最新情報 AppScan on Cloud

• 静的分析クライアントが 8.0.1650 に更新されました。
• Maven/Gradle の障害が原因で AppScan Go! で「パス 2」が失敗する問題を修正しました。
• コンソール出力に出力される Failed in IAssemblyInfo call メッセージを明確化しました。
• Linux 上のリポジトリーのルートにあるファイルの Git 相対パスが失敗する問題を修正しました。

• AppScan Go! バージョン 2.3.0 に更新されました。
• 新しいインストール手順により、よりスマートなサービス検出が可能になりました。
• AppScan Go! は、ログイン時に正しいサービス URL を自動的に検出して入力できるようになりました。
• ユーザーは、AppScan Go! 内のスキャン有効化チームによる介入を許可できるようになりました。
• スキャン用に指定されたソフトウェア・コンポジション分析 (SCA) ファイルに絶対パスが表示されなくなりました。
• ユーザー・インターフェースの改善。

今後数週間にわたり、AppScan チームは新しい改良された SCA エンジンを使用するためにアカウントを移行することになります。

• ソフトウェア・コンポジション分析 (SCA) エンジンがバージョン 3 に更新されました。
• よりクリーンで信頼性の高いスキャン結果。

  この新しいエンジンは、すでに強力な検出機能を強化し、ノイズを最小限に抑え、結果の精度を向上させることで、精度をさらに向上させます。

• 拡張された脆弱性データベース。

  既知のリスクをより迅速かつ正確に特定。

• 依存関係グラフ・ビューが使用可能になりました。

  依存関係データがスキャンで使用できる場合は、視覚的なグラフ・ビューが表示されるので、パッケージの関係と影響を簡単に理解できます。

• 拡張構成ファイルのスキャンのサポート。

  C/C++、PHP、および Java 構成ファイル。静的分析クライアント・バージョン 8.0.1646 が必要です。

• 静的分析クライアントが 8.0.1646 に更新されました。
• ローカルで生成された .irx ファイルの Java 並列処理キャッシュの問題を修正します。

• 静的分析クライアントが 8.0.1645 に更新されました。
• ルールの更新。
• Git 検出中の IRGen パフォーマンスの向上。
• 組織の設定を使用して、シークレット・スキャンが正しく有効になりました。

• AppScan For Dev - DAST 問題検証ツール: Python スクリプトをダウンロードして IDE で実行するオプションが追加されました。
• 失敗したスキャンのスキャン・ファイルのダウンロード: スキャンが失敗した場合でもスキャン・ファイルをダウンロードし、AppScan Standard をさらにトラブルシューティングできるようになりました。ファイルは、スキャンが実際に実行を開始した場合にのみダウンロードできます。

• ライブラリー・ビューに「削除済み」ステータスを追加しました: デフォルトでは、ライブラリー・ビューには、アプリケーションから削除されたライブラリーに関する情報は表示されません。フィルターを適用して、除去されたライブラリーを表示できるようになりました。これらのライブラリーは、ステータスが「削除済み」と明確に示されます。

• レポートのカスタマイズの更新
  • レポート・レイアウトを使用して、レポートのカスタム・タイトルを設定します。
  • レポート・タイプは、生成されたレポートに表示されます。

• サブスクリプション・ページの再設計: サブスクリプション・ページが改良され、ユーザー・エクスペリエンスが向上しました。
• 表:
  • 列の選択: 列の選択は、使いやすさを向上させるためにカテゴリー別に整理されています。
  • グリッドからコピー: 任意のテーブル・セルを右クリックすると、その内容を簡単にコピーできます。

• C/C++ スキャンの更新。

• SCA スキャンの詳細には、ライブラリー・ステータスが含まれます。SCA は、ライブラリーが最新のスキャンに存在するかどうか示し、修復の進行状況を追跡するのに役立つようになりました。

• JavaScript スキャナー: 新しいハイブリッド・スキャンにより、taint-flow 分析を含む JavaScript ソースコードをスキャンする際の精度が向上しました。
• ICA 2.0 for Java: HCL の AI/ML 自動セキュリティー記述子である Java 向け Intelligent Code Analytics (ICA) の主な機能強化には、より正確な所見と検出漏れの低減が含まれます。

• マイクロサービス向け IAST アナライザー (Node.js)
  • フル・サービスのグラフ・ビュー: マイクロサービスがどのように相互作用するかを包括的に可視化し、関係をより適切に把握できるようにします。
  • 誤検出の低減: サービス・グラフを活用して脆弱性検出の精度を向上させ、関連性のないアラートの数を減らし、セキュリティー作業により集中します。

• 更新されたコンプライアンス・レポート:
  • [米国] DISA の Application Security and Development STIG。V6R3
  • CWE 上位 25 の最も危険なソフトウェアの脆弱性 2024

• 静的分析クライアントが 8.0.1640 に更新されました。
• ルールの更新。

• AppScan For Dev - DAST 問題検証ツール: このアプローチにより、開発者は、AppScan が IDE またはブラウザー内で直接報告する DAST の脆弱性をシミュレートできます。開発者は AppScan で生成されたスクリプトを実行して、問題の再現、デバッグ、修正の検証を行うことができます。これらはすべて、再スキャンを必要とせず、コードをチェックインする前に実行できます。

• トラフィック・ファイル上の複数ドメイン: 複数のドメインを含むトラフィック・ファイルをアップロードすると、ASoC は自動的にこれらのドメインを「テスト対象のドメイン」リストに追加し、検証済みのものをスキャンに含めるようにマークします。

• IAST for Microservices では、Kubernetes Node.js 環境のサポートが強化され、Kubernetes ポッド内に IAST エージェントを自動的にデプロイするための非侵入型ソリューションが提供されるようになりました。AppScan は、デプロイメント・スクリプトを使用してエージェントの統合を自動化します。この新機能により、多数のコンテナーの管理が容易になり、テスト環境および本番環境で変更なしにオリジナルのアプリケーション・イメージを使用できます。これにより、マイクロサービスの完全な可視化グラフ・ビューが可能になり、開発ライフサイクルの早い段階でセキュリティー問題を特定して対処するのに役立ちます。

• 新しい Centraleyezer プラグインを使用すると、Centraleyzer Vulnerability Management プラットフォーム内で、DAST スキャンと SAST スキャンの両方を含む HCL AppScan on Cloud の脆弱性データをシームレスにインポートおよび管理できます。これにより、セキュリティーの脆弱性を特定、優先順位付け、追跡、および修復できます。
• CMD+CTRL セキュリティーとの統合により、実践的で臨場感あふれる安全なコード・トレーニングを実現します。

• エンジンのバグ修正

• .NET Framework を使用しているお客様に影響するバグを修正しました。

• Red Hat 8 with PHP 8.2 を使用しているお客様のサポートを追加しました。
• Windows でのインストールの問題を修正しました。
• パフォーマンスを向上させ、さまざまな最適化を行いました。
• 全般的なバグ修正。

• セキュリティー・レポートには、問題について関連付けられているリポジトリー URL がリストされます。

• 「組織」の下に「テスト・ポリシー」タブが追加されました。ここで、テスト・ポリシーを管理し、AppScan Standard または AppScan Enterprise で作成したカスタム・ポリシーをアップロードできます。
• 組織の下の「ポリシー」タブは、名前が「コンプライアンス・ポリシー」に変更されました。

• 依存関係の更新
• コンテナー権限の修正
• Windows インストールの修正
• インストール・スクリプトでは、プライベート・レジストリーを使用しているお客様用に、レジストリー名をパラメーターとして取得できます。

• Azure OpenAI 構成では誤検出の削減で精度が向上し、テスト結果が改善されています。

• 当社のプラットフォーム UI で使用可能だった SBOM (ソフトウェア部品表) レポートは、Swagger API からアクセスできるようになりました。

• レポートのカスタマイズ: 会社のロゴを簡単に追加し、カスタム・ヘッダーやフッターを作成することで、ブランド・アイデンティティに合わせてレポートをカスタマイズできます。
• カスタム・ポリシー: 問題を、すでに使用可能なその他のフィルタリング・オプションに加え、テクノロジーに基づいてフィルタリングできるようになりました。

• パフォーマンス改善。
• エージェントが無効になっている場合、ハートビート通信の頻度が AppScan on Cloud に減りました。
• 類似の問題をマージするようにアルゴリズムを強化しました。