以前の更新 2023-2024

• レポートを改善し、類似した問題をレポートしないようにします

• .NET 9 のサポート
• rabbit MQ をサポート
• 新しい問題のタイプ PasswordLeakageDB (CWE 256) および PasswordLeakageSentData (CWE 201)

• ASoC との通信に組み込みクライアントではなく、Curl を使用します (IAST を実行しているマシン上に Curl がインストールされている必要があります)
• Ubuntu 24 へのエージェントのインストールをサポート
• 新たな脆弱性: 検証されていないリダイレクト (CWE 601)
• 新たな脆弱性: HTTP 応答へのパスワード漏洩 (CWE 256)

• エージェントが無効になっているときは、ハートビート通信の頻度を ASoC に減らします。

• 統合されたライブラリーと脆弱性データ: オープン・ソース・ライブラリーとライセンス情報が「問題情報」ペインの新規の「ライブラリー」タブで表示可能です。これにより、アプリケーションに対するオープン・ソース・コンポーネントの影響の完全なビューが提供され、セキュリティー上のリスクとコンプライアンス要件をより適切に管理できます。

• 事前定義テスト・ポリシー: 事前定義されたテスト・ポリシーを選択できるようになりました。これにより、ユーザーにとって重要な関連するテストのみを実行し、スキャン時間を短縮できます。詳しくは、「テスト・ポリシー」を参照してください。
• 除外/例外: 特定のアプリケーション・パスを無視し、除外パスに例外 (組み込み) を追加するように DAST スキャンを構成することで、フォーカスを絞った高速スキャンが可能です。詳しくは、「パスの除外」を参照してください。
• スキャン・ファイルをアップロードするときの再テストとテストの継続をサポートし、テンプレート・ファイルをアップロードするときのテスト オプションをより明瞭にしました。

• ダッシュボードの更新: アプリケーション別にダッシュボードをフィルタリングする機能を含め、ダッシュボード・フィルターが更新されました。

• ASoC 「統合」ページが変更され、利用可能なすべての統合の包括的なリストが含まれるようになりました。

• Ubuntu で PHP 7.4 をサポート
• AppScan Enterprise への通信をサポート
• 安全でない Cookie の脆弱性をサポート (CWE 614、1004)
• データベースと応答へのパスワード漏洩の脆弱性をサポート(CWE 201、256)
• さまざまな環境での安定性を改善
• Apache でのインストールを修正
• バグの修正

• Linux でのインストールを修正
• 指定された名前空間にのみエージェントのインストールをサポート

• 問題の自動クローズが有効になっており、オープン・ソース・ライブラリーが再スキャンで見つからない場合、ライブラリーは他のスキャン問題と同様に扱われ、スキャン結果から削除されます。
• ランタイム SCA の更新。

• API テスト: 新規のネイティブ API スキャン ワークフローにより API をシームレスに保護し、開発プロセスの初期段階で脆弱性を検出して修正するようにします。このリリースでは、Postman および手動記録を使用した API スキャン・ワークフローをサポートします。今後の更新では、追加の API スキャン・ワークフローをシームレスにサポートする予定です。
• 脆弱なサードパーティ・コンポーネントの検出: この新機能は、最もよく使用されているクライアント・サイドおよびサーバー・サイドの技術を特定し、それらの脆弱性をレポートすることによって、既存の DAST 機能を強化します。

• ダッシュボードの更新: ダッシュボードにスキャン、テクノロジー、SCA のカードが追加されました。これにより、スキャンやアプリケーションをテクノロジー別に表示したり、SCA のアプリケーション中の上位 5 つのライセンスを表示したりすることができます。
• ダーク・テーマ: AppScan on Cloud でダーク・テーマに切り替えることができるようになりました。
• アプリケーション作成の更新: デフォルトのビジネスへの影響が中に設定され、Presence ではなくクイックアプリケーション設定に追加されました。
• 問題の重大度/ステータス: 問題の重大度または個々の問題のステータスは、問題の詳細ビューで更新できます。
• ステータス「新規」の削除: 以前に廃止された問題ステータス「新規」は、ASoC から完全に削除されました。
• アプリケーションの名前の文字数は最大 120 文字になりました。

• Visual Studio 2022 の HCL AppScan Visual Studio 拡張機能
  • Visual Studio 2022 IDE 内から HCL AppScan on Cloud 上で SAST および SCA スキャンを作成するためのサポート。
  • IDE 内からのスキャン構成オプションのサポート。Visual Studio IDE の新しい「My Scans」タブを使用して、開始されたスキャンに関する情報を表示することもできます。
• HCL AppScan Jenkins プラグイン
  • 以下での SAST および SCA スキャンの再スキャンのサポート: HCL AppScan on Cloud
• HCL AppScan Azure プラグイン
  • HCL AppScan on Cloud での SAST および SCA スキャンの再スキャンのサポート。

• ランタイム SCA の問題には、更新された問題タイプを使用します。
• スタックレスの問題のメソッド署名フィールドに URL を表示します。これは、AppScan on Cloud の場所フィールドに表示されます。
• RabbitMQ のサポートが向上しました。
• 新しい問題タイプを使用: PasswordLeakageDB と PasswordLeakageSentData

• ランタイム SCA の問題には、更新された問題タイプを使用します。
• スタックレスの問題のメソッド署名フィールドに URL を表示します。これは、AppScan on Cloud の場所フィールドに表示されます。

• REST API のバージョン 2 は 2024 年 7 月 30 日に廃止されました。サポートは終了し、まもなく削除されます。代わりに REST API V4 を使用してください。更新された API への移行に関するサポートが必要な場合は、「技術概要」を確認してください。

• 新しい IAST .NET エージェント (1.11.2)
  • ランタイム SCA のサポート。
  • スタートアップ・フックを使用した NuGet への代替インストール方法。

• 静的分析クライアントが 8.0.1574 に更新されました。
• Java 21 のサポート。さらに Java 21 は Static Analyzer コマンド行ユーティリティー (SAClientUtil) パッケージに含まれています。
• CLI コマンド queue_analysis は、静的分析 (SAST) とソフトウェア・コンポジション分析 (SCA) の両方のスキャン ID を表示します。
• オープン・ソースのみのスキャンまたは静的分析のみのスキャンを指定するために、appscan queue_analysis コマンドにパラメーター --oso および -sao を追加しました。
• .NET トレース検出結果の IFA 2.0が有効になっています。
• シークレット・スキャナーは PowerShell (.ps1) ファイルをスキャンします。
• ユーザーが 5000 を超えるアプリケーションを使用している場合に、コマンド・ライン・インターフェースまたは AppScan Go! からのスキャン送信が失敗しなくなりました。
• Angular、ASP、CSS、Dart、Java ソース・コード・スキャナー、JavaScript、JQuery、Objective-C、PHP、Python、シークレット・スキャナー、TerraForm、TypeScript、VueJS のルール更新。
• 全般的なバグ修正。

• AppScan on Cloud v4 REST API を使用するように自動更新されました。
• サードパーティーの脆弱性を修正。

• 自動修正: 調整された自動修正の推奨事項が GenAI の概要説明とともに AppScan on Cloud ユーザー・インターフェースに表示されるようになりました。以前の自動修正は、CodeSweep IDE プラグインでのみ使用できました。
• GitHub Enterprise 統合による SAST リポジトリー・スキャン: GitHub Enterprise リポジトリーで静的分析スキャンを実行します。

• ドメイン管理: 組織内のドメインを管理します。これには、異なる資産グループへの権限、ドメインの承認などが含まれますが、それらを検証する必要はありません。この機能は、シルバー、ゴールド、プラチナ、アプリケーションごとのサブスクリプションで使用可能になりました。ドメイン検証からドメイン管理への移行については、サポート・チームにお問い合わせください。

• SCA ランタイム: SCA は、IAST 機能を基盤として、ランタイムにアプリケーションで使用されるオープン・ソース・コンポーネントおよびライブラリーの脆弱性を特定し、管理できます。ランタイム SCA は、潜在的な脆弱性に対するより正確なコンテキストを提供するため、問題の修復と解決の優先順位付けに役立ちます。
• マルウェアの検出: ソフトウェア・コンポジション分析は、マルウェアとして疑われるオープン・ソース・ライブラリーを検出してレポートします。AppScan は、自動分析と人間の専門知識を組み合わせた包括的で高度なアプローチを採用しており、複数のリポジトリーをスキャンし、マルチドメイン分析を実行して総合的なセキュリティー評価を行います。パッケージの更新を継続的に監視し、標的型攻撃の検出とバイナリー解析を行うことで、隠れた脅威を発見できます。GLG のエキスパート・チームが疑わしい検出結果をレビューし、正確な結果を確実にします。
• メソッドおよびルート依存関係の識別: SCA メソッドおよびルート依存関係の詳細は、ソフトウェア・プロジェクト内のライブラリーの検出と分析を強化します。依存関係のルートは、脆弱なライブラリーを含む他のライブラリーを開始した元のライブラリーを表します。これにより、ユーザーは脆弱なパッケージの起源を理解できます。完全な依存関係の階層と情報が SBOM レポートに含まれます。

• Kubernetes 用 IAST: AppScan は Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしており、Java、.NET、Node.js アプリケーションをサポートをしています。

• 新しいコンプライアンス レポート と ポリシー:
  • ネットワークおよび情報セキュリティー指令 (NIS2)
  • OWASP Cloud-Native Application Security Top 10
• 自動コメント伝播: 別のアプリケーションの同じ問題から現在のアプリケーションに最新のコメントと問題のステータスを自動的に伝播します。これにより、ステータスとコメントの両方が整合性を保ちながら更新され、すべてのアプリケーションで問題レコードが完全に同期されます。

• 「プラグインと API」ページを「統合」に変更し、AppScan on Cloudで使用可能なさまざまなサードパーティーの統合とカスタマイズをより明確かつ直感的に表現できるようにしました。
• Jira Cloud プラグインと AppScan on Cloud CLI を追加。
• AppScan 自動化フレームワークを削除。

• ソースおよびシンクとして RabbitMQ をサポートします。
• Privacy.DataLeakage タイプの脆弱性をサポートします。これは、パスワードが暗号化されずにデータベースまたは応答に書き込まれた場合に報告されます。
• AppDOS.Flood タイプの脆弱性をサポートします。これは、Vert.x アプリケーションが要求本文に制限を設定していない場合に報告されます。
• ソースが類似している場合に、安全でない Cookie と HTTP のみの Cookie に関する繰り返しレポートをマージします。

• アプリケーションの競合を回避するために、エージェントの依存関係を減らします。

• SAST スキャンは、パブリック GitHub リポジトリーから直接ソース・コードをプルするように設定およびスケジュールできるようになりました。「GitHub リポジトリーをスキャンする」を参照してください。
• SAST の検出結果をトリアージする際、ユーザーは GitHub.com 上で関連するソース・コードを直接確認できます。
• 検出結果をファイル名またはパスでフィルタリングできるようになったため、コードベースの特定の領域に焦点を当てることで、トリアージをより効率的に行うことができます。

• ドメイン検証ウィザードが拡張され、ユーザーはファイルをルート・フォルダーにデプロイした後で接続をテストできるようになりました。30 日以上検証が保留されているドメインは削除されます。ドメインは、検証ファイルがルート・フォルダーで検出されるか、電子メールの検証が確認されるまで、保留状態のままになります。

• 2 つの新しい業界標準レポートが追加されました。
  • OWASP API セキュリティー Top 10 2023
  • CWE 最も危険なソフトウェア脆弱性 Top 25 2023
• 以下のレポートが更新されました。
  • [米国] DISA アプリケーションのセキュリティーと導入 STIG バージョン 5 リリース 3
  • クレジット・カード業界データ・セキュリティー・スタンダード (PCI DSS) バージョン 4。

• このページには、AppScan on Cloud サービスの運用ステータスと定期保守に関するリアルタイムの情報が表示されます。AppScan on Cloud ポータルからアクセスできるようになりました。
• このページには以下の場所からアクセスできます。
  • AppScan on Cloud ポータル内では、各ページの上部にある「サポート」メニューから「AppScan リソース」ページにアクセスできます。「サービス状態」ページへのリンクは、「AppScan リソース」ページの下部にあります。
  • AppScan on Cloud 資料: ステータス・ページへのリンクは、「製品リソース」セクションの「はじめに」ページにあります。
  • URL を直接ブックマークできます。AppScan on Cloud サービス・ステータス・ページ。

• Vertx バージョン 3.x のサポート
• Vertx の API エンドポイント検出

• 依存関係を更新
• ビルド不要でランタイム中に .NET Core エージェントを代替的にデプロイする方法を提供 (ベータ版)

• 「スキャンの作成」ダイアログ・ボックスは、DAST スキャンのワークフローを合理化するように再設計されました。
• 「設定」ページは再設計され、構成が改善されました。ページ設定の変更には確認が必要になりました。
• 「相関グループ」ページは、使いやすさを向上させるために再設計されました。

• Vertx フレームワークを使用するお客様へのサポートの向上
• IAST Total のコンポーネント検出とより正確なスタック・レポートをサポート

• Ubuntu で PHP 8.3をサポート
• サーバー構成ファイルからの環境変数をサポート

静的分析クライアントが 8.0.1561 に更新されました。

• VertX フレームワークのサポートが追加されました。

• .NET 8 のサポートが追加されました。
• .NET での IAST Total のサポートが強化されました。
• 最適化

AppScan Go! では、更新および改善されたユーザー・インターフェースと洗練されたワークフローを使用して、静的、SCA、シークレット・スキャンの構成と実行を手順を追って実行できます。完全なスキャンの実行、後でスキャンするための IRX ファイルの準備、AppScan プラグインを使用してスキャンを自動化するためのファイルの設定を行うことができます。ツール内でアカウント情報を表示することもできます。

このように静的スキャン技術とオープン・ソース・スキャン技術を分離することで、テスト戦略の柔軟性が高まります。SCA を使用してオープン・ソース・ライブラリーのみをスキャンし、SCA 固有の単一スキャン・ビューで問題を処理することも、組織の必要に応じてファイルに対して静的スキャンとオープン・ソース・スキャンの両方を実行することもできます。

DAST ウィザード・テスト・オプションでは、ログイン・ページとログアウト・ページにテストを送信するかどうかを指定できます。

資産グループは、データへのユーザー・アクセスを管理するための便利な手段です。この更新されたユーザー・インターフェースを使用すると、資産グループを簡単に定義および管理できるため、特定のデータを使用して作業するチーム・メンバーをより適切に管理できます。

AppScan on Cloud は、クロスサイト・スクリプティング、インジェクション、検証など、カスケード・スタイル・シートのセキュリティー上の脆弱性を特定します。

Static Analyzer コマンド行ユーティリティー は、WebSphere 環境を利用して WebSphere に含まれる JSP コンパイラーを使用するように設定できます。

AppScan on Cloud によって、HTML ファイル内の PHP コンテンツの検証が改善されました。

AppScan開発チームは定期的に機能とコードをレビューし、最適なスキャン機能を提供するために継続的に微調整や調整を行います。

• ユーザーがプロキシー設定を誤ったときに表示されるメッセージを修正しました。
• IAST ログを更新し、日付と時刻の両方を含めるようにしました。

• アプリケーションの API の完全なリストをレポートする問題には、「その他」の問題タイプの代わりに新しい問題タイプ「検出された API」が使用されます。
• デプロイメント・プロセスの改善: Java バージョン 9 以降では、BC_SB 環境変数の設定は不要になりました。
• Java の追加フレームワーク・サポート: Spring 6。
• OWASP テスト: デモ用のロギングが改善されました。詳しくは、「IAST エージェントでの OWASP ベンチマーク」を参照してください。

• アプリケーションの新しい領域と変更点を特定し、スキャンにフォーカスすることで、DAST の再スキャンを大幅に短縮する増分スキャンをサポートします。

• 更新: 2023 年 9 月 5 日に更新で説明されているように、AppScan Standard Connect で AppScan on Cloud にアップロードされた AppScan 結果にのみ脆弱なコンポーネントの結果が含まれます。現時点では、ASoC の DAST スキャンはこの機能をサポートしていません。

• 単一スキャン・ビュー: 問題の総数と新しい問題に加えて、アクティブな問題を表示するオプションが含まれるようになりました。アクティブな問題とは、ステータスが「新規 (非推奨)」、「オープン」、「進行中」、「再オープン」の問題のことです。また、「重大度別の問題」のグラフが改善されました。
• 最大 3 つの固有の Presence を割り当て、アプリケーションのスキャンをそれらの Presence のみに制限できるようになりました。

秘密をスキャンするには、--enableSecrets および --secretsOnly のオプションを使用します。

• アプリケーションの作成: 新しいクイック設定では、名前と資産グループのみを割り当てることでアプリケーションを作成できます。編集アプリケーションを使用して、後でパラメーターを追加できます。
• 権限を持つユーザーは、「アプリケーションの作成」および「アプリケーションの編集」ダイアログ内から新しい資産グループを作成できるようになりました。

• スキャン設定ウィザードで、スキャンへのさらなるドメインの追加がサポートされるようになりました。
• ダッシュボード: 「最もアクティブな問題があるアプリケーション」グラフが、「よく発生する問題のタイプ」グラフに取って代わりました。
• フォームの自動入力などの新しい設定オプションが追加されたため、ステージングまたは実稼働環境を選択するオプションが削除されました。詳しくは、次を参照してください。 appseccloud_ref_faq.html#FAQ__why

• スキャン API の作成: DAST スレッド数は、最大 20 スレッドをサポートするようになりました。
• オープン・ソース情報が、ファイル・レベルではなくライブラリー・レベルで、統合された正確なデータとともに表示されるようになりました。

• アイコンとロゴが更新されました
• 全般的なバグ修正

• パフォーマンスの改善
• 新しい脆弱性を追加:
  • 機密情報を扱う API には、ロギング – CWE 778 (OWASP トップ 10 2021 リストの A09:2021 – セキュリティー・ロギングとモニタリング) が必要です。log4j を使用するアプリケーションでサポートされます。
  • 正規表現インジェクション (CWE 624)。
• API 検出: 新しい問題により、アプリケーションで検出されたすべての API がレポートされます。Spring アプリケーションでサポートされます。

• バグの修正とパフォーマンスの改善
• .NET コアでの WebSocket のサポート
• 新しい脆弱性タイプ: 「Content-Security-Policy」ヘッダーがありません (CWE 1032)、「Referrer policy」セキュリティー・ヘッダーがありません (CWE 200)
• System.Net.WebClient を使用する顧客向けの基本サポート