之前的更新 2021-2022
列出在 2021 年和 2022 年之间在 AppScan on Cloud 服务的先前更新中添加的功能。
2022 年 12 月 21 日的新增功能
- DAST:发布了 HCL AppScan 流量记录器的新版本 (1.2.5035):更新了第三方依赖关系。
2022 年 12 月 18 日的新增功能
- 新 IAST Java 代理程序(版本 1.12.10300):
- 支持使用 com.fasterxml.jackson 库来跟踪 JSON 的客户感染。
- 支持使用 org.glassfish.jersey 框架跟踪客户感染。
- 内部优化。
2022 年 12 月 13 日的新增功能
- 将静态分析客户机更新到 8.0.1517 版本。
- 可以使用
appscan prepare_sca
和appscan.sh prepare_sca
命令对 Docker 容器和映像运行软件组成分析 (SCA) 扫描。 - 提高了 .NET、Java 和 JavaScript 扫描的准确性。
- 常规错误修复。
2022 年 11 月 28 日的新增功能
- DAST 扫描调度:增加了在每个月每周的同一天调度重复每月扫描的选项。
2022 年 11 月 20 日的新增功能
- DAST 引擎更新:动态分析引擎已更新至 AppScan Standard 版本 10.1.0。请参阅 AppScan Standard 修复列表。
2022 年 11 月 16 日的新增功能
AppScan Go! 已更新到 1.0.1
- 常规错误修复。
2022 年 11 月 13 日的新增功能
- DAST:为 DAST 扫描上载 AppScan Standard LOGIN 文件
- SCA(软件组成分析):添加到了扫描向导中的 SAST,并在应用程序级别添加了 SCA 库视图
2022 年 10 月 31 日的新增功能
- IAST Java 代理程序(版本 1.12.10200):
- 将 Apache commons-text 从 1.9 更新到 1.10.0,以缓解已知 CVE (CVE-2022-42889)。
- 将 Apache httpClient 更新为 apache HttpClient5,以缓解旧 httpClient 中的漏洞。
- 支持使用 org.owasp.encoder.Encode 库跟踪客户感染。
- 改进了对使用 Gson 库跟踪客户感染的支持,包括对 Gson htmlSafe 功能的支持。
- SAST:
- 将静态分析客户机更新到 8.0.1514 版本。
- 提高了 Java 和 Kotlin 扫描程序的准确性。
- 常规错误修复。
2022 年 10 月 25 日的新增功能
- IAST .Net 代理程序 (V1.6.0):
- 性能改进。
- 用于隐藏密码的新配置选项,请参阅此处。
2022 年 10 月 3 日的新增功能
- 将静态分析客户机更新到 8.0.1506 版本。
- 可使用 AppScan Go! 和 CLI 自动发现 Maven 和 Gradle 项目。
- 提高了 JavaScript、NodeJS 和 Kotlin 扫描程序的准确性。
- 改进了 Java 扫描的覆盖范围。
- 常规错误修复。
2022 年 10 月 2 日的新增功能
- 不再支持 AppScan Presence V1
正如之前所宣布,在扫描专用站点时,AppScan Presence V1 现已替换为 2022 年 3 月发布的 AppScan Presence V2。对于专用站点扫描,现在必须安装 Presence V2。请参阅AppScan Presence。
2022 年 9 月 21 日的新增功能
AppScan Go! 已更新到 0.1.10
- 改进了对不同屏幕分辨率的支持
- 面向 Windows 和 Macintosh 系统的 AppScan Go! 自动更新
临时
目录的磁盘空间清理- 改进了错误处理
- 常规错误修复
2022 年 9 月 18 日的新增功能
- DAST:
- 现在支持 TOTP(基于时间的一次性密码)。请参阅 DAST 扫描。
- 单个扫描视图现在包括探索数据计数器(找到的 cookie 数、头数等)。
- SAST/SCA:
- SARIF 格式选项添加到了“导出问题”对话框。
- 单个扫描视图现在包含找到的语言列表,以及(如果预阅包括 SCA)找到的开放式源代码库和许可证的计数器。
- 在插件和 API 页面上添加了社区插件链接。
- 组织设置:数据中心信息添加到了“主要设置”部分。
- 单个修订组页面:安全报告添加到了问题网格。
2020 年 9 月 14 日的新增功能
- HCL AppScan 流量记录器 现在需要安全 (SSL) 连接。如果它一直在使用不安全的连接,在下次使用它时,系统会提示您配置安全连接,然后才可以继续。请参阅流量记录器连接。
2022 年 9 月 13 日的新增功能
2022 年 8 月 16 日的新增功能
- 将静态分析客户机更新到 8.0.1500 版本。
- 在
scan.manifest
中以及执行试运行时报告 Java 软件包和 .NET 名称空间。 - 源代码扫描程序改进可能会改变总体发现结果数。
- 支持 Groovy、JavaScript、PHP 和 Ruby 的其他文件扩展名。
- APAR 修订。
- 常规修复和功能改进。
2022 年 8 月 9 日的新增功能
- DAST 引擎更新:动态分析引擎已更新至 AppScan Standard 版本 10.0.8.28196。请参阅 AppScan Standard 修复列表。
2022 年 7 月 26 日的新增功能
- 对所有列表进行全面过滤:
- 应用程序视图:按风险分级、资产组、业务影响、业务单元、测试状态和最高严重性进行过滤。选择开始日期和结束日期。
- 扫描视图:按技术和状态进行过滤(未更改)。
- 所有问题视图:按严重性、状态、扫描技术、启用策略和问题类型进行过滤。选择开始日期和结束日期。
- 扫描问题视图:按严重性、状态、首次找到、已启用策略进行过滤。选择开始日期和结束日期。
- DAST 和 SAST 扫描:
- “扫描”>“配置”选项卡中的新首选项部分显示为扫描配置的通知电子邮件(发送/不发送)和扫描支持(允许/不允许)设置。
- 利用更新后的重新扫描对话框,可以在重新扫描时更改这两个设置。
- DAST 扫描:利用扫描视图中的新抽取日志图标,可以在单独的窗口中打开 执行日志 ,即使您离开扫描页面,该窗口仍可保持打开状态。
2022 年 7 月 19 日的新增功能
- DAST 引擎更新:动态分析引擎已更新至 AppScan Standard 版本 10.0.8。请参阅 AppScan Standard 修复列表。
请注意,虽然在 AppScan Standard 10.0.8 中支持使用导入的 Postman 集合文件进行自动 API 扫描,但当前不支持将 Postman 集合扫描上载到 ASoC。
2022 年 7 月 5 日的新增功能
2022 年 6 月 28 日的新增功能
- IAST Java 代理程序(版本 1.11.10100):
- 对 JBoss EAP(企业应用程序平台)V6、V7 的支持
- 改进了报告可读性:
- 打印数组/映射内容
- 根据当前用户输入动态生成漏洞利用示例
- 改进了 XSS 算法
2022 年 6 月 13 日的新增功能
- 将静态分析客户机更新到 8.0.1498 版本。
- Java 17 支持,包括在
SAClientUtil
软件包中提供 Java 17。 - 将 Tomcat 7 替换为了 Tomcat 9 以进行
JSP
预编译。 - 源代码扫描程序改进可能会导致总发现结果数发生更改。
- 常规修复和功能改进。
2022 年 6 月 12 日的新增功能
- UI:
- 添加了“OWASP Open API Top 10 2019”策略
- 向扫描卡和单个扫描问题图添加了“严重”严重性
- 报告:
- 向 CSV 报告添加了 SAST 开源解析和描述列
- 向安全性报告添加了“严重”严重性计数器
2022 年 5 月 29 日的新增功能
- 插件和 API:
- 现在,“ASoC 插件和 API”页面上提供了新的 HCL AppScan 流量记录器(先前称为 DAST 代理)。请参阅HCL AppScan 流量记录器。
- 添加了三个新的 JetBrains 插件:CLion、GoLand 和 RubyMine。
- 修复组:现在,每个组在其“问题”表中缺省显示与该组最相关的列。
- 常规错误修复。
2022 年 5 月 15 日的新增功能
- API 更改:DAST 扫描的 FullyAutomatic 标志的缺省值从 false 更改为了 true。对于 SAST 扫描,缺省值仍然为 false。
这意味着从 API 或插件启动的 DAST 扫描将不会发送到扫描支持团队进行审核(请参阅扫描状态:正在审核),除非用户明确将此参数设置为 false。
对于通过 UI 启动的扫描,缺省设置“允许干预”保持不变。
- IAST Java 代理程序(版本 1.10.10101):
- 新的受支持环境:Jetty 服务器、Quarkus(JVM 节点)、Resteasy 框架
- 安全更新:
- 新的漏洞:不安全的反射 (CWE 470)。参考: https://cwe.mitre.org/data/definitions/470.html
- 新的漏洞:开放式重定向 (CWE 601)。参考: https://cwe.mitre.org/data/definitions/601.html
- 改进了注入分析算法的准确性 - 影响 CWE 78:操作系统命令注入
- 在找不到页面时消除潜在的误报 - 影响 CWE 352 (CSRF) 和 523(不受保护的凭证传输)
- 向 CWE 352 (CSRF) 和 CWE 523(不受保护的凭证传输)问题添加了其他信息
2022 年 5 月 8 日的新增功能
- 添加了自动问题关联:通过此新功能,AppScan 可以分析 IAST、DAST 和 SAST 发现的问题,以发现代码中的常见薄弱环节(“关联”),从而确定可以通过一次修复工作解决多个漏洞的位置。了解更多信息...
- 改进了修订组设计。
- 改进了用户注册流程。
- 常规错误修复。
2022 年 5 月 5 日的新增信息
- 现在,JetBrains 插件支持 CodeSweep 功能。有关使用 JetBrains 插件的信息,请参阅 JetBrains Marketplace。
- 现在,JetBrains 插件支持以下其他 IDE:
- CLion
- GoLand
- RubyMine
2022 年 5 月 2 日的新增功能
- 将静态分析客户机更新到 8.0.1495 版本。
- 改进了 JavaScript、C 和 PHP 扫描引擎,以提高发现结果的准确性。
- 缺陷修复。
2022 年 4 月 6 日的新增功能
- IAST:
- 改进了所有漏洞的调用跟踪信息
- 现在,接收器 URL 是主要问题 URL
- API:从 Get Scans API 返回的最大对象数从 200 减少到了 100
- 常规错误修复
2022 年 4 月 1 日的新增功能
- 将静态分析客户机更新到 8.0.1491 版本。
- 仅客户机更新。
- 缺陷修复。
2022 年 3 月 25 日的新增功能
- 将静态分析客户机更新到 8.0.1488 版本。
- 支持扫描 Terraform。
- 改进了 Java、JavaScript 和 PHP 分析。
- 升级到了
Log4j
的最新版本。重要: 静态分析客户机实用程序 (SAClientUtil
) 没有也不易受到最近几个月发现的任何Log4j
问题的影响。
2022 年 3 月 21 日的新增功能
- DAST 引擎更新:动态分析引擎已更新至 AppScan Standard 版本 10.0.7。请参阅 AppScan Standard 修复列表。
2022 年 3 月 13 日的新增功能
- 专用站点扫描的新 AppScan Presence:新的 Presence (V2) 提供了改进的稳定性和性能,以及列出 Presence 访问的所有机构(主机:端口)的日志。了解更多信息...
- 注意:旧版 Presence (V1) 仍受支持,但在 2022 年 10 月 1 日之后将不再受支持。
- 注意:新版 Presence (V2) 不包括 DAST 代理。如果需要 DAST 代理,您可以下载并使用旧版 Presence (V1)。
- CSV 报告:现在,开放式源代码还可以生成为 CSV(除了 HTML 和 PDF 之外)。
2022 年 2 月 20 日的新增功能
- UI:
- 改进了 DAST 扫描的“创建扫描”流程
- 从文件创建 DAST 扫描时添加了“指导探索”和“调度程序”
- 添加了在应用程序级别创建开放式源代码许可证报告的功能
- 添加了向多个问题添加注释的功能
- 报告:
- ASoC 中的 CWE/SANS Top 25 报告 ASREG 替换为了“CWE 2021 年最危险的 25 个软件弱点”
- 向开放式源代码报告摘要添加了库表
- API:
- 添加了向多个问题添加注释的功能
2022 年 2 月 15 日的新增功能
- 将静态分析客户机更新到 8.0.1480 版本。
- 常规修复和功能改进。
2022 年 2 月 2 日的弃用功能
- API:
LastSuccessfulExecution
属性已弃用,将于 2022 年 2 月 13 日除去。请改为使用LatestExecution
。该属性返回最新的执行,即使失败也是如此。
2022 年 1 月 26 日的新增功能
- 将静态分析客户机更新到 8.0.1473 版本。
- 支持仅静态分析扫描。
- 常规修复和功能改进。
2022 年 1 月 25 日的新增功能
- 扫描调度程序:
- 选择已调度的扫描将在一周中的哪几天运行
- 向现有扫描添加调度
- 从已调度的扫描中除去调度
- 现在,重复结束日期(调度运行扫描的截止日期)显示在扫描条目中
- 现在,在扫描执行中发现的新问题显示在扫描条目和过滤后问题视图中
- 随时从页面标题轻松更改用户界面语言
- 从登录页面标题切换数据中心
2022 年 1 月 2 日的新增功能
IAST 监控,Java 代理程序(版本 1.9.10200):
- 改进的性能
- 支持 Java 17
- 支持在环境中通过 Java 属性(https.proxyHost/https.proxyPort 或 http.proxyHost/http.proxyPort)设置的代理与 ASE 通信
- 新的安全性功能:
- JaxB 类 (CWE 661) 上的 XXE。本 OWASP XXE 文档中提到了这个可能存在漏洞的类: https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#jaxb-unmarshaller
- JSON XSS 参考问题(CWE 79),作为 JSON 写入响应的易受攻击数据的 XSS 变体
2021 年 12 月 28 日的新增功能
- UI:
- 扫描卡已重新设计,现在包含指向扫描中每个严重性级别的问题的链接。
- Rider 插件已添加到“插件和 API”页面。
- 报告:“OWASP Top 10 2021”已添加到报告和策略。
- API:
- 添加了从发布 DAST 扫描 API 定义“重复结束日期”的功能。
- 添加了对查看应用程序中首次发现的问题的支持。
- 语言属性已添加到新的 SAST 问题。
- 常规错误修复。
2021 年 12 月 17 日的新增功能
- DAST:添加了新安全规则以测试 Log4j 漏洞。
2021 年 12 月 15 日的新增功能
- 将静态分析客户机更新到 8.0.1472 版本。
- 支持扫描 RPG。
- 支持包括和排除 .NET 名称空间以进行扫描。
- 支持在 appscan-config.xml 中指定 Java 并行处理高速缓存位置。
- 扩展了 .NET 5/6 分析。
- 常规修复和功能改进。
2021 年 11 月 23 日的新增功能
- UI:
- 调度扫描:现在,您可以调度 DAST 扫描以稍后运行,以及是否重复(创建扫描 > 调度步骤)。您可以编辑已配置的调度(扫描操作菜单 > 编辑调度)。新图标指示扫描的“已调度”和“重复”状态。
- IAST:添加了更新 IAST 代理程序配置的功能。
- 自动注销:现在,如果 30 分钟内没有活动,那么用户会注销。
- 现在,可合并业务单元(仅限管理员:组织 > 设置)。
- 单个扫描视图:现在,可单击列,从而在“问题”选项卡中显示已过滤的列表。
- API:
- 支持扫描调度(具有其他设置)。
- 支持合并两个业务单元,并能够对组织中允许的业务单元数添加限制。
2021 年 11 月 16 日的新增功能
- DAST 引擎更新:动态分析引擎已更新至 AppScan Standard 版本 10.0.6。请参阅 AppScan Standard 修复列表。
2021 年 10 月 24 日的新增功能
- UI:
- 仅限管理员:添加了新“设置”视图(组织 > 设置)以创建和管理业务单元。
- IAST:删除代理程序时,用户界面现在为您提供了两个选项:仅删除代理程序配置,或删除代理程序配置以及代理程序发现的问题。
- 添加了新扫描状态:“正在初始化”(在扫描实际启动之前)。
- API:如果再次发现 SAST 和 IAST 问题,设置为“已修复”的问题将不会重新打开。
2021 年 10 月 18 日的新增功能
IAST 监控:
- Java 代理程序(版本 1.9.10100):
- 内存消耗(阈值)过高时暂停执行
- 新配置文件参数,用于指定要监控的应用程序的名称
- 内存和 GC 调试标志
- 减少了内存消耗
- 新的安全性功能:
- 改进了 CSRF 规则(减少 FP)
- 增加了“不安全登录”规则的覆盖范围
- 已修复:Spring 上的 XSS 错误
- .NET 代理程序(版本 1.3.1):
- 内存消耗(阈值)过高时暂停执行
- 根据头/cookie 名称过滤报告的问题
- 性能改进
- 有关 IAST 问题的“问题信息”选项卡:
- 新增“其它信息”部分
- 包含漏洞利用示例以说明更多问题
- 新的安全性功能:
- 路径遍历算法
- 增加了“不安全登录”规则的覆盖范围
- 已修复:将问题发送至 ASoC/ASE 时的错误
- Node.js 代理程序(版本 1.2.1):
- 内存消耗(阈值)过高时暂停执行
- 根据头/cookie 名称过滤报告的问题
- 有关 IAST 问题的“问题信息”选项卡:
- 新增“其它信息”部分
- 包含漏洞利用示例以说明更多问题
- 新的安全性功能:
- 路径遍历算法
- 增加了“不安全登录”规则的覆盖范围
- 已修复:处理通信 EPIPE 错误
2021 年 10 月 12 日的新增功能
AppScan Go! 已更新到 V0.1.8,包括以下增强功能:
- 新的打开页面设计。
- 仅源代码扫描支持。
- 能够为仅开放式源代码扫描生成 appscan-config.xml。
- 在 appscan-config.xml 文件中合并目标和排除项。
- 能够在启动时禁用 AppScan Go! 的自动更新。
- 能够手动更新 AppScan Go!。
- 已刷新排除文件和已澄清错误消息的逻辑。
- 常规修复和改进。
2021 年 10 月 10 日的新增功能
- 单个扫描视图:添加了“管理执行”选项按钮
- DAST:现在,创建扫描时,您可以选择扫描是完全自动进行还是由扫描支持团队根据需要提供帮助
- SAST:对于 DAST 扫描,添加了单个扫描视图
- IAST:
- 会话现在显示在“扫描”视图中
- 可创建扫描报告
- 现在,如果手动停止了 IAST 会话,那么即使代理程序断开连接,也可以从用户界面重新启动它,并且监控将在代理程序连接时自动开始。以前,这仅能通过 API 实现。
2021 年 9 月 30 日的新增功能
2021 年 9 月 12 日的新增功能
- DAST 扫描:现在,您可以为单次扫描上载多个 DAST.CONFIG 文件(请参阅根据指导进行探索)。
2021 年 8 月 4 日的新增功能
- 静态分析客户机已更新到 V8.0.1448。
- 常规修复和功能改进。
2021 年 8 月 2 日的新增功能
- DAST 扫描:
- 新建单个扫描页面:
- 提供有关扫描的详细数据,其中包含下列三个选项卡:“概述”、“问题”、“配置”,以及扫描日志窗格(请参阅 单个扫描视图 )。
- 显示正在运行的扫描的实时状态。
- 现在可在运行扫描时查看扫描日志。
- 适用于扫描支持团队中启用程序所处理的扫描的新指示器,以便复审它们的配置。
- 扫描向导添加:
- 选择可执行自动探索,或根据指导进行探索(请参阅 关于动态分析 (DAST) 和 根据指导进行探索 )。
- 上传手动探索或多步骤文件
- 配置请求速率限制。
- API:
- 创建含多个文件的扫描。
- 在“自动探索”和“根据指导进行探索”之间选择。
- 已添加自动超时
- 现在,将在扫描结果中包含新应用程序问题的数目。
- 新建单个扫描页面:
- IAST 监控,Java 代理程序(版本 1.8.10110):
- 现在支持上传 CONFIG 文件。
- 现在,监控操作将反映您对本地服务器上的 CONFIG 文件所做的更改。
- 有关 IAST 问题的“问题信息”选项卡:
- 新增额外信息部分。
- 包含漏洞利用示例以说明更多问题。
- 安全性规则更新:
- 路径遍历高级算法
- 反序列化 - Xtream 和 xmlDecode
- 在 escapeHtml 上减少 FP
- Wildfly服务器的修订和内存改进。
- “导出”图标:允许您导出应用程序、扫描、单个应用程序扫描、修订组、修订组问题、单个扫描问题、用户和资产组。
- 现在,所有用户都可以看到域列表。
2021 年 7 月 13 日的新增功能
- DAST 引擎更新:动态分析引擎已更新至 AppScan Standard 版本 10.0.5。请参阅 AppScan Standard 修复列表。
2021 年 6 月 29 日的新增功能
- 静态分析客户机已更新到 V8.0.1445。
- 支持使用仅源代码选项扫描 C++。
- 支持扫描 Objective-C++。
- 新增用于在命令行界面 (CLI) 中生成报告的 get_report 命令。
2021 年 6 月 23 日的新增功能
- UI:
- 添加了新的“询问专家”功能
- 导出到 CSV/JSON 已添加到应用程序和问题页面
- 创建扫描:已添加超时和线程数配置
- 已将修订组标识 {“Group ID”) 添加到问题面板
- IAST:添加到问题面板的其他信息
- 现在可以在会话之间保存列配置和过滤器
- 样本应用程序 CSV:已移除描述和标签列
- 新插件:Github
- API:
- 添加了向 ScanExecution 添加注释的功能
- DAST 配置:添加了配置线程数和通信超时的功能
- 常规错误修复
2021 年 5 月 27 日的新增功能
- IAST 扫描:
- 除了 Java 和 .NET 之外,现在还支持 Node.js 代理程序(版本 1.1.0)
- .NET 代理程序(版本 1.2.2):
- 现在支持 .NET 4.6.2
- 库更新
- 支持通过环境变量和 Web.config 文件设置主机和令牌
- Java 代理程序(版本 1.8.10000:
- 性能改进
- 支持 32 位 JRE 环境
- 支持更多 Java 环境以实现自动连接
- 检测 Spring 清理的新规则(减少 Spring FP)
- 将 env var 名称更改为 IAST_HOST 和 IAST_ACCESS_TOKEN
- 报告 attCookieNotSecureSSL 而不是 SessionManagement.Cookies
- 简化的报告
- 缺陷修复
2021 年 5 月 26 日的新增功能
2021 年 5 月 23 日的新增功能
- 资产组:全新设计及将用户添加为组的联系人的功能
- IAST:添加了 JavaScript 代理程序
- 报告:DISA 报告已升级至版本 5,发行版 1
2021 年 5 月 11 日的新增功能
- DAST 自动化更新:
- 各种 Java 库已更新为较新版本
- 代理服务器现在支持 TLS 连接
- 现在可以使用端口范围而不是特定端口(将使用该范围内的最低可用端口)启动记录代理
- 现在可以在 Settings.json 中设置代理服务器的端口
- 修复了将 JKS 证书导入代理服务器的错误
2021 年 4 月 28 日的新增功能
- 静态分析客户机已更新到 V8.0.1433。
- 常规修复和功能改进。
- APAR 修订。
- 对 Java 并行处理的改进。
2021 年 4 月 27 日的新增功能
- UI:
- 从“选择组织”对话框接受加入组织的邀请
- 已添加密码套件信息以发布详细信息
- 报告:已添加密码套件信息
- API:
- 扫描标识已添加到 ScanExecution 模型
- CSV 格式的导出数据
- 对新用户的邀请现在的有效期为 30 天。
2021 年 4 月 12 日的新增功能
- UI:现在可以使用 CSV 文件导入应用程序。
- 报告:
- IAST:已添加附加信息表。
- 添加到安全报告的 CSV 格式的修订组表。
2021 年 4 月 7 日的新增功能
- 静态分析客户机已更新到 V8.0.1431。
- 针对 C#、ASP.NET 和 C 的仅源代码扫描全新且速度更快。
- Windows 和 Linux 的
queue_analysis
CLI 命令的附加功能。此参数可选:- 在分析完成时启用或禁用电子邮件通知。
- 将扫描作为个人扫描运行。
- AppScan Go! 现在在 Mac 上受支持。
2021 年 3 月 21 日的新增功能
- 改进和更新后的用户界面包括以下更改:
- 采用新排序和若干新菜单项的可折叠菜单栏。
- 使用痕迹导航在所有视图间导航。
- 应用程序页面:创建应用程序向导流程已更新。
- 单个应用程序页面:新的仪表板为您提供了应用程序状态的图形概述,包括风险分级和合规性状态、扫描状态、按严重性划分的问题、发现的最常见问题类型等。
- 策略:
- “改进的策略”页面现在显示策略列表以及与每个策略相关联的应用程序,而不是相反。
- 现在有许多新的预定义策略可用于与您的应用程序相关联。
- 基线策略现在直接从应用程序页面设置,而不是从“策略”页面设置。
- 创建扫描向导:改进了流程,并且对于 DAST 扫描,现在有了单独的路径,用于通过上传的文件创建扫描。
- 现在,在新的“摘要”页面上设置了电子邮件和个人扫描首选项。
- 选择要在表格中显示的列、调整宽度和更改列顺序。
- 只需向其他授权用户发送特定页面的链接(标识),即可与他们共享页面。
- 问题:改进的内容和功能
- 许多问题的新增和更新内容。
- 如何修复:咨询和修复建议部分已合并为“如何修复”综合选项卡。
- 对于许多问题,可以使用针对特定代码语言的定制“如何修复”内容。
- 只需向其他授权用户发送应用程序中特定问题的链接(标识),即可与他们共享问题。
- 报告包含新的“如何修复”内容。
- API:您现在可以上传您自己的配置以进行 IAST 监控。
2021 年 3 月 4 日的新增功能
- 除 Linux 和 Windows 版本外,现在还提供适用于 Mac 的 AppScan Go! V0.1.7。
2021 年 2 月 22 日的新增功能
- DAST 引擎更新:动态分析引擎已更新至 AppScan Standard 版本 10.0.4。请参阅 AppScan Standard 修复列表。
2021 年 2 月 21 日的新增功能
- API:现在可以使用 API(除了 UI 之外)下载 IAST 代理程序(带密钥或不带密钥)。
2021 年 2 月 3 日的新增功能
- 静态分析客户机已更新到 V8.0.1422。
- 常规修复和功能改进。
- 改进了 Java 应用程序的并行处理功能的性能和内存利用率。
2021 年 1 月 31 日的新增功能
- UI:已更新应用程序的“风险评级”计算:
- 现在,缺省情况下,新应用程序的业务影响将指定为“中”,但之前缺省值为“未定义”的现有应用程序不会发生更改。“未定义”仍可以手动分配给应用程序。
- 如果应用程序包含已完成的扫描,即使没有任何活动问题,风险分级现在也设置为“低”(先前设置为“未知”)。
- API 和 UI:扫描文件现在下载速度更快。
2021 年 1 月 26 日的新增功能
- IAST:
- 支持 Tomcat 10
- 改进的感染跟踪
- 修订了操作系统命令检测规则