以前の更新 2025

• 静的分析クライアントが 8.0.1677 に更新されました。
• .NET 10 のサポート。
• Dart サポートの一環として、Flutter フレームワークのサポート。
• テクニカルプレビュー: .NET データフロー分析の構成プロセスが簡素化されました
• ルールの更新。
• ICA 2.0: Java および .NET データフローの AI 駆動の精度向上。
  注: このアップデートでは、AI を使用して未知の API をより適切に分類します。Java および .NET プロジェクトでは、エンジンが誤検出を減らし、脆弱性分類を改善するため、スキャン結果の変更が期待されます。

• Azure App Service の統合: Azure .NET 拡張機能としてエージェントの配置を導入し、Azure App Services に完全に統合された簡単なインストールプロセスを提供し、NuGet ベースのインストールを不要にしました。
• 新しい IAST .NET エージェント (1.15.3)
  • Kubernetes 環境で、.NET サービスによる IAST Kubernetes Analyzer の使用を有効にします。
  • バグの修正。
• 新しい IAST .PHP エージェント (1.2.2)
  • その他の修正。

• LLM 拡張アプリケーション用 DAST: AppScan DAST は、機密情報の開示、プロンプトインジェクションなどの重大な脆弱性を特定するために特別に設計されており、攻撃者に悪用される前に、大規模言語モデル (LLM) を動的にテストし、そのリスクからビジネス保護します。詳しくは、ブログを参照してください。
• テンプレート管理: テンプレートをダウンロードし、既存のテンプレートファイルを更新された設定に置き換えるオプション。

• Kubernetes 用 IAST (1.0.10):
  • Helm チャートを使用した代替のインストール方法を導入しました。
  • 名前空間フィルタリングの処理が改善されました。
  • ラベル skip-iast-webhook="true" を追加して、個別のポッドを IAST インストールからスキップする機能。
  • IAST コンテナーの CPU とメモリー割り当てに制限が追加されました。
  • IAST Webhook-server が使用できない場合でも、ポッドが影響を受けなくなりました。
  • ベースイメージを更新しました。
• 相関関係:
  • IAST の調査結果と SAST のカスタムスキャナーの調査結果の相関関係をサポートします。

• ホームページ: 新しい ASoC ホーム ホームページでは、最近のアプリケーションとスキャンの概要が簡単に表示され、最近の作業に簡単にアクセスできます。

• 自動ログインの機能強化: AppScan は、Angular アプリケーションをより確実にクロールし、まれなログイン記録の失敗を修正するとともに、再生失敗後の 2 回目の試行の間に遅延を追加して、全体的な成功率を向上させます。
• マスキングの機能強化: AppScan 全体のマスキング機能が強化され、機密情報をより一貫して保護できます。
• AngularJS フレームワークを使用するシングル・ページ・アプリケーション (SPA) スキャンのサポートが改善されました。
• 新しい、更新されたセキュリティールール。

• AppScan の新しい SCA エンジンには、統合されたマルウェア検出機能が搭載されています。この拡張機能は、オープンソースおよびサードパーティーのコンポーネントを自動的にスキャンして、既知の悪意のあるパッケージまたは侵害されたパッケージを検出し、開発プロセスの初期段階でサプライチェーンの潜在的なリスクを特定して軽減します。

• テンプレート管理: ASoC で DAST テンプレートを管理して、DAST 構成を管理して迅速化します。テンプレートはカスタマイズでき、必要に応じてアセットグループに割り当てることができます。
• アップロードしたテンプレートからのスキャン作成: ASoC にテンプレートをアップロードした後、スキャンを実行する前にその構成を確認および編集できます。

• 新しいコンプライアンスレポート:
  • OWASP Top 10 for LLM Applications 2025
  • [カナダ] IT セキュリティーリスク管理: ライフサイクルアプローチ (ITSG-33)
• 更新されたコンプライアンスレポート:
  • 国際標準化機構規格 - ISO 27001:2022
  • 国際標準化機構規格 - ISO 27002:2022
  • クレジット・カード業界データ・セキュリティー基準 (PCI DSS) - V4.0.1
  • NIST Special Publication 800-53 - 5.2.0
  • [EU] 一般データ保護規則 (GDPR)
  • [米国] 医療保険の携行性と責任に関する法律 (HIPAA)

• カスタムアプリケーション・フィールドは、CSV エクスポートファイルでアプリケーションの詳細と共に使用できるようになり、生成されたセキュリティーレポートに表示されます。

• 新しい プラグインと統合が利用可能になり、統合ページからアクセスできるようになりました。
  • Slack: AppScan on Cloud セキュリティーアラートを受信し、Slack チャンネルで通知をスキャンします。
  • Splunk: AppScan on Cloud Splunk と接続すると、分析とダッシュボードを通じてスキャンデータを一元的に表示できます。
  • カーソル AI: AppScan CodeSweep と統合することで、AI アシストコーディング中の脆弱性を特定し、修正できます。

• 静的分析クライアントが 8.0.1663 に更新されました。
• レポートを生成するときに、ユーザーは、レポートに「目次」および「要約」セクションを含めるかどうかを指定できるようになりました。
• 静的分析では .mjs ファイルをJavaScript サポートの一部としてファイルを処理できるようになりました。
• ルールの更新。

• SAST: これで GitHub リポジトリーとブランチドロップダウンで検索できるようになりました。
• ページ読み込み時間の短縮。
• 階層リンクナビゲーションの精度が向上。
• アクセシビリティをサポートするために、カラーとグラフィックを更新しました。

• 新しい IAST Java エージェント (1.21.1)
  • 互換性とセキュリティーを向上させるために依存関係を更新。
• 新しい IAST .NET エージェント (1.15.2)
  • 依存関係の更新により、結果の精度が向上しました。
• 新しい IAST .PHP エージェント (1.2.1)
  • パフォーマンスの最適化とバグ修正。

• 静的分析クライアントが 8.0.1655 に更新されました。
• ルールの更新。

• スキャンの再開: 一部のシナリオでは、失敗したスキャンまたは部分的に完了したスキャンを再開できるようになりました。この機能は、以前の制限が解決された後にスキャンが停止した場所から続行できるため、時間とリソースを節約することで、スキャンプロセスを強化します。

• オープンソース・ライブラリーの「監査証跡」タブでは、各ライブラリーに関連するすべてのアクションと変更を明確にすることができ、チームが履歴を追跡し、コンプライアンスを維持し、説明責任を改善するのに役立ちます。
• 新しい SCA エンジンでは、EPSS (Exploit Prediction Scoring System) が使用できるようになり、新しいスキャンを実行できます。これにより、実際の悪用の可能性に基づいて脆弱性のよりスマートな優先順位付けが可能になります。SCA 問題の「詳細」ペインには、EPSS スコアとパーセンタイルが表示されます。詳細については、EPSS を参照してください。

• Fix グループインターフェｰスが再設計され、使いやすさが向上しました。新しいインターフェｰスにより、グループ化された問題の理解、解決策の操作、および修正プログラムの効率的な管理が容易になります。

• 静的分析クライアントが 8.0.1653 に更新されました。
• Azure DevOps リポジトリーが切り離されたヘッド状態の場合、Git 情報が誤って収集される可能性がある問題を修正しました。
• ルールの更新。

• 新しい IAST Java エージェント (1.20.2)
  • お客様が.を使用する際のサポートの向上 org.springframework.core.io.UrlResource。
• 新しい IAST .NET エージェント (1.14.3)
  • マイクロサービス用 IAST 分析装置のサポート。
  • IAST のログファイル名とパスは、secagent.log 環境変数を使用して設定できるようになりました。
  • お客様が.を使用する際のサポートの向上 System.Net.WebClient。
• 新しい IAST .PHP エージェント (1.1.4)
  • Magento フレームワークユーザーのパフォーマンス向上とバグ修正。
• Kubernetes 用 IAST (1.0.8)
  • セキュリティー更新

• 静的分析クライアントが 8.0.1651 に更新されました。
• ソフトウェアコンポジション分析 (SCA) による今後の YARN パッケージマネージャーのサポートの基礎。完全なサポートが発表されます。

• 静的分析クライアントが 8.0.1650 に更新されました。
• Maven/Gradle の障害が原因で AppScan Go! で「パス 2」が失敗する問題を修正しました。
• コンソール出力に出力される Failed in IAssemblyInfo call メッセージを明確化しました。
• Linux 上のリポジトリーのルートにあるファイルの Git 相対パスが失敗する問題を修正しました。

• AppScan Go! バージョン 2.3.0 に更新されました。
• 新しいインストール手順により、よりスマートなサービス検出が可能になりました。
• AppScan Go! は、ログイン時に正しいサービス URL を自動的に検出して入力できるようになりました。
• ユーザーは、AppScan Go! 内のスキャン有効化チームによる介入を許可できるようになりました。
• スキャン用に指定されたソフトウェア・コンポジション分析 (SCA) ファイルに絶対パスが表示されなくなりました。
• ユーザー・インターフェースの改善。

今後数週間にわたり、AppScan チームは新しい改良された SCA エンジンを使用するためにアカウントを移行することになります。

• ソフトウェア・コンポジション分析 (SCA) エンジンがバージョン 3 に更新されました。
• よりクリーンで信頼性の高いスキャン結果。

  この新しいエンジンは、すでに強力な検出機能を強化し、ノイズを最小限に抑え、結果の精度を向上させることで、精度をさらに向上させます。

• 拡張された脆弱性データベース。

  既知のリスクをより迅速かつ正確に特定。

• 依存関係グラフ・ビューが使用可能になりました。

  依存関係データがスキャンで使用できる場合は、視覚的なグラフ・ビューが表示されるので、パッケージの関係と影響を簡単に理解できます。

• 拡張構成ファイルのスキャンのサポート。

  C/C++、PHP、および Java 構成ファイル。静的分析クライアント・バージョン 8.0.1646 が必要です。

• 静的分析クライアントが 8.0.1646 に更新されました。
• ローカルで生成された .irx ファイルの Java 並列処理キャッシュの問題を修正します。

• 静的分析クライアントが 8.0.1645 に更新されました。
• ルールの更新。
• Git 検出中の IRGen パフォーマンスの向上。
• 組織の設定を使用して、シークレット・スキャンが正しく有効になりました。

• AppScan For Dev - DAST 問題検証ツール: Python スクリプトをダウンロードして IDE で実行するオプションが追加されました。
• 失敗したスキャンのスキャン・ファイルのダウンロード: スキャンが失敗した場合でもスキャン・ファイルをダウンロードし、AppScan Standard をさらにトラブルシューティングできるようになりました。ファイルは、スキャンが実際に実行を開始した場合にのみダウンロードできます。

• ライブラリー・ビューに「削除済み」ステータスを追加しました: デフォルトでは、ライブラリー・ビューには、アプリケーションから削除されたライブラリーに関する情報は表示されません。フィルターを適用して、除去されたライブラリーを表示できるようになりました。これらのライブラリーは、ステータスが「削除済み」と明確に示されます。

• レポートのカスタマイズの更新
  • レポート・レイアウトを使用して、レポートのカスタム・タイトルを設定します。
  • レポート・タイプは、生成されたレポートに表示されます。

• サブスクリプション・ページの再設計: サブスクリプション・ページが改良され、ユーザー・エクスペリエンスが向上しました。
• 表:
  • 列の選択: 列の選択は、使いやすさを向上させるためにカテゴリー別に整理されています。
  • グリッドからコピー: 任意のテーブル・セルを右クリックすると、その内容を簡単にコピーできます。

• C/C++ スキャンの更新。

• SCA スキャンの詳細には、ライブラリー・ステータスが含まれます。SCA は、ライブラリーが最新のスキャンに存在するかどうか示し、修復の進行状況を追跡するのに役立つようになりました。

• JavaScript スキャナー: 新しいハイブリッド・スキャンにより、taint-flow 分析を含む JavaScript ソースコードをスキャンする際の精度が向上しました。
• ICA 2.0 for Java: HCL の AI/ML 自動セキュリティー記述子である Java 向け Intelligent Code Analytics (ICA) の主な機能強化には、より正確な所見と検出漏れの低減が含まれます。

• マイクロサービス向け IAST アナライザー (Node.js)
  • フル・サービスのグラフ・ビュー: マイクロサービスがどのように相互作用するかを包括的に可視化し、関係をより適切に把握できるようにします。
  • 誤検出の低減: サービス・グラフを活用して脆弱性検出の精度を向上させ、関連性のないアラートの数を減らし、セキュリティー作業により集中します。

• 更新されたコンプライアンス・レポート:
  • [米国] DISA の Application Security and Development STIG。V6R3
  • CWE 上位 25 の最も危険なソフトウェアの脆弱性 2024

• 静的分析クライアントが 8.0.1640 に更新されました。
• ルールの更新。

• AppScan For Dev - DAST 問題検証ツール: このアプローチにより、開発者は、AppScan が IDE またはブラウザー内で直接報告する DAST の脆弱性をシミュレートできます。開発者は AppScan で生成されたスクリプトを実行して、問題の再現、デバッグ、修正の検証を行うことができます。これらはすべて、再スキャンを必要とせず、コードをチェックインする前に実行できます。

• トラフィック・ファイル上の複数ドメイン: 複数のドメインを含むトラフィック・ファイルをアップロードすると、ASoC は自動的にこれらのドメインを「テスト対象のドメイン」リストに追加し、検証済みのものをスキャンに含めるようにマークします。

• IAST for Microservices では、Kubernetes Node.js 環境のサポートが強化され、Kubernetes ポッド内に IAST エージェントを自動的にデプロイするための非侵入型ソリューションが提供されるようになりました。AppScan は、デプロイメント・スクリプトを使用してエージェントの統合を自動化します。この新機能により、多数のコンテナーの管理が容易になり、テスト環境および本番環境で変更なしにオリジナルのアプリケーション・イメージを使用できます。これにより、マイクロサービスの完全な可視化グラフ・ビューが可能になり、開発ライフサイクルの早い段階でセキュリティー問題を特定して対処するのに役立ちます。

• 新しい Centraleyezer プラグインを使用すると、Centraleyzer Vulnerability Management プラットフォーム内で、DAST スキャンと SAST スキャンの両方を含む HCL AppScan on Cloud の脆弱性データをシームレスにインポートおよび管理できます。これにより、セキュリティーの脆弱性を特定、優先順位付け、追跡、および修復できます。
• CMD+CTRL セキュリティーとの統合により、実践的で臨場感あふれる安全なコード・トレーニングを実現します。

• エンジンのバグ修正

• .NET Framework を使用しているお客様に影響するバグを修正しました。

• Red Hat 8 with PHP 8.2 を使用しているお客様のサポートを追加しました。
• Windows でのインストールの問題を修正しました。
• パフォーマンスを向上させ、さまざまな最適化を行いました。
• 全般的なバグ修正。

• セキュリティー・レポートには、問題について関連付けられているリポジトリー URL がリストされます。

• ThreadFix プラグインが削除されました。

• 「組織」の下に「テスト・ポリシー」タブが追加されました。ここで、テスト・ポリシーを管理し、AppScan Standard または AppScan Enterprise で作成したカスタム・ポリシーをアップロードできます。
• 組織の下の「ポリシー」タブは、名前が「コンプライアンス・ポリシー」に変更されました。

• 依存関係の更新
• コンテナー権限の修正
• Windows インストールの修正
• インストール・スクリプトでは、プライベート・レジストリーを使用しているお客様用に、レジストリー名をパラメーターとして取得できます。

• Azure OpenAI 構成では誤検出の削減で精度が向上し、テスト結果が改善されています。

• 当社のプラットフォーム UI で使用可能だった SBOM (ソフトウェア部品表) レポートは、Swagger API からアクセスできるようになりました。

• レポートのカスタマイズ: 会社のロゴを簡単に追加し、カスタム・ヘッダーやフッターを作成することで、ブランド・アイデンティティに合わせてレポートをカスタマイズできます。
• カスタム・ポリシー: 問題を、すでに使用可能なその他のフィルタリング・オプションに加え、テクノロジーに基づいてフィルタリングできるようになりました。

• パフォーマンス改善。
• エージェントが無効になっている場合、ハートビート通信の頻度が AppScan on Cloud に減りました。
• 類似の問題をマージするようにアルゴリズムを強化しました。