之前的更新 2023-2024

• 改进报告并避免报告类似问题

• 对 .NET 9 的支持
• 支持 RabbitMQ
• 新问题类型 PasswordLeakageDB (CWE 256) 和 PasswordLeakageSentData (CWE 201)

• 使用 Curl 与 ASoC 而不是内置客户端进行通信（需要在运行 IAST 的计算机上安装 Curl）
• 支持在 Ubuntu 24 上安装代理程序
• 新的漏洞：未经验证的重定向 (CWE 601)
• 新的漏洞：HTTP 响应的密码泄露 (CWE 256)

• 当代理程序处于禁用状态时，将心跳通信频率降低到 ASoC。

• 集成库和漏洞数据：开源库和许可证信息可在问题信息窗格上的“新库”选项卡上进行查看，提供开源组件对应用程序的影响的完整视图，并且可以更好地管理安全风险和合规性要求。

• 预定义的测试策略：现在，您可以选择预定义的测试策略，该策略将仅运行对您重要的相关测试并缩短扫描时间。有关更多信息，请参阅测试策略。
• 排除项/例外项：配置 DAST 扫描以忽略特定的应用程序路径，并向排除路径中添加例外项（包括），这有助于进行集中扫描并加快扫描速度。有关更多信息，请参阅排除路径。
• 上传扫描文件时支持重新测试和继续测试，并在上传模板文件时增加了更清晰的测试选项。

• 仪表板更新：更新了仪表板过滤器，包括按应用程序过滤仪表板的功能。

• ASoC 集成页面已修改为包括所有可用集成的综合列表。

• 在 Ubuntu 上支持 PHP 7.4
• 支持与 AppScan Enterprise 的通信
• 支持不安全的 cookie 漏洞（CWE 614、1004）
• 支持密码泄露到数据库和响应漏洞（CWE 201、256）
• 提高不同环境中的稳定性
• 修复 Apache 上的安装
• 缺陷修复

• 修复 Linux 上的安装
• 仅支持在指定的命名空间上安装代理程序

• 如果启用了问题自动关闭功能，并且在重新扫描时找不到开源库，则该库将被视为其他扫描问题并从扫描结果中删除。
• 运行时 SCA 更新。

• API 测试：使用我们全新的本机 API 扫描工作流程来无缝保护您的 API，并确保在开发过程早期检测到并修复漏洞。此版本支持使用 Postman 和手动记录的 API 扫描工作流程。期待在将来的更新中为附加 API 扫描工作流提供无缝支持。
• 易受攻击的第三方组件检测：此新功能可通过识别最常用的客户端和服务器端技术并报告其漏洞来增强现有的 DAST 功能。

• 仪表板更新：向仪表板中添加了扫描、技术和 SCA 卡。借助这些改进，您可以按技术查看扫描或应用程序，并查看 SCA 应用程序中的前五个许可证。
• 深色主题：现在，您可以在 AppScan on Cloud 中切换到深色主题。
• 应用程序创建更新：缺省的“业务影响”设置为“中等”，并添加到快速应用程序设置中，而不是添加到 Presence 中。
• 问题的严重性/状态：您可以在问题详细信息视图中更新问题严重性或单个问题的状态。
• 删除状态“新”：现已从 ASoC 中完全删除先前弃用的问题状态“新”。
• 现在，应用程序名称的长度最多为 120 个字符。

• 适用于 Visual Studio 2022 的 HCL AppScan Visual Studio 扩展件
  • 在 HCL AppScan on Cloud 上，支持从 Visual Studio 2022 IDE 中创建 SAST 和 SCA 扫描。
  • 支持 IDE 中的“扫描配置”选项。您还可以通过 Visual Studio IDE 中新的“我的扫描”选项卡来查看有关已启动扫描的信息。
• HCL AppScan Jenkins 插件
  • 支持在以下对象中重新扫描 SAST 和进行 SCA 扫描： HCL AppScan on Cloud
• HCL AppScan Azure 插件
  • 支持在 HCL AppScan on Cloud 中重新扫描 SAST 和进行 SCA 扫描。

• 对运行时 SCA 问题使用更新的问题类型。
• 在无堆栈问题的方法签名字段显示 URL，以显示在 AppScan on Cloud 中的位置字段。
• 改进了对 RabbitMQ 的支持。
• 使用新的问题类型：PasswordLeakageDB 和 PasswordLeakageSentData。

• 对运行时 SCA 问题使用更新的问题类型。
• 在无堆栈问题的方法签名字段显示 URL，以显示在 AppScan on Cloud 中的位置字段。

• REST API 第 2 版已于 2024 年 7 月 30 日弃用，不再享受支持并且即将被删除。请改用 REST API V4。查看技术概述获取关于迁移到新版 API 的帮助。

• 新 IAST .NET 代理程序 (1.11.2)
  • 支持运行时 SCA。
  • 使用启动挂钩的 NuGet 替代安装方法。

• 将静态分析客户机更新到 8.0.1574 版本。
• 支持 Java 21.此外，Java 21 还包含在 Static Analyzer Command Line Utility (SAClientUtil) 包中。
• CLI 命令 queue_analysis 显示静态分析 (SAST) 和软件组成分析 (SCA) 的扫描标识。
• 向 appscan queue_analysis 命令添加了参数 --oso 和 --sao，以指定仅开源扫描或仅静态分析扫描。
• 启用了 IFA 2.0，可获取 .NET 跟踪结果。
• 密钥扫描程序扫描 PowerShell (.ps1) 文件。
• 当用户拥有超过 5000 个应用程序时，从命令行界面或 AppScan Go! 提交扫描不再失败。
• Angular、ASP、CSS、Dart、Java 源代码扫描程序、JavaScript、JQuery、Objective-C、PHP、Python、密钥扫描程序、TerraForm、TypeScript 和 VueJS 的规则更新。
• 常规错误修复。

• 更新了自动更新功能，以使用 AppScan on Cloud v4 REST API。
• 修复了第三方漏洞。

• 自动修复：现在，AppScan on Cloud 用户界面提供精选的自动修复建议，并附带 GenAI 总结的解释。自动修复功能以前仅在 CodeSweep IDE 插件中可用。
• 用于 SAST 存储库扫描的 GitHub Enterprise 集成：对 GitHub Enterprise 存储库运行静态分析扫描。

• 域管理：管理组织内的域，包括不同资产组的权限，以及无需验证的域授权。此功能现在适用于银级、金级、白金级订阅和按应用程序订阅。要从域验证迁移到域管理，请联系支持团队寻求帮助。

• SCA 运行时：基于 IAST 功能，SCA 可以识别和管理应用程序在运行时使用的开源组件和库中的漏洞。运行时 SCA 针对潜在漏洞提供更准确的上下文，从而帮助确定补救和解决问题的优先级。
• 恶意软件检测：软件组成分析可检测并报告疑似恶意软件的开源库。AppScan 采用全面、先进的方法，将自动化分析与人工专业知识相结合，扫描多个存储库并执行多域分析，以进行整体安全性评估。我们对软件包更新的持续监控，加上有针对性的攻击检测和二进制分析，有助于发现隐藏的威胁。我们的专家团队会检查可疑发现，确保结果准确无误。
• 方法和根依赖识别：SCA 方法和根依赖详细信息增强了对软件项目中库的检测和分析。依赖根代表启动了纳入其他库（导致纳入了易受攻击的库）的原始库，从而帮助用户了解易受攻击的包的来源。完整的依赖关系层次结构和信息包含在 SBOM 报告中。

• Kubernetes 的 IAST：AppScan 支持在 Kubernetes 集群上自动安装 IAST 代理程序，提供对 Java、.Net 和 Node.js 应用程序的支持。

• 新的合规性报告和政策：
  • 网络与信息安全指令 (NIS2)
  • OWASP 云原生应用程序安全性前 10 名
• 自动传播注释：自动将另一个应用程序中相同问题的最新注释和问题状态传播到当前应用程序。这可确保持续更新状态和注释，从而在所有应用程序中提供完整且同步的问题记录。

• 将插件和 API 页面重命名为集成，更清晰、更直观地展示 AppScan on Cloud 中提供的各种第三方集成和定制功能。
• 添加了 Jira Cloud 插件和 AppScan on Cloud CLI。
• 删除了 AppScan 自动化框架。

• 支持 RabbitMQ 作为源和接收器。
• 支持 Privacy.DataLeakage 类型的漏洞，当密码未经加密写入数据库或响应时报告此类漏洞。
• 支持 AppDOS.Flood 类型的漏洞，当 Vert.x 应用程序未对请求主体设置限制时报告此类漏洞。
• 当来源相似时，合并关于不安全和仅 HTTP Cookie 的重复报告。

• 减少代理程序依赖关系，以避免应用程序冲突。

• SAST 扫描可以配置和计划，以便直接从公共 GitHub 存储库中提取源代码。请参阅扫描 GitHub 存储库。
• 对 SAST 结果进行分类时，用户可以直接在 GitHub.com 上查看相关源代码。
• 现在可以按文件名或路径过滤结果，通过关注代码库的特定区域，使分类更有效。

• 域验证向导已得到增强，允许用户在将文件放入根文件夹后测试连接。等待验证超过 30 天的域将被删除。在根文件夹中检测到验证文件或确认电子邮件验证之前，域仍处于待处理状态。

• 增加了两份新的行业标准报告：
  • 2023 年 OWASP 十大 API 安全风险
  • 2023 年 CWE 最危险的 25 个软件漏洞
• 更新了下列报告：
  • [美国] DISA 应用程序安全和开发 STIG V5 R3。
  • 支付卡行业数据安全标准 (PCI DSS) - V4

• 此页面提供有关 AppScan on Cloud 服务和计划维护运行状态的实时信息。现在可从 AppScan on Cloud 门户访问。
• 您可以从以下位置访问此页面：
  • 在 AppScan on Cloud 门户中，可以在每个页面顶部的“支持”菜单下访问 AppScan 资源页面。“AppScan 资源”页面底部有一个指向服务状态页面的链接。
  • AppScan on Cloud 文档：“产品资源”部分下的入门指南页面中包含指向状态页面的链接。
  • 您可以直接为 URL 添加书签：AppScan on Cloud 服务状态页面。

• 支持 Vertx V3.x。
• 适用于 Vertx 的 API 端点发现。

• 更新依赖关系
• 运行时间期间的 .NET 核心代理程序的备用部署，无需构建 (Beta)。

• “创建扫描”对话框经过重新设计，简化了 DAST 扫描的工作流程。
• 设置页面经过重新设计，改进了组织结构，现在需要确认对页面设置的更改。
• 关联组页面经过重新设计，更易于使用。

• 改进了对使用 Vertx 框架的客户的支持。
• 支持 IAST 总数的组件发现和更准确的堆栈报告。

• 在 Ubuntu 上支持 PHP 8.3。
• 支持服务器配置文件中的环境变量。

将静态分析客户机更新到 8.0.1561 版本。

• 增加了对 VertX 框架的支持。

• 添加了对 NET 8 的支持。
• 在 .NET 上增强了对 IAST 总数的支持。
• 优化。

AppScan Go! 凭借更新和改进的用户界面和优化的工作流程，引导您配置和运行静态、SCA 或密钥扫描。您可以运行完整扫描，准备 IRX 文件以便以后扫描，或者配置文件，以便使用 AppScan 插件自动执行扫描。您也可以在工具中查看帐户信息。

利用这种静态和开源扫描技术的分离，可以更加灵活地测试策略。您只能使用 SCA 扫描开源库，并在特定于 SCA 的单一扫描视图中处理问题，或者根据组织需求对文件运行静态和开源扫描。

利用 DAST 向导测试选项，可指定是否将测试发送到登录和注销页面。

资产组是管理用户的数据访问权的有用方法。通过此更新的用户界面，您可以轻松定义和管理资产组，从而更好地管理哪些团队成员可使用特定数据。

AppScan on Cloud 可识别级联样式表中的安全漏洞，包括跨站点脚本编写、注入和验证。

可以将 Static Analyzer Command Line Utility 配置为利用 WebSphere 环境使用 WebSphere 附带的 JSP 编译器。

AppScan on Cloud 改进了 HTML 文件中 PHP 内容的验证。

AppScan 开发团队会定期审查功能和代码，持续进行微调和调整，以提供最佳的扫描功能。

• 更正了当用户设置的代理设置不正确时显示的消息。
• 更新了 IAST 日志，以包括日期和时间。

• “检测到的API”，对于报告应用程序 API 完整列表的问题，将使用新的问题类型，而不是“其他”问题类型。
• 改进的部署过程：在 Java V9 和更高版本中不再需要设置 BC_SB 环境变量。
• Java 的其他框架支持：Spring 6。
• OWASP 测试：改进的日志记录功能，用于演示目的。有关更多信息，请参阅使用 IAST 代理程序的 OWASP Benchmark。

• 支持增量扫描，通过标识应用程序中的新区域和更改并将扫描集中到这些区域，显著缩短了 DAST 重新扫描时间。

• 更新：如 2023 年 9 月 5 日的新增功能所述，仅通过 AppScan Standard Connect 上载至 AppScan on Cloud 的 AppScan 结果将包括易受攻击的组件结果。目前，ASoC 上的 DAST 扫描不支持此功能。

• 单个扫描视图：现在，除了“问题总数”和“新问题”之外，还包括显示“活动问题”的选项。活动问题是状态为“新（已弃用）”、“未解决”、“进行中”或“已重新打开”的问题。此外，对“按严重性列出的问题”图表进行了改进。
• 现在，您可以分配最多三个唯一 Presence，并将应用程序的扫描仅限于这些 Presence。

使用 --enableSecrets 和 --secretsOnly 选项扫描密钥。

• 创建应用程序：新的快速设置让您只能通过指定名称和资产组来创建应用程序。您可以在以后使用“编辑应用程序”添加其他参数。
• 具有许可权的用户现在可以从“创建应用程序”和“编辑应用程序”对话框中创建新的资产组。

• 扫描配置向导现在支持向扫描添加其他域。
• 仪表板：“具有最多活动问题的应用程序”图表取代了“常见问题类型”图表。
• 由于添加了新的配置选项（如自动表单填充），因此删除了选择暂存或生产环境的选项。有关详细信息，请参阅 appseccloud_ref_faq.html#FAQ__why

• 创建扫描 API：DAST 线程数现在支持多达 20 个线程。
• 现在，开源信息将在库级别而非文件级别显示，其中包含更多合并数据和准确的数据。

• 更新了图标和徽标
• 常规错误修复

• 性能改进
• 新增了新漏洞：
  • 敏感 API 需要日志记录– CWE 778（OWASP top10 2021 列表中的 A09:2021 – 安全性日志记录和监控）。支持使用 log4j 的应用程序。
  • 正则表达式注入 (CWE 624)。
• API 检测：新问题报告了在应用程序中检测到的所有 API。支持 Spring 应用程序。

• 缺陷修复和性能改进
• 在 .NET Core 中支持 WebSockets
• 新漏洞类型：缺少“Content-Security-Policy”标头 (CWE 1032)，缺少“Referrer policy”安全性标头 (CWE 200)
• 为使用 System.Net.WebClient 的客户提供基本支持