最新情報 AppScan on Cloud

最近追加された機能をご確認ください。

Updates: AppScan on Cloud に関するアナウンス (ワークフローに影響を与える可能性がある変更の計画や定期保守の事前通知など) は、AppScan ニュースでご確認いただけます。AppScan ニュースをサブスクライブすると、アナウンスがある場合に通知を受け取ることができます。
Translations: このページの翻訳版をお読みの場合、最新の追加事項が含まれていない可能性があることに注意してください。このページの最新バージョンを確認するには、メニュー・バーの右上にある「言語の変更」オプションを使用して、英語版に切り替えます。

2024 年 09 月 26 日に更新

2024 年 09 月 19 日に更新

  • 静的分析クライアントが 8.0.1582 に更新されました。
  • IaC、PHP、Python などのルールを更新しました。
  • 全般的なバグ修正。

2024 年 09 月 15 日に更新

  • 統合:
    • 次のプラグインは廃止され、ASoC 統合ページから削除されます。
      • Visual Studio 2012 ~ 2019
      • Eclipse
      • Bamboo
      • GoCD
      • UrbanCode
    • ASoC 統合ページからの削除日: 2024 年 9 月 15 日
    • プラグイン/統合機能終了日: 2024 年 9 月 21 日
    • 必要なアクション: 使用可能なプラグインの最新バージョンにアップグレード
  • AppScan on Cloud EU ドメインの変更:
    • 2024 年 7 月に、AppScan on Cloud EU インスタンスのデフォルト・ドメインが eu.cloud.appscan.com に変更されました。古いドメイン cloud.appscan.com/eu はまもなく廃止されます。そのため、ドキュメントや Web ページにブックマークや埋め込み URL を必ず更新して、中断を回避してください。

2024 年 09 月 10 日に更新

2024 年 09 月 04 日に更新

  • 静的分析クライアントが 8.0.1577 に更新されました。
  • PHP、JavaScript、Ruby、C/C++などのルールを更新
  • eSQL のサポート。
  • 全般的なバグ修正。

2024 年 08 月 22 日に更新

  • 新しい IAST Java エージェント (1.17.2)
    • ランタイム SCA の問題には、更新された問題タイプを使用します。
    • スタックレスの問題のメソッド署名フィールドに URL を表示します。これは、AppScan on Cloud の場所フィールドに表示されます。
    • RabbitMQ のサポートが向上しました。
    • 新しい問題タイプを使用: PasswordLeakageDB と PasswordLeakageSentData
  • 新しい IAST .NET エージェント (1.11.3)
    • ランタイム SCA の問題には、更新された問題タイプを使用します。
    • スタックレスの問題のメソッド署名フィールドに URL を表示します。これは、AppScan on Cloud の場所フィールドに表示されます。

2024 年 08 月 19 日に更新

  • ダッシュボードの再設計: 新しいダッシュボードでは、アプリケーションに関する深いインサイトにより問題を特定できます。わかりやすいチャートとグラフを使用してリアルタイム分析を表示し、重要な指標を追跡します。
  • 「問題の詳細」タブのリポジトリー・リンク: 「問題の詳細」タブの「場所」フィールドには、ソース・コード・リポジトリー内の指定されたファイルと行へのリンクがあります (該当する場合)。したがってタブを切り替えることなく、関連するコードに直接アクセスできます。

2024 年 08 月 06 日に更新

  • REST API の更新
    • REST API のバージョン 2 は 2024 年 7 月 30 日に廃止されました。サポートは終了し、まもなく削除されます。代わりに REST API V4 を使用してください。更新された API への移行に関するサポートが必要な場合は、「技術概要」を確認してください。
  • IAST の更新
    • 新しい IAST .NET エージェント (1.11.2)
      • ランタイム SCA のサポート。
      • スタートアップ・フックを使用した NuGet への代替インストール方法。
  • 静的分析 (SAST):
    • 静的分析クライアントが 8.0.1574 に更新されました。
    • Java 21 のサポート。さらに Java 21 は Static Analyzer コマンド行ユーティリティー (SAClientUtil) パッケージに含まれています。
    • CLI コマンド queue_analysis は、静的分析 (SAST) とソフトウェア・コンポジション分析 (SCA) の両方のスキャン ID を表示します。
    • オープン・ソースのみのスキャンまたは静的分析のみのスキャンを指定するために、appscan queue_analysis コマンドにパラメーター --oso--sao を追加しました。
    • .NET トレース検出結果の IFA 2.0が有効になっています。
    • シークレット・スキャナーは PowerShell (.ps1) ファイルをスキャンします。
    • ユーザーが 5000 を超えるアプリケーションを使用している場合に、コマンド・ライン・インターフェースまたは AppScan Go! からのスキャン送信が失敗しなくなりました。
    • Angular、ASP、CSS、Dart、Java ソース・コード・スキャナー、JavaScript、JQuery、Objective-C、PHP、Python、シークレット・スキャナー、TerraForm、TypeScript、VueJS のルール更新
    • 全般的なバグ修正。

2024 年 08 月 01 日に更新

  • 動的分析 (DAST): 新しいバージョンの HCL AppScan Traffic Recorder (1.5.5055) がリリースされました。
    • AppScan on Cloud v4 REST API を使用するように自動更新されました。
    • サードパーティーの脆弱性を修正。

2024 年 07 月 28 日に更新

  • 静的分析 (SAST):
  • 動的分析 (DAST):
    • ドメイン管理: 組織内のドメインを管理します。これには、異なる資産グループへの権限、ドメインの承認などが含まれますが、それらを検証する必要はありません。この機能は、シルバー、ゴールド、プラチナ、アプリケーションごとのサブスクリプションで使用可能になりました。ドメイン検証からドメイン管理への移行については、サポート・チームにお問い合わせください。
  • ソフトウェア・コンポジション分析 (SCA):
    • SCA ランタイム: SCA は、IAST 機能を基盤として、ランタイムにアプリケーションで使用されるオープン・ソース・コンポーネントおよびライブラリーの脆弱性を特定し、管理できます。ランタイム SCA は、潜在的な脆弱性に対するより正確なコンテキストを提供するため、問題の修復と解決の優先順位付けに役立ちます。
    • マルウェアの検出: ソフトウェア・コンポジション分析は、マルウェアとして疑われるオープン・ソース・ライブラリーを検出してレポートします。AppScan は、自動分析と人間の専門知識を組み合わせた包括的で高度なアプローチを採用しており、複数のリポジトリーをスキャンし、マルチドメイン分析を実行して総合的なセキュリティー評価を行います。パッケージの更新を継続的に監視し、標的型攻撃の検出とバイナリー解析を行うことで、隠れた脅威を発見できます。GLG のエキスパート・チームが疑わしい検出結果をレビューし、正確な結果を確実にします。
    • メソッドおよびルート依存関係の識別: SCA メソッドおよびルート依存関係の詳細は、ソフトウェア・プロジェクト内のライブラリーの検出と分析を強化します。依存関係のルートは、脆弱なライブラリーを含む他のライブラリーを開始した元のライブラリーを表します。これにより、ユーザーは脆弱なパッケージの起源を理解できます。完全な依存関係の階層と情報が SBOM レポートに含まれます。
  • インタラクティブ監視 (IAST):
  • プラットフォームの更新:
    • 新しいコンプライアンス レポートポリシー:
      • ネットワークおよび情報セキュリティー指令 (NIS2)
      • OWASP Cloud-Native Application Security Top 10
    • 自動コメント伝播: 別のアプリケーションの同じ問題から現在のアプリケーションに最新のコメントと問題のステータスを自動的に伝播します。これにより、ステータスとコメントの両方が整合性を保ちながら更新され、すべてのアプリケーションで問題レコードが完全に同期されます。
  • 統合:
    • 「プラグインと API」ページを「統合」に変更し、AppScan on Cloudで使用可能なさまざまなサードパーティーの統合とカスタマイズをより明確かつ直感的に表現できるようにしました。
    • Jira Cloud プラグインと AppScan on Cloud CLI を追加。
    • AppScan 自動化フレームワークを削除。

2024 年 07 月 21 日に更新

  • 新しい IAST Java エージェント (1.17.1)
    • ソースおよびシンクとして RabbitMQ をサポートします。
    • Privacy.DataLeakage タイプの脆弱性をサポートします。これは、パスワードが暗号化されずにデータベースまたは応答に書き込まれた場合に報告されます。
    • AppDOS.Flood タイプの脆弱性をサポートします。これは、Vert.x アプリケーションが要求本文に制限を設定していない場合に報告されます。
    • ソースが類似している場合に、安全でない Cookie と HTTP のみの Cookie に関する繰り返しレポートをマージします。
  • 新しい IAST .NET エージェント (1.11.1)
    • アプリケーションの競合を回避するために、エージェントの依存関係を減らします。

2024 年 07 月 10 日に更新

  • DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.6.0 に更新されました。AppScan Standard の修正のリストを参照してください。

2024 年 06 月 20 日に更新

  • AppScan Go! がバージョン 2.1.0 に更新されました
  • AppScan Go! で URL を使用して SCM リポジトリーをスキャンする機能が追加されました。
  • AppScan Go! は、バイトコード/コンパイル済みまたはソース・コードのいずれかのスキャン・モードを自動推奨するようになりました。
  • バグの修正

2024 年 05 月 29 日に更新

  • 静的分析クライアントが 8.0.1570 に更新されました。
  • クライアントのみの更新。
  • IRX 暗号化のキー取得の問題を修正しました。

2024 年 05 月 29 日に更新

  • 静的分析:
    • SAST スキャンは、パブリック GitHub リポジトリーから直接ソース・コードをプルするように設定およびスケジュールできるようになりました。「GitHub リポジトリーをスキャンする」を参照してください。
    • SAST の検出結果をトリアージする際、ユーザーは GitHub.com 上で関連するソース・コードを直接確認できます。
    • 検出結果をファイル名またはパスでフィルタリングできるようになったため、コードベースの特定の領域に焦点を当てることで、トリアージをより効率的に行うことができます。
  • 動的分析:
    • ドメイン検証ウィザードが拡張され、ユーザーはファイルをルート・フォルダーにデプロイした後で接続をテストできるようになりました。30 日以上検証が保留されているドメインは削除されます。ドメインは、検証ファイルがルート・フォルダーで検出されるか、電子メールの検証が確認されるまで、保留状態のままになります。
  • コンプライアンス・レポートとポリシー:
    • 2 つの新しい業界標準レポートが追加されました。
      • OWASP API セキュリティー Top 10 2023
      • CWE 最も危険なソフトウェア脆弱性の Top 25 2023
    • 以下のレポートが更新されました。
      • [米国] DISA アプリケーションのセキュリティーと導入 STIG バージョン 5 リリース 3
      • クレジット・カード業界データ・セキュリティー・スタンダード (PCI DSS) バージョン 4。
  • AppScan on Cloud サービス・ステータス・ページ:
    • このページには、AppScan on Cloud サービスの運用ステータスと定期保守に関するリアルタイムの情報が表示されます。AppScan on Cloud ポータルからアクセスできるようになりました。
    • このページには以下の場所からアクセスできます。
      • AppScan on Cloud ポータル内では、各ページの上部にある「サポート」メニューから「AppScan リソース」ページにアクセスできます。「サービス状態」ページへのリンクは、「AppScan リソース」ページの下部にあります。
      • AppScan on Cloud 資料: ステータス・ページへのリンクは、「製品リソース」セクションの「はじめに」ページにあります。
      • URL を直接ブックマークできます。AppScan on Cloud サービス・ステータス・ページ。

2024 年 05 月 28 日に更新

  • 静的分析クライアントが 8.0.1569 に更新されました。
  • Makefile/GNUMakefile のサポート。
  • ルールの改善。
  • 全般的なバグ修正。

2024 年 05 月 16 日に更新

  • 新しい IAST Java エージェント (1.16.2)
    • Vertx バージョン 3.x のサポート
    • Vertx の API エンドポイント検出
  • 新しい IAST .NET エージェント (1.10.1)
    • 依存関係を更新
    • ビルド不要でランタイム中に .NET Core エージェントを代替的にデプロイする方法を提供 (ベータ版)

2024 年 04 月 17 日に更新

  • 静的分析クライアントが 8.0.1567 に更新されました。
  • ソフトウェア・コンポジション分析 (SCA) が、NPM パッケージからの package.json ファイルの構成スキャンをサポートするようになりました。
    SCA は、スキャンから重要なパッケージ依存関係情報を取得し、プロジェクトの依存関係に関する包括的な洞察をユーザーに提供します。NPM パッケージ・マネージャー・スキャンによって検出されたパッケージの依存関係は、ソフトウェア部品表 (SBOM) レポートにシームレスに統合され、プロジェクトの依存関係をより明確に理解しやすくなります。
    注: 構成スキャン中に検出された問題は、他の設定スキャンからの統合結果のみです。構成スキャンを無効にするには、appscan prepare とともに -nc フラグを使用します。
  • シークレット・スキャナーの改善。
  • Java ソース・コード・スキャナーの改善。
  • 全般的なバグ修正。

2024 年 04 月 14 日に更新

  • ユーザー・エクスペリエンス (UX) の改善:
    • 「スキャンの作成」ダイアログ・ボックスは、DAST スキャンのワークフローを合理化するように再設計されました。
    • 「設定」ページは再設計され、構成が改善されました。ページ設定の変更には確認が必要になりました。
    • 「相関グループ」ページは、使いやすさを向上させるために再設計されました。
  • 「修正グループ」ページに日付フィルターが追加されました。コンポーネントの問題に関連付けられている日付範囲や時間関連のプロパティーに基づいて修正グループを表示できます。
  • 「問題の詳細」ペインに共有オプションが追加されました。リンクまたは問題 ID をコピーして、問題の詳細をテキストまたは電子メールですばやく効率的に共有できます。

2024 年 03 月 27 日に更新

  • DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.5.0 に更新されました。AppScan Standard の修正のリストを参照してください。

2024 年 03 月 25 日に更新

  • 新しい IAST Java エージェント (1.16.1)
  • 新しい IAST .PHP エージェント (1.0.1)
    • Ubuntu で PHP 8.3をサポート
    • サーバー構成ファイルからの環境変数をサポート

2024 年 03 月 09 日に更新

  • 静的分析クライアントが 8.0.1561 に更新されました。

  • 全般的なバグ修正。

2024 年 03 月 08 日に更新

2024 年 02 月 21 日に更新

  • 新しい IAST Java エージェント (バージョン 1.16.0):
    • VertX フレームワークのサポートが追加されました。
  • 新しい IAST .NET エージェント (バージョン 1.10.0)
    • .NET 8 のサポートが追加されました。
    • .NET での IAST Total のサポートが強化されました。
    • 最適化

2024 年 02 月 18 日に更新

  • REST API の更新: REST API のバージョン 4 が使用可能になりました。更新された API への移行に関するサポートが必要な場合は、「技術概要」を確認してください。
  • デフォルト問題ビュー: デフォルトでは、ASoC はアプリケーション・レベルでのみ非準拠の問題を表示します。
  • 修正グループのフィルタリング: ASoC は、既存のフィルターに加えて、脆弱性およびポリシーによる修正グループのフィルタリングをサポートしています。追加のフィルタリング機能を使用して、問題を特定し、修正を最適化して迅速な修正を行うことができます。
  • 問題のプロパティ・タブ: 「問題の詳細」ペインの新しい「プロパティー」タブには、問題の詳細が拡張されて表示されます。これには、問題が発見された方法や日時、種類、ステータス、重大度、スキャナー、場所、問題 ID があります。
  • 問題の自動クローズ: ASoC 再スキャンに表示されない場合は問題が自動クローズされるため、問題を手動で終了する手間が減ります。
  • 2K スキャン制限: 組織レベルで自動クリーンアップが有効になっていないと、ASoC は 2k スキャン制限を適用します。

2024 年 02 月 14 日に更新

  • AppScan Go! がバージョン 2.0.0 に更新されました

    AppScan Go! では、更新および改善されたユーザー・インターフェースと洗練されたワークフローを使用して、静的SCAシークレット・スキャンの構成と実行を手順を追って実行できます。完全なスキャンの実行、後でスキャンするための IRX ファイルの準備、AppScan プラグインを使用してスキャンを自動化するためのファイルの設定を行うことができます。ツール内でアカウント情報を表示することもできます。

2024 年 01 月 19 日に更新

2024 年 01 月 15 日に更新

  • ソフトウェア・コンポジション分析 (SCA):
    • ソフトウェア部品表 (SBOM) レポート: ソフトウェア部品表 (SBOM) レポートの新しいサポートアプリケーション内のオープン・ソース・ライブラリーの SPDX 業界標準レポートを生成します。
    • オープン・ソース・ライブラリー検索: SCA ユーザーは、資産グループを介してアクセスできるアプリケーションで、オープン・ソース・ライブラリーを検索できます。ライブラリーのすべてのインスタンスを検索できるため、ライブラリー関連の問題や懸念を修正する際の速度と信頼性が向上します。
    • オープン・ソース・ライブラリーの詳細: ライブラリー検索結果には、アプリケーションで検出されたライブラリーのライセンス詳細が含まれます。詳細には、特定のライブラリーの法的リスクと利点を評価できるライセンス情報が含まれます。
  • 静的分析 (SAST):
    • ソース・コード・ビュー: 「問題の詳細」ペインには、ローカル・ディレクトリー構造のソース・コードにアクセスする機能、または GitHub でスキャンが作成されている場合は、GitHub リポジトリー内のコードを表示する機能が含まれています。
    • C++スキャナー: C++ソース・コードのみをスキャンする機能が改善されました。
  • IAST Total による高度な DAST スキャン: IAST Total は、自動設定の強化、スキャンおよび修復プロセスの高速化、検出された脆弱性に関する詳細なコールスタック情報、アプリケーション・バックエンドに関する詳細な洞察を提供します。詳しくは、「IAST Total」を参照してください。
  • ユーザー・エクスペリエンス (UX) の改善:
    • 資産グループ: 新しい 資産グループ削除フローで、資産グループの削除プロセスが簡素化されます。資産グループの削除権限 (管理者やマネージャーなどのデフォルト・ロール、カスタム・ロール) を持つユーザーは、スキャンや検出結果などの関連アプリケーションとともに資産グループを削除できるため、不要なアプリケーションを簡単に削除できます。メンバーの有無にかかわらず、アプリケーションを別の資産グループに移動することもできます。
    • 修正グループ: 修正グループのセキュリティー・レポートにコメント・フィールドが追加され、メモやコメントの追加と追跡が容易になりました。

以前の更新 2023

以前の更新 2021-2022

以前の更新 2019-2020

以前の更新 2016-2018