以前の更新 2021-2022
これまでの更新 (2021 ~ 2022 年) で AppScan on Cloud サービスに追加された機能をリストします。
2022 年 12 月 21 日の新機能
- DAST: 新しいバージョンの HCL AppScan Traffic Recorder (1.2.5035) がリリースされ、サード・パーティーの依存関係が更新されました。
2022 年 12 月 18 日の新機能
- 新しい IAST Java エージェント (バージョン 1.12.10300):
- JSON の com.fasterxml.jackson ライブラリーを使用する顧客の汚染追跡のサポート。
- org.glassfish.jersey フレームワークを使用する顧客の汚染追跡のサポート。
- 内部での最適化。
2022 年 12 月 13 日の新機能
- 静的分析クライアントが 8.0.1517 に更新されました。
appscan prepare_sca
コマンドおよびappscan.sh prepare_sca
コマンドを使用して、ソフトウェア・コンポジション分析 (SCA) のスキャンを Docker コンテナーおよびイメージに対して実行できます。- .NET、Java、および JavaScript スキャンの精度が向上しました。
- 全般的なバグ修正。
2022 年 11 月 28 日の新機能
- DAST スキャン・スケジューリング: 毎月同じ曜日に繰り返し月間スキャンをスケジュールするオプションが追加されました。
2022 年 11 月 20 日の新機能
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.1.0 に更新されました。AppScan Standard の修正のリストを参照してください。
2022 年 11 月 16 日の新機能
AppScan Go! が 1.0.1 に更新されました。
- 全般的なバグ修正。
2022 年 11 月 13 日の新機能
- DAST: DAST スキャン用の AppScan Standard LOGIN ファイルのアップロード
- SCA (ソフトウェア構成分析): スキャン・ウィザードで SAST に追加され、SCA ライブラリー・ビューがアプリケーション・レベルで追加されました
2022 年 10 月 31 日の新機能
- IAST Java エージェント (バージョン 1.12.10200):
- Apache commons-text を 1.9 から 1.10.0 に更新して、既知の CVE (CVE-2022-42889) を緩和しました。
- Apache httpClient を apache HttpClient5 に更新して、古い httpClient の脆弱性を緩和しました。
- org.owasp.encoder.Encode ライブラリーを使用する顧客の汚染追跡のサポート。
- Gson htmlSafe 機能のサポートを含む、Gson ライブラリーを使用する顧客の汚染追跡のサポートが改善されました。
- SAST:
- 静的分析クライアントが 8.0.1514 に更新されました。
- Java および Kotlin スキャナーの精度が向上しました。
- 全般的なバグ修正。
2022 年 10 月 25 日の新機能
- IAST .Net エージェント (バージョン 1.6.0):
- パフォーマンス改善。
- パスワードを非表示にする新しい構成オプション。こちらを参照してください。
2022 年 10 月 3 日の新機能
- 静的分析クライアントが 8.0.1506 に更新されました。
- AppScan Go! および CLI を使用した Maven および Gradle プロジェクトの自動ディスカバリー。
- JavaScript、NodeJS、Kotlin スキャナーの精度が向上しました。
- Java スキャンの範囲が改善されました。
- 全般的なバグ修正。
2022 年 10 月 2 日の新機能
- AppScan Presence v1 はサポートされなくなりました。
以前に告知したとおり、プライベート・サイトをスキャンするための AppScan Presence v1 は、2022 年 3 月にリリースされた AppScan Presence v2 に置き換えられました。プライベート・サイトのスキャンでは、Presence v2 がインストールされている必要があります。AppScan Presence を参照してください。
2022 年 9 月 21 日の新機能
AppScan Go! を 0.1.10 に更新
- さまざまな画面解像度のサポートの改善
- Windows および Macintosh システムの AppScan Go! の自動更新
temp
ディレクトリーのディスク・スペースのクリーンアップ- エラー処理の改善
- 全般的なバグ修正
2022 年 9 月 18 日の新機能
- DAST:
- TOTP (時間ベースのワンタイム・パスワード) がサポートされるようになりました。DAST スキャンを参照してください。
- 単一スキャン・ビューに探査データ・カウンター (検出された Cookie の数、ヘッダーなど) が含まれるようになりました。
- SAST/SCA:
- SARIF 形式のオプションが「問題のエクスポート」ダイアログに追加されました。
- 「単一スキャン」ビューに、検出された言語のリストと、(サブスクリプションに SCA が含まれている場合は) 検出されたオープン・ソース・ライブラリーとライセンスのカウンターが含まれるようになりました。
- 「プラグインと API」ページにコミュニティー・プラグインのリンクが追加されました。
- 組織設定: 「メイン設定」セクションにデータ・センター情報が追加されました。
- 単一修正グループ・ページ: 問題グリッドにセキュリティー・レポートが追加されました。
2022 年 9 月 14 日の新機能
- HCL AppScan Traffic Recorder にセキュア (SSL) 接続が必要になりました。安全でない接続で使用している場合は、次にその接続を使用しようとすると、セキュア接続を構成するよう求めるプロンプトが表示されます。トラフィック・レコーダー接続 を参照してください。
2022 年 9 月 13 日の新機能
- IAST:
- WebSockets を介して送信されるデータのトラッキングのサポート。
- Spring REST API の拡張サポート: ソースとしての REST パス変数のサポート。
- Gson ライブラリーを使用する顧客の汚染追跡のサポート。
- Java 9 以上を使用する場合、汚染を適切に追跡するには、java プロパティーにフラグ (BC_SB) を設定する必要があります。このフラグが設定されていない場合、ユーザーに警告が出されるようになりました。
2022 年 8 月 16 日に更新
- 静的分析クライアントが 8.0.1500 に更新されました。
scan.manifest
内およびリハーサルの実行時の Java パッケージと .NET 名前空間のレポート作成。- 全体の検出結果の数を変える可能性があるソース・コード・スキャナーの改善。
- Groovy、JavaScript、PHP、Ruby の追加ファイル拡張子のサポート。
- APAR 修正。
- 全般的な修正および機能改善。
2022 年 8 月 9 日に更新
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.8.28196 に更新されました。AppScan Standard の修正のリストを参照してください。
2022 年 7 月 26 日に更新
- すべてのリストに対する包括的なフィルタリング:
- 「アプリケーション」ビュー: リスク等級、資産グループ、ビジネスへの影響、ビジネス・ユニット、テスト状況、最大重大度でフィルタリングします。開始日と終了日を選択します。
- 「スキャン」ビュー: テクノロジーおよび状況でフィルタリングします (未変更)。
- 「すべての問題」ビュー: 重大度、状況、スキャン・テクノロジー、有効なポリシー、問題タイプでフィルタリングします。開始日と終了日を選択します。
- 「スキャンの問題」ビュー: 重大度、状況、最初に検出、有効なポリシーでフィルタリングします。開始日と終了日を選択します。
- DAST および SAST スキャン:
- 「スキャン」>「構成」タブの新しい「設定」セクションには、スキャンに対する「通知 E メール」(送信する/送信しない) および「スキャン有効化」(許可する/許可しない) の構成方法が表示されます。
- 更新された「再スキャン」ダイアログでは、再スキャン時にこれらの 2 つの設定を変更できます。
- DAST スキャン: スキャン・ビューの新しい「ログを抽出」アイコンを使用すると、別のウィンドウで「実行ログ」を開くことができます。このウィンドウは、スキャン・ページから離れてブラウズしても開いたままにすることができます。
2022 年 7 月 19 日に更新
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.8 に更新されました。AppScan Standard の修正のリストを参照してください。
インポートされた Postman コレクション・ファイルを使用した自動 API スキャンは AppScan Standard 10.0.8 でサポートされていますが、Postman コレクション・スキャンの ASoC へのアップロードは現在サポートされていないことに注意してください。
2022 年 7 月 5 日に更新
2022 年 6 月 28 日に更新
- IAST Java エージェント (バージョン 1.11.10100):
- JBoss EAP (Enterprise Application Platform) バージョン 6、7 のサポート
- レポートの読み取りやすさの向上:
- 配列/マップ・コンテンツの印刷
- 現在のユーザー入力に基づく悪用例の動的生成
- XSS アルゴリズムの改善
2022 年 6 月 13 日に更新
- 静的分析クライアントが 8.0.1498 に更新されました。
- Java 17 のサポート (
SAClientUtil
パッケージへの Java 17 の同梱を含む)。 JSP
プリコンパイル用の Tomcat 7 を Tomcat 9 に入れ替えました。- ソース・コード・スキャナーが改善されると、検出結果の総数が変わる場合があります。
- 全般的な修正および機能改善。
2022 年 6 月 12 日に更新
- UI:
- 「2019 年 OWASP Open API Top 10」ポリシーを追加
- スキャン・カード、および単一のスキャンの問題のグラフに「重大」の重大度を追加
- レポート:
- CSV レポートに SAST オープン・ソース解決および説明列を追加
- セキュリティー・レポートに「重大」の重大度カウンターを追加
2022 年 5 月 29 日に更新
- プラグインと API:
- 新しい HCL AppScan Traffic Recorder (旧称 DAST プロキシー) が、ASoC の「プラグインと API」ページで使用可能になりました。HCL AppScan Traffic Recorder を参照してください。
- 3 つの新しい JetBrains プラグインが追加されました: CLion、GoLand、RubyMine。
- 修正グループ: 各グループは、デフォルトで、そのグループの最も関連性の高い列を「問題」テーブルに表示するようになりました。
- 全般的なバグ修正。
2022 年 5 月 15 日に更新
- API の変更: DAST スキャンの FullyAutomatic フラグのデフォルト値が false から true に変更されました。SAST スキャンについては false のままです。
つまり、API またはプラグインから開始された DAST スキャンは、ユーザーが明確にパラメーターを false に設定しない限り、レビューのためにスキャン有効化チームに送信されることはありません (「スキャン状況: レビュー中」を参照)。
UI を介して開始されたスキャンの場合、デフォルト設定の「介入を許可する」は変更されません。
- IAST Java エージェント (バージョン 1.10.10101):
- 新たにサポートされる環境: Jetty サーバー、Quarkus (JVM ノード)、Resteasy フレームワーク
- セキュリティー更新:
- 新たな脆弱性: 安全でないリフレクション (CWE 470)。参照: https://cwe.mitre.org/data/definitions/470.html
- 新たな脆弱性: オープン・リダイレクト (CWE 601)。参照: https://cwe.mitre.org/data/definitions/601.html
- インジェクション分析アルゴリズムの精度の向上 - CWE 78 に影響します: OS コマンド・インジェクション
- ページが見つからない場合の潜在的な誤検出の除去 - CWE 352 (CSRF) および 523 (資格情報の無保護トランスポート) に影響します
- CWE 352 (CSRF) および CWE 523 (資格情報の無保護トランスポート) の問題に追加情報が追加されました
2022 年 5 月 8 日に更新
- 自動問題相関が追加されました: この新機能を使用すると、AppScan は IAST、DAST、および SAST によって検出された問題を分析して、コード内の共通の脆弱なリンク (「相関」) を特定し、一度の修復作業で複数の脆弱性を解決できる場所を見つけることができます。詳細...
- 修正グループの設計が改善されました。
- ユーザー登録フローが改善されました。
- 全般的なバグ修正。
2022 年 5 月 5 日に更新
- JetBrains プラグインは CodeSweep 機能をサポートするようになりました。JetBrains プラグインの使用については、「JetBrains Marketplace」を参照してください。
- JetBrains プラグインは、以下の追加 IDE をサポートするようになりました:
- CLion
- GoLand
- RubyMine
2022 年 5 月 2 日に更新
- 静的分析クライアントが 8.0.1495 に更新されました。
- 検出結果の精度を高めるために、JavaScript、C、および PHP スキャン・エンジンが改善されました。
- バグの修正。
2022 年 4 月 6 日に更新
- IAST:
- すべての脆弱性の呼び出しトレース情報が改善されました
- シンク URL がメインの問題 URL になりました
- API: スキャン取得 API から返されるオブジェクトの最大数が 200 から 100 に削減されました
- 全般的なバグ修正
2022 年 4 月 1 日に更新
- 静的分析クライアントが 8.0.1491 に更新されました。
- クライアントのみの更新。
- バグの修正。
2022 年 3 月 25 日に更新
- 静的分析クライアントが 8.0.1488 に更新されました。
- Terraform のスキャンのサポート。
- Java、JavaScript、および PHP 分析が改善されました。
Log4j
の最新バージョンにアップグレードされました。重要: 静的分析クライアント・ユーティリティー (SAClientUtil
) は、過去数か月間に検出されたLog4j
の問題に対して脆弱ではありませんでした。現在も脆弱ではありません。
2022 年 3 月 21 日に更新
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.7 に更新されました。AppScan Standard の修正のリストを参照してください。
2022 年 3 月 13 日に更新
- プライベート・サイトのスキャンのための新しい AppScan Presence: 新しいプレゼンス (V2) により、安定性とパフォーマンスが向上し、プレゼンスがアクセスしたすべての権限 (ホスト:ポート) がリストされたログが提供されます。詳細...
- 注:レガシー・プレゼンス (V1) は引き続きサポートされますが、2022 年 10 月 1 日以降はサポートされません。
- 注:新しいプレゼンス (V2) には DAST プロキシーは含まれません。これが必要な場合は、レガシー・プレゼンス (V1) をダウンロードして使用できます。
- CSV レポート: オープン・ソース・レポートを (HTML および PDF に加えて) CSV として生成できるようになりました。
2022 年 2 月 20 日に更新
- UI:
- DAST スキャンの「スキャンの作成」フローの改善
- ファイルから DAST スキャンを作成する際の、ガイドされた探査およびスケジューラーの追加
- アプリケーション・レベルでオープン・ソース・ライセンス・レポートを作成する機能の追加
- 複数の問題にコメントを追加する機能の追加
- レポート:
- 「ASoC での CWE/SANS Top 25 レポート ASREG」が「2021 年 CWE 最も危険なソフトウェア脆弱性 Top 25」に置き換えられました
- オープン・ソース・レポート・サマリーにライブラリー・テーブルを追加
- API:
- 複数の問題にコメントを追加する機能の追加
2022 年 2 月 15 日に更新
- 静的分析クライアントが 8.0.1480 に更新されました。
- 全般的な修正および機能改善。
2022 年 2 月 2 日に非推奨
- API:
LastSuccessfulExecution
プロパティーは非推奨となり、2022 年 2 月 13 日に削除されます。代わりにLatestExecution
を使用してください。これは、失敗した場合でも最新の実行を返します。
2022 年 1 月 26 日に更新
- 静的分析クライアントが 8.0.1473 に更新されました。
- 静的分析専用スキャンのサポート。
- 全般的な修正および機能改善。
2022 年 1 月 25 日に更新
- スキャン・スケジューラー:
- スケジュールされたスキャンを実行する曜日を選択します
- 既存のスキャンにスケジュールを追加します
- スケジュール済みスキャンからスケジュールを削除します
- 繰り返しの終了日 (スキャンの実行がスケジュールされている最後の日) がスキャン・エントリーに表示されるようになりました
- スキャン実行で検出された新しい問題がスキャン・エントリーとフィルタリングされた問題ビューに表示されるようになりました
- ページ・ヘッダーからいつでもユーザー・インターフェース言語を簡単に変更できます
- ランディング・ページ・ヘッダーからデータ・センターを切り替えます
2022 年 1 月 2 日の新機能
IAST 監視、Java エージェント (バージョン 1.9.10200):
- パフォーマンスの向上
- Java 17 をサポートします
- Java プロパティー (https.proxyHost/https.proxyPort または http.proxyHost/http.proxyPort) を使用してプロキシーが設定された環境内の ASE との通信をサポートします
- 新しいセキュリティー機能:
- JaxB クラスの XXE (CWE 661)。この潜在的に脆弱なクラスについては、以下の OWASP XXE 資料で説明されています。 https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#jaxb-unmarshaller
- JSON XSS 情報問題 (CWE 79)、JSON として応答に書き込まれる脆弱なデータの XSS バリアント
2021 年 12 月 28 日の新機能
- UI:
- スキャン・カードが再設計され、重大度ごとに問題へのリンクがスキャンに含まれるようになりました。
- 「プラグインと API」ページに Rider プラグインが追加されました。
- レポート: 「OWASP Top 10 2021」がレポートおよびポリシーに追加されました。
- API:
- post DAST スキャン API から「繰り返しの終了日」を定義する機能が追加されました。
- アプリケーションで初めて検出された問題を表示するサポートが追加されました。
- 言語プロパティーが新規 SAST 問題に追加されました。
- 全般的なバグ修正。
2021 年 12 月 17 日の新機能
- DAST: Log4j の脆弱性をテストする新しいセキュリティー・ルールが追加されました。
2021 年 12 月 15 日の新機能
- 静的分析クライアントが 8.0.1472 に更新されました。
- RPG のスキャンのサポート。
- スキャン時の .NET 名前空間の組み込みと除外のサポート。
- appscan-config.xml における Java 並列処理キャッシュの場所の指定のサポート。
- .NET 5/6 分析を拡張しました。
- 全般的な修正および機能改善。
2021 年 11 月 23 日の新機能
- UI:
- スキャンのスケジュール: DAST スキャンを繰り返しありまたはなしで後で実行するようにスケジュールできます (「スキャンの作成」>「ステップのスケジュール」)。構成されたスケジュールを編集できます (「スキャン・アクション」メニュー >「スケジュールの編集」)。新しいアイコンは、スキャンの「スケジュール済み」ステータスと「繰り返し」ステータスを示します。
- IAST: IAST エージェント構成を更新する機能が追加されました。
- 自動ログアウト: 30 分間アクティビティーがない場合、ユーザーはログアウトされるようになりました。
- ビジネス・ユニットをマージできるようになりました (管理者のみ: 「組織」>「設定」)。
- 単一スキャン・ビュー: 列がクリック可能になり、「問題」タブにフィルタリングされたリストが表示されるようになりました。
- API:
- スキャン・スケジューリングのサポート (追加設定付き)。
- 2 つのビジネス・ユニットのマージ、および組織内で許可されるビジネス・ユニット数に制限を追加する機能のサポート。
2021 年 11 月 16 日の新機能
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.6 に更新されました。AppScan Standard の修正のリストを参照してください。
2021 年 10 月 24 日の新機能
- UI:
- 管理者のみ: 新しい「設定」 ビューが追加され (「組織」>「設定」)、ビジネス・ユニットの作成と管理ができるようになりました。
- IAST: エージェントを削除するときに、エージェント構成のみを削除するオプション、およびエージェント構成とエージェントで検出された問題の両方を削除するオプションが UI に用意されました。
- 新規スキャン状況が追加されました: 「初期化中」(スキャンが実際に開始される前)。
- API: 「修正済み」として設定された SAST および IAST の問題は、再度検出された場合は再オープンされません。
2021 年 10 月 18 日の新機能
IAST 監視:
- Java エージェント (バージョン 1.9.10100):
- メモリー消費量 (しきい値) が大きすぎる場合の実行の一時停止
- モニターするアプリケーションの名前を指定する新しい構成ファイル・パラメーター
- メモリーおよび GC デバッグ・フラグ
- メモリー消費量の削減
- 新しいセキュリティー機能:
- 改善された CSRF ルール (FP の削減)
- 安全でないログイン・ルールの範囲の改善
- 固定: Spring の XSS バグ
- .NET エージェント (バージョン 1.3.1):
- メモリー消費量 (しきい値) が大きすぎる場合の実行の一時停止
- ヘッダー/Cookie 名に基づいて、レポートからの問題をフィルタリング
- パフォーマンスの改善
- IAST の問題の「問題情報」タブ:
- 新しい「追加情報」セクション
- より多くの問題に悪用例が含まれました
- 新しいセキュリティー機能:
- パス・トラバーサル・アルゴリズム
- 安全でないログイン・ルールの範囲の改善
- 固定: 問題が ASoC/ASE に送信される際のバグ
- Node.js エージェント (バージョン 1.2.1):
- メモリー消費量 (しきい値) が大きすぎる場合の実行の一時停止
- ヘッダー/Cookie 名に基づいて、レポートからの問題をフィルタリング
- IAST の問題の「問題情報」タブ:
- 新しい「追加情報」セクション
- より多くの問題に悪用例が含まれました
- 新しいセキュリティー機能:
- パス・トラバーサル・アルゴリズム
- 安全でないログイン・ルールの範囲の改善
- 固定: 通信 EPIPE エラーの処理
2021 年 10 月 12 日の新機能
AppScan Go! バージョン 0.1.8 に更新されました。以下の機能拡張が含まれます。
2021 年 10 月 10 日の新機能
- 単一スキャン・ビュー: 「実行の管理」オプション・ボタンが追加されました
- DAST: スキャンの作成時に、スキャンを完全に自動にするか、必要に応じてスキャン有効化チームの支援を受けるかを選択できるようになりました。
- SAST: DAST スキャンに関して、単一スキャン・ビューが追加されました
- IAST:
- セッションが「スキャン」ビューに表示されるようになりました
- スキャン・レポートを作成できます
- IAST セッションを手動で停止した場合、エージェントが切断された場合でも UI から再始動できます。また、エージェントが接続されるとモニターが自動的に開始されます。以前は、これは API を介してのみ可能でした。
2021 年 9 月 30 日の新機能
2021 年 9 月 12 日の新機能
- DAST スキャン: 単一スキャンに対して複数の DAST.CONFIG ファイルをアップロードできるようになりました (「ガイダンスを使用し探査する」を参照)。
2021 年 8 月 4 日の新機能
- 静的分析クライアントがバージョン 8.0.1448 に更新されました。
- 全般的な修正および機能改善。
2021 年 8 月 2 日の新機能
- DAST スキャン:
- 新しい単一のスキャン・ページ:
- スキャンに関する詳細データに、「概要」、「問題」、「構成」の 3 つのタブと、スキャン・ログ・ペインを使用してアクセスできます (「「単一のスキャン」ビュー」を参照)。
- 実行中のスキャンのリアルタイムの状況を表示できます。
- スキャンの実行中にスキャン・ログを表示できるようになりました。
- スキャン・サポート・チームからのイネーブラーによって処理されたスキャンの構成を確認するための、新しいスキャンのインディケーター。
- スキャン・ウィザードの追加:
- 自動で探査するか、ガイダンスを使用して探査するかを選択できます (「動的分析 (DAST) について」および「ガイダンスを使用し探査する」を参照)。
- マニュアル探査またはマルチステップのファイルをアップロードできます。
- 要求速度の制限を構成できます。
- API:
- 複数のファイルを含むスキャンを作成できます。
- 自動探査またはガイダンスを使用した探査を選択できます。
- 自動タイムアウトが追加されました。
- アプリケーションの新しい問題の数が、スキャン結果に含まれるようになりました。
- 新しい単一のスキャン・ページ:
- IAST 監視、Java エージェント (バージョン 1.8.10110):
- CONFIG ファイルのアップロードがサポートされるようになりました。
- ローカル・サーバーで CONFIG ファイルに対して行った変更が、監視に反映されるようになりました。
- IAST の問題の「問題情報」タブ:
- 新しい「追加情報」セクション。
- より多くの問題に悪用例が含まれました。
- セキュリティー・ルールの更新:
- パス・トラバーサル拡張アルゴリズム
- 非直列化 - Xtream、xmlDecode
- escapeHtml で FP を削減
- wildfly サーバーの修正とメモリーの改善。
- エクスポート・アイコン: アプリケーション、スキャン、単一アプリケーション・スキャン、修正グループ、修正グループの問題、単一スキャンの問題、ユーザー、資産グループをエクスポートできます。
- ドメインのリストがすべてのユーザーに表示されるようになりました。
2021 年 7 月 13 日の新機能
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.5 に更新されました。AppScan Standard の修正のリストを参照してください。
2021 年 6 月 29 日の新機能
- 静的分析クライアントがバージョン 8.0.1445 に更新されました
- ソース・コードのみのオプションを使用した C++ のスキャンのサポート。
- Objective-C++ のスキャンのサポート。
- コマンド行インターフェース (CLI) からレポートを生成するための新しい get_report コマンド。
2021 年 6 月 23 日の新機能
- UI:
- 新しい「エキスパートに聞く」機能が追加されました
- 「CSV/JSON にエクスポート」がアプリケーション・ページと問題ページに追加されました
- スキャンの作成: 「タイムアウト」および「スレッド数の構成」が追加されました
- 問題パネルに「修正グループ ID {"Group ID")」 が追加されました
- IAST: 問題パネルに「追加情報」が追加されました
- 列の構成とフィルターがセッション間で保存されるようになりました
- サンプル・アプリケーション CSV: 「説明」列と「タグ」列が削除されました
- 新規プラグイン: Github
- API:
- ScanExecution にコメントを追加する機能が追加されました
- DAST 構成: スレッド数と通信タイムアウトを構成する機能が追加されました
- 全般的なバグ修正
2021 年 5 月 27 日の新機能
- IAST スキャン:
- Java と .NET に加えて Node.js エージェント (バージョン 1.1.0) がサポートされるようになりました。
- .NET エージェント (バージョン 1.2.2):
- .NET 4.6.2 のサポート
- ライブラリーの更新
- 環境変数と Web.config ファイルを使用したホストとトークンの設定をサポート
- Java エージェント (バージョン 1.8.10000):
- パフォーマンスの改善
- 32 ビット JRE 環境のサポート
- さらに多くの Java 環境で自動アタッチをサポート
- Spring のサニタイズを検出する新しいルール (Spring FP を削減)
- 環境変数名を IAST_HOST および IAST_ACCESS_TOKEN に変更
- SessionManagement.Cookies の代わりに attCookieNotSecureSSL を報告
- レポートの簡素化
- バグの修正
2021 年 5 月 26 日の新機能
- 静的分析クライアントがバージョン 8.0.1436 に更新されました。
- VB.NET のソース・コード・スキャンのサポート (ソース・コードのみを指定するオプションによって有効化)。
2021 年 5 月 23 日の新機能
- 資産グループ: 新しい設計、およびグループの連絡先としてユーザーを追加する機能
- IAST: JavaScript エージェントが追加されました
- レポート: DISA レポートがバージョン 5 リリース 1 にアップグレードされました
2021 年 5 月 11 日の新機能
- DAST 自動化の更新:
- さまざまな Java ライブラリーが新しいバージョンに更新されました
- プロキシー・サーバーが TLS 接続をサポートするようになりました
- 特定のポートではなく、一定範囲内のポートで記録プロキシーを開始できるようになりました (この範囲内で使用可能な最も小さいポート番号が使用されます)
- Settings.json でプロキシー・サーバーのポートを設定できるようになりました
- JKS 証明書をプロキシー・サーバーにインポートするバグが修正されました
2021 年 4 月 28 日の新機能
- 静的分析クライアントがバージョン 8.0.1433 に更新されました。
- 全般的な修正および機能改善。
- APAR 修正。
- Java 並列処理の改善。
2021 年 4 月 27 日の新機能
- UI:
- 「組織を選択してください」ダイアログから、組織への参加を求める招待を受けられるようになりました
- 問題の詳細に暗号スイート情報が追加されました
- レポート: 暗号スイート情報が追加されました
- API:
- ScanExecution モデルにスキャン ID が追加されました
- CSV 形式でのデータのエクスポート
- 新規ユーザーへの招待の有効期間が 30 日間になりました。
2021 年 4 月 12 日の新機能
- UI: CSV ファイルを使用してアプリケーションをインポートできるようになりました。
- レポート:
- IAST: 追加情報テーブルが追加されました。
- セキュリティー・レポートの CSV 形式に修正グループ・テーブルが追加されました。
2021 年 4 月 7 日の新機能
- 静的分析クライアントがバージョン 8.0.1431 に更新されました。
- C#、ASP.NET、および C のソース・コードのみを対象とした、新しい高速なスキャン。
- Windows および Linux 両用の
queue_analysis
CLI コマンドの追加機能。次のパラメーターはオプションです。- 分析完了時の E メール通知を有効または無効にします。
- 個人スキャンとしてスキャンを実行します。
- AppScan Go! が Mac でサポートされるようになりました。
2021 年 3 月 21 日の新機能
- ユーザー・インターフェースが改善および更新されました。これには以下の変更が含まれます。
- 折りたたみ可能なメニュー・バーの順序が新しくなり、新しいメニュー項目がいくつか追加されました。
- 階層リンクを持つすべてのビュー間を移動できるようになりました。
- 「アプリケーション」ページ: アプリケーション作成ウィザード・フローが更新されました。
- 「単一のアプリケーション」ページ: 新しいダッシュボードは、リスク等級とコンプライアンス状況、スキャン状況、重大度別の問題、検出された最も一般的な問題タイプなど、アプリケーションの状況の概要をグラフィカルに示します。
- ポリシー:
- 「ポリシー」ページが改善され、ポリシーのリストに続いて、各ポリシーに関連付けられたアプリケーションが表示されるようになりました。
- 多くの新しい事前定義ポリシーをアプリケーションに関連付けられるようになりました。
- ベースライン・ポリシーを「ポリシー」ページではなく「アプリケーション」ページから直接設定できるようになりました。
- スキャンの作成ウィザード: フローが改善され、DAST スキャンの場合に、アップロードされたファイルを使用してスキャンを作成するための別個のパスが追加されました。
- E メールと個人スキャンの設定を、新しい「サマリー」ページで設定するようになりました。
- テーブルに表示する列の選択、幅の調整、列の順序の変更ができるようになりました。
- 特定のページへのリンク (ID) を送信するだけで、他の許可ユーザーとページを共有できるようになりました。
- 問題: コンテンツと機能の改善
- 多くの問題のコンテンツが追加および更新されました。
- 修正方法: 「アドバイザリー」セクションと「推奨される修正」セクションは、包括的な「修正方法」タブに統合されました。
- 多くの問題で、特定のコード言語向けのカスタムの「修正方法」コンテンツを使用できるようになりました。
- アプリケーション内の特定の問題へのリンク (ID) を送信するだけで、他の許可ユーザーと問題を共有できるようになりました。
- レポートに新しい「修正方法」コンテンツが含まれるようになりました。
- API: IAST モニター用の独自の構成をアップロードできるようになりました。
2021 年 3 月 4 日の新機能
- AppScan Go! バージョン 0.1.7 の Windows 版と Linux 版に加えて、Mac 版も使用可能になりました。
2021 年 2 月 22 日の新機能
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.0.4 に更新されました。AppScan Standard の修正のリストを参照してください。
2021 年 2 月 21 日の新機能
- API: IAST エージェントが、(UI に加えて) API を使用して (キーあり、またはキーなしで) ダウンロードできるようになりました。
2021 年 2 月 3 日の新機能
- 静的分析クライアントがバージョン 8.0.1422 に更新されました。
- 全般的な修正および機能改善。
- Java アプリケーションの並列処理機能のパフォーマンスとメモリー使用率を改善しました。
2021 年 1 月 31 日の新機能
- UI: アプリケーションの「リスク等級」の計算が以下のように更新されました。
- 新しいアプリケーションではデフォルトで「ビジネスへの影響」が「中」に割り当てられるようになりました。ただし、以前のデフォルトが「未定義」の既存のアプリケーションは変更されません。「未定義」は、引き続きアプリケーションに手動で割り当てることができます。
- アプリケーションに完了したスキャンが含まれている場合、アクティブな問題がない場合でも、リスク等級が「低」に設定されるようになりました (以前は「不明」に設定されていました)。
- API および UI: スキャン・ファイルのダウンロード速度が速くなりました。
2021 年 1 月 26 日の新機能
- IAST:
- Tomcat 10 のサポート
- 汚染追跡の改善
- OS コマンド検出ルールの変更