーザーおよびロールを表示」できるようになりました。「ユーザー管理」ビューに表示専用アクセスが付与されたことになります。
2019 年 1 月 24 日の新機能
- コンプライアンス・レポート: 現在、以下の 2 つの新しいレポートを使用できます。
- 決済アプリケーションのデータ・セキュリティー標準
- [米国] DISA の Application Security and Development STIG.V4R3
2019 年 1 月 16 日の新機能
- Javascript スキャナー機能拡張。
機能拡張には、パフォーマンスの向上、サード・パーティー・ファイルの自動除外、ルール分析の改善、バグ修正が含まれます。
2019 年 1 月 15 日の新機能
- 業界標準レポート: 現在、以下の 4 つの新しいレポートを使用できます。
- 国際標準化機構規格 - ISO 27001
- 国際規格 - ISO 27002
- NIST 特別文書 800-53
- WASC 脅威の分類 v2.0
- コンプライアンス・レポート: 現在、以下の 4 つの新しいレポートを使用できます。
- カナダ情報自由及びプライバシー保護法 (FIPPA)
- 米国電子資金振替法 (EFTA)
- [米国] Federal Information Security Mgmt.Act (FISMA)
- 米国サーベンス・オクスリー法 (SOX)
- サンプル・レポート: サンプル・レポートはすべて更新されており、新しいオープン・ソース・ライセンス・サンプル・レポートが追加されています。
- 静的分析レポート: 静的分析レポートから修正グループが除外される状況を引き起こすバグが修正されました。
2019 年 1 月 10 日の新機能
- iOS バージョン 12.1 が、iOS モバイル・アプリケーションのスキャンでサポートされるようになりました。
2019 年 1 月 8 日の新機能
- プライベート・サイトのスキャン:
- AppScan Presence を Windows だけでなく Linux OS でもサービスとして実行できるようになりました。
- Windows OS では、AppScan Presence は EXE ファイルで起動されるようになっています。
- 業界標準レポートとコンプライアンス・レポートは、現在、個々のスキャンで「スキャン・レポート」ダイアログ・ボックスから実行できます。
- アプリケーション・レポートは、現在、画面の最上部にある「アプリケーション・レポート」ボタンで開かれるダイアログから実行されます。オプションは変更されていません。