最新情報 AppScan on Cloud
最近追加された機能をご確認ください。
Updates: AppScan on Cloud に関するアナウンス (ワークフローに影響を与える可能性がある変更の計画や定期保守の事前通知など) は、AppScan ニュースでご確認いただけます。AppScan ニュースをサブスクライブすると、アナウンスがある場合に通知を受け取ることができます。
Translations: このページの翻訳版をお読みの場合、最新の追加事項が含まれていない可能性があることに注意してください。このページの最新バージョンを確認するには、メニュー・バーの右上にある「言語の変更」オプションを使用して、英語版に切り替えます。
2024 年 09 月 26 日に更新
- 静的分析クライアントが 8.0.1583 に更新されました。
- ソフトウェア・コンポジション分析 (SCA) の NPM パッケージ・ロック・ファイルで構成スキャンをサポート。
2024 年 09 月 19 日に更新
- 静的分析クライアントが 8.0.1582 に更新されました。
- IaC、PHP、Python などのルールを更新しました。
- 全般的なバグ修正。
2024 年 09 月 15 日に更新
- 統合:
- 次のプラグインは廃止され、ASoC 統合ページから削除されます。
- Visual Studio 2012 ~ 2019
- Eclipse
- Bamboo
- GoCD
- UrbanCode
- ASoC 統合ページからの削除日: 2024 年 9 月 15 日
- プラグイン/統合機能終了日: 2024 年 9 月 21 日
- 必要なアクション: 使用可能なプラグインの最新バージョンにアップグレード
- 次のプラグインは廃止され、ASoC 統合ページから削除されます。
- AppScan on Cloud EU ドメインの変更:
- 2024 年 7 月に、AppScan on Cloud EU インスタンスのデフォルト・ドメインが eu.cloud.appscan.com に変更されました。古いドメイン cloud.appscan.com/eu はまもなく廃止されます。そのため、ドキュメントや Web ページにブックマークや埋め込み URL を必ず更新して、中断を回避してください。
2024 年 09 月 10 日に更新
- 静的分析クライアントが 8.0.1580 に更新されました。
- クライアントのみの更新。
- ソフトウェア・コンポジション分析 (SCA) のための .NET および Python の構成ファイル・スキャンのサポートが追加されました。
2024 年 09 月 04 日に更新
2024 年 08 月 22 日に更新
- 新しい IAST Java エージェント (1.17.2)
- ランタイム SCA の問題には、更新された問題タイプを使用します。
- スタックレスの問題のメソッド署名フィールドに URL を表示します。これは、AppScan on Cloud の場所フィールドに表示されます。
- RabbitMQ のサポートが向上しました。
- 新しい問題タイプを使用: PasswordLeakageDB と PasswordLeakageSentData
- 新しい IAST .NET エージェント (1.11.3)
- ランタイム SCA の問題には、更新された問題タイプを使用します。
- スタックレスの問題のメソッド署名フィールドに URL を表示します。これは、AppScan on Cloud の場所フィールドに表示されます。
2024 年 08 月 19 日に更新
2024 年 08 月 06 日に更新
- REST API の更新
- REST API のバージョン 2 は 2024 年 7 月 30 日に廃止されました。サポートは終了し、まもなく削除されます。代わりに REST API V4 を使用してください。更新された API への移行に関するサポートが必要な場合は、「技術概要」を確認してください。
- IAST の更新
- 新しい IAST .NET エージェント (1.11.2)
- ランタイム SCA のサポート。
- スタートアップ・フックを使用した NuGet への代替インストール方法。
- 新しい IAST .NET エージェント (1.11.2)
- 静的分析 (SAST):
- 静的分析クライアントが 8.0.1574 に更新されました。
- Java 21 のサポート。さらに Java 21 は Static Analyzer コマンド行ユーティリティー (
SAClientUtil
) パッケージに含まれています。 - CLI コマンド
queue_analysis
は、静的分析 (SAST) とソフトウェア・コンポジション分析 (SCA) の両方のスキャン ID を表示します。 - オープン・ソースのみのスキャンまたは静的分析のみのスキャンを指定するために、
appscan queue_analysis
コマンドにパラメーター--oso
と--sao
を追加しました。 - .NET トレース検出結果の IFA 2.0が有効になっています。
- シークレット・スキャナーは PowerShell (
.ps1
) ファイルをスキャンします。 - ユーザーが 5000 を超えるアプリケーションを使用している場合に、コマンド・ライン・インターフェースまたは AppScan Go! からのスキャン送信が失敗しなくなりました。
- Angular、ASP、CSS、Dart、Java ソース・コード・スキャナー、JavaScript、JQuery、Objective-C、PHP、Python、シークレット・スキャナー、TerraForm、TypeScript、VueJS のルール更新。
- 全般的なバグ修正。
2024 年 08 月 01 日に更新
- 動的分析 (DAST): 新しいバージョンの HCL AppScan Traffic Recorder (1.5.5055) がリリースされました。
- AppScan on Cloud v4 REST API を使用するように自動更新されました。
- サードパーティーの脆弱性を修正。
2024 年 07 月 28 日に更新
- 静的分析 (SAST):
- 自動修正: 調整された自動修正の推奨事項が GenAI の概要説明とともに AppScan on Cloud ユーザー・インターフェースに表示されるようになりました。以前の自動修正は、CodeSweep IDE プラグインでのみ使用できました。
- GitHub Enterprise 統合による SAST リポジトリー・スキャン: GitHub Enterprise リポジトリーで静的分析スキャンを実行します。
- 動的分析 (DAST):
- ソフトウェア・コンポジション分析 (SCA):
- SCA ランタイム: SCA は、IAST 機能を基盤として、ランタイムにアプリケーションで使用されるオープン・ソース・コンポーネントおよびライブラリーの脆弱性を特定し、管理できます。ランタイム SCA は、潜在的な脆弱性に対するより正確なコンテキストを提供するため、問題の修復と解決の優先順位付けに役立ちます。
- マルウェアの検出: ソフトウェア・コンポジション分析は、マルウェアとして疑われるオープン・ソース・ライブラリーを検出してレポートします。AppScan は、自動分析と人間の専門知識を組み合わせた包括的で高度なアプローチを採用しており、複数のリポジトリーをスキャンし、マルチドメイン分析を実行して総合的なセキュリティー評価を行います。パッケージの更新を継続的に監視し、標的型攻撃の検出とバイナリー解析を行うことで、隠れた脅威を発見できます。GLG のエキスパート・チームが疑わしい検出結果をレビューし、正確な結果を確実にします。
- メソッドおよびルート依存関係の識別: SCA メソッドおよびルート依存関係の詳細は、ソフトウェア・プロジェクト内のライブラリーの検出と分析を強化します。依存関係のルートは、脆弱なライブラリーを含む他のライブラリーを開始した元のライブラリーを表します。これにより、ユーザーは脆弱なパッケージの起源を理解できます。完全な依存関係の階層と情報が SBOM レポートに含まれます。
- インタラクティブ監視 (IAST):
- Kubernetes 用 IAST: AppScan は Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしており、Java、.NET、Node.js アプリケーションをサポートをしています。
- プラットフォームの更新:
- 統合:
- 「プラグインと API」ページを「統合」に変更し、AppScan on Cloudで使用可能なさまざまなサードパーティーの統合とカスタマイズをより明確かつ直感的に表現できるようにしました。
- Jira Cloud プラグインと AppScan on Cloud CLI を追加。
- AppScan 自動化フレームワークを削除。
2024 年 07 月 21 日に更新
- 新しい IAST Java エージェント (1.17.1)
- ソースおよびシンクとして RabbitMQ をサポートします。
- Privacy.DataLeakage タイプの脆弱性をサポートします。これは、パスワードが暗号化されずにデータベースまたは応答に書き込まれた場合に報告されます。
- AppDOS.Flood タイプの脆弱性をサポートします。これは、Vert.x アプリケーションが要求本文に制限を設定していない場合に報告されます。
- ソースが類似している場合に、安全でない Cookie と HTTP のみの Cookie に関する繰り返しレポートをマージします。
- 新しい IAST .NET エージェント (1.11.1)
- アプリケーションの競合を回避するために、エージェントの依存関係を減らします。
2024 年 07 月 10 日に更新
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.6.0 に更新されました。AppScan Standard の修正のリストを参照してください。
2024 年 06 月 20 日に更新
- AppScan Go! がバージョン 2.1.0 に更新されました
- AppScan Go! で URL を使用して SCM リポジトリーをスキャンする機能が追加されました。
- AppScan Go! は、バイトコード/コンパイル済みまたはソース・コードのいずれかのスキャン・モードを自動推奨するようになりました。
- バグの修正
2024 年 05 月 29 日に更新
- 静的分析クライアントが 8.0.1570 に更新されました。
- クライアントのみの更新。
- IRX 暗号化のキー取得の問題を修正しました。
2024 年 05 月 29 日に更新
- 静的分析:
- SAST スキャンは、パブリック GitHub リポジトリーから直接ソース・コードをプルするように設定およびスケジュールできるようになりました。「GitHub リポジトリーをスキャンする」を参照してください。
- SAST の検出結果をトリアージする際、ユーザーは GitHub.com 上で関連するソース・コードを直接確認できます。
- 検出結果をファイル名またはパスでフィルタリングできるようになったため、コードベースの特定の領域に焦点を当てることで、トリアージをより効率的に行うことができます。
- 動的分析:
- ドメイン検証ウィザードが拡張され、ユーザーはファイルをルート・フォルダーにデプロイした後で接続をテストできるようになりました。30 日以上検証が保留されているドメインは削除されます。ドメインは、検証ファイルがルート・フォルダーで検出されるか、電子メールの検証が確認されるまで、保留状態のままになります。
- コンプライアンス・レポートとポリシー:
- 2 つの新しい業界標準レポートが追加されました。
- OWASP API セキュリティー Top 10 2023
- CWE 最も危険なソフトウェア脆弱性の Top 25 2023
- 以下のレポートが更新されました。
- [米国] DISA アプリケーションのセキュリティーと導入 STIG バージョン 5 リリース 3
- クレジット・カード業界データ・セキュリティー・スタンダード (PCI DSS) バージョン 4。
- 2 つの新しい業界標準レポートが追加されました。
- AppScan on Cloud サービス・ステータス・ページ:
- このページには、AppScan on Cloud サービスの運用ステータスと定期保守に関するリアルタイムの情報が表示されます。AppScan on Cloud ポータルからアクセスできるようになりました。
- このページには以下の場所からアクセスできます。
- AppScan on Cloud ポータル内では、各ページの上部にある「サポート」メニューから「AppScan リソース」ページにアクセスできます。「サービス状態」ページへのリンクは、「AppScan リソース」ページの下部にあります。
- AppScan on Cloud 資料: ステータス・ページへのリンクは、「製品リソース」セクションの「はじめに」ページにあります。
- URL を直接ブックマークできます。AppScan on Cloud サービス・ステータス・ページ。
2024 年 05 月 28 日に更新
- 静的分析クライアントが 8.0.1569 に更新されました。
- Makefile/GNUMakefile のサポート。
- ルールの改善。
- 全般的なバグ修正。
2024 年 05 月 16 日に更新
- 新しい IAST Java エージェント (1.16.2)
- Vertx バージョン 3.x のサポート
- Vertx の API エンドポイント検出
- 新しい IAST .NET エージェント (1.10.1)
- 依存関係を更新
- ビルド不要でランタイム中に .NET Core エージェントを代替的にデプロイする方法を提供 (ベータ版)
2024 年 04 月 17 日に更新
- 静的分析クライアントが 8.0.1567 に更新されました。
- ソフトウェア・コンポジション分析 (SCA) が、NPM パッケージからの
package.json
ファイルの構成スキャンをサポートするようになりました。SCA は、スキャンから重要なパッケージ依存関係情報を取得し、プロジェクトの依存関係に関する包括的な洞察をユーザーに提供します。NPM パッケージ・マネージャー・スキャンによって検出されたパッケージの依存関係は、ソフトウェア部品表 (SBOM) レポートにシームレスに統合され、プロジェクトの依存関係をより明確に理解しやすくなります。 - シークレット・スキャナーの改善。
- Java ソース・コード・スキャナーの改善。
- 全般的なバグ修正。
2024 年 04 月 14 日に更新
- ユーザー・エクスペリエンス (UX) の改善:
- 「修正グループ」ページに日付フィルターが追加されました。コンポーネントの問題に関連付けられている日付範囲や時間関連のプロパティーに基づいて修正グループを表示できます。
- 「問題の詳細」ペインに共有オプションが追加されました。リンクまたは問題 ID をコピーして、問題の詳細をテキストまたは電子メールですばやく効率的に共有できます。
2024 年 03 月 27 日に更新
- DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.5.0 に更新されました。AppScan Standard の修正のリストを参照してください。
2024 年 03 月 25 日に更新
- 新しい IAST Java エージェント (1.16.1)
- Vertx フレームワークを使用するお客様へのサポートの向上
- IAST Total のコンポーネント検出とより正確なスタック・レポートをサポート
- 新しい IAST .PHP エージェント (1.0.1)
- Ubuntu で PHP 8.3をサポート
- サーバー構成ファイルからの環境変数をサポート
2024 年 03 月 09 日に更新
-
静的分析クライアントが 8.0.1561 に更新されました。
- 全般的なバグ修正。
2024 年 03 月 08 日に更新
- 静的分析クライアントが 8.0.1560 に更新されました。
- .NET 8 の静的分析サポート
- Go Modules の ソフトウェア・コンポジション分析 (SCA) サポートの改善。
- Java、JavaScript、Python 言語の精度の向上
- 全般的なバグ修正。
2024 年 02 月 21 日に更新
- 新しい IAST Java エージェント (バージョン 1.16.0):
- VertX フレームワークのサポートが追加されました。
- 新しい IAST .NET エージェント (バージョン 1.10.0)
- .NET 8 のサポートが追加されました。
- .NET での IAST Total のサポートが強化されました。
- 最適化
2024 年 02 月 18 日に更新
- REST API の更新: REST API のバージョン 4 が使用可能になりました。更新された API への移行に関するサポートが必要な場合は、「技術概要」を確認してください。
- デフォルト問題ビュー: デフォルトでは、ASoC はアプリケーション・レベルでのみ非準拠の問題を表示します。
- 修正グループのフィルタリング: ASoC は、既存のフィルターに加えて、脆弱性およびポリシーによる修正グループのフィルタリングをサポートしています。追加のフィルタリング機能を使用して、問題を特定し、修正を最適化して迅速な修正を行うことができます。
- 問題のプロパティ・タブ: 「問題の詳細」ペインの新しい「プロパティー」タブには、問題の詳細が拡張されて表示されます。これには、問題が発見された方法や日時、種類、ステータス、重大度、スキャナー、場所、問題 ID があります。
- 問題の自動クローズ: ASoC 再スキャンに表示されない場合は問題が自動クローズされるため、問題を手動で終了する手間が減ります。
- 2K スキャン制限: 組織レベルで自動クリーンアップが有効になっていないと、ASoC は 2k スキャン制限を適用します。
2024 年 02 月 14 日に更新
- AppScan Go! がバージョン 2.0.0 に更新されました
AppScan Go! では、更新および改善されたユーザー・インターフェースと洗練されたワークフローを使用して、静的、SCA、シークレット・スキャンの構成と実行を手順を追って実行できます。完全なスキャンの実行、後でスキャンするための IRX ファイルの準備、AppScan プラグインを使用してスキャンを自動化するためのファイルの設定を行うことができます。ツール内でアカウント情報を表示することもできます。
2024 年 01 月 19 日に更新
- 静的分析クライアントが 8.0.1558 に更新されました。
- 新しい Go Modules の ソフトウェア・コンポジション分析 (SCA) サポート。
- 全般的なバグ修正。
2024 年 01 月 15 日に更新
- ソフトウェア・コンポジション分析 (SCA):
- ソフトウェア部品表 (SBOM) レポート: ソフトウェア部品表 (SBOM) レポートの新しいサポートアプリケーション内のオープン・ソース・ライブラリーの SPDX 業界標準レポートを生成します。
- オープン・ソース・ライブラリー検索: SCA ユーザーは、資産グループを介してアクセスできるアプリケーションで、オープン・ソース・ライブラリーを検索できます。ライブラリーのすべてのインスタンスを検索できるため、ライブラリー関連の問題や懸念を修正する際の速度と信頼性が向上します。
- オープン・ソース・ライブラリーの詳細: ライブラリー検索結果には、アプリケーションで検出されたライブラリーのライセンス詳細が含まれます。詳細には、特定のライブラリーの法的リスクと利点を評価できるライセンス情報が含まれます。
- 静的分析 (SAST):
- ソース・コード・ビュー: 「問題の詳細」ペインには、ローカル・ディレクトリー構造のソース・コードにアクセスする機能、または GitHub でスキャンが作成されている場合は、GitHub リポジトリー内のコードを表示する機能が含まれています。
- C++スキャナー: C++のソース・コードのみをスキャンする機能が改善されました。
- IAST Total による高度な DAST スキャン: IAST Total は、自動設定の強化、スキャンおよび修復プロセスの高速化、検出された脆弱性に関する詳細なコールスタック情報、アプリケーション・バックエンドに関する詳細な洞察を提供します。詳しくは、「IAST Total」を参照してください。
- ユーザー・エクスペリエンス (UX) の改善: