之前的更新 2023

列出 2023 年在 AppScan on Cloud 服务的更新版本中添加的功能。

2023 年 12 月 13 日的新增功能

  • 将静态分析客户机更新到 8.0.1556 版本。
  • 我们的 AI/ML 自动筛选技术(即 Java 智能结果分析 (IFA))的主要增强功能包括更精确的结果和更少的假阳性。由于改进了分析和优先级划分,用户可能会在之前扫描的代码中注意到其他结果。
  • Static Analyzer Command Line Utility (SAClientUtil) 支持针对 SCA 和 SAST 更新的不同工作流程。SAClientUtil 通过 appscan queue_analysis 命令启动两个扫描:一个静态分析扫描和一个 SCA 扫描,以获取开源结果。因此,静态分析和 SCA 扫描将分开。
  • 自动发现 Git 存储库。新问题的文件路径与存储库根相关。
  • 增加了 RPG 语言的覆盖范围。
  • 常规错误修复。

2023 年 12 月 4 日的新增功能

2023 年 12 月 3 日的新增功能

  • IAST 现在支持 PHP:
    • 除了 Java、Node.js 和 .NET 之外,还支持 PHP 代理程序(版本 1.0.0)。
  • 用户体验 (UX) 改进:
    • “问题详细信息”窗格上的“源代码”选项卡:在 AppScan on Cloud 界面中查看与问题关联的源代码,以加快补救。
    • 资产组:新界面简化了创建资产组的流程,并确保设置缺省联系人。无法清除缺省联系人,但可以修改。
    • 修复组:利用修复组界面中的附加功能,可更可靠地过滤和管理分类到修复组中的问题。
  • 新增合规性报告:南非个人信息保护法 (PoPIA),2013。
  • 更新的合规性报告:
    • 美国联邦风险与授权管理计划 (FedRAMP),修订版 5。
    • 美国国防信息系统局应用程序安全和开发安全技术实施指南,V5R2
    • 美国联邦信息安全现代化法案 (FISMA),2014。
  • AWS 集成已添加到插件和 API 页面:
    • 利用 AWS CodeBuild 和 CodePipeline 插件,可通过 AppScan on Cloud 轻松执行动态应用程序安全测试 (DAST) 扫描,确保无缝集成到 DevOps 周期中。

2023 年 11 月 1 日的新增功能

  • 新 IAST Java 代理程序(版本 1.15.1):
    • 指定代理程序代理以访问 ASoC 的新方法:
      • 环境变量:IAST_PROXY_HOSTIAST_PROXY_PORT
      • 定制 Java 属性:Iast.proxyHostIast.proxyPort

      除了通过标准 Java 属性 https.proxyHosthttps.proxyPort 定义代理的现有方法之外,还可以使用此方法。

2023 年 10 月 29 日的新增功能

  • 软件组成分析 (SCA) 和静态分析现在是 AppScan on Cloud 内部的独特工作流程。

    利用这种静态和开源扫描技术的分离,可以更加灵活地测试策略。您只能使用 SCA 扫描开源库,并在特定于 SCA 的单一扫描视图中处理问题,或者根据组织需求对文件运行静态和开源扫描。

  • 作为动态分析的一部分,将测试发送到登录和注销页面

    利用 DAST 向导测试选项,可指定是否将测试发送到登录和注销页面。

  • 更新了用于创建和管理资产组的用户界面。

    资产组是管理用户的数据访问权的有用方法。通过此更新的用户界面,您可以轻松定义和管理资产组,从而更好地管理哪些团队成员可使用特定数据。

2023 年 10 月 16 日的新增功能

  • 将静态分析客户机更新到 8.0.1546 版本。
  • 支持扫描级联样式表(CSS 文件)

    AppScan on Cloud 可识别级联样式表中的安全漏洞,包括跨站点脚本编写、注入和验证。

  • IBM WebSphere Application Server 9.x 的支持

    可以将 Static Analyzer Command Line Utility 配置为利用 WebSphere 环境使用 WebSphere 附带的 JSP 编译器。

  • 提高了 PHP 扫描的准确性。

    AppScan on Cloud 改进了 HTML 文件中 PHP 内容的验证。

  • 常规修复。

    AppScan 开发团队会定期审查功能和代码,持续进行微调和调整,以提供最佳的扫描功能。

2023 年 9 月 28 日的新增功能

  • 新 IAST Java 代理程序(版本 1.14.3):
    • 更正了当用户设置的代理设置不正确时显示的消息。
    • 更新了 IAST 日志,以包括日期和时间。
  • 先前发布的 IAST Java 代理程序(版本 1.14.2):
    • “检测到的API”,对于报告应用程序 API 完整列表的问题,将使用新的问题类型,而不是“其他”问题类型。
    • 改进的部署过程:在 Java V9 和更高版本中不再需要设置 BC_SB 环境变量。
    • Java 的其他框架支持:Spring 6。
    • OWASP 测试:改进的日志记录功能,用于演示目的。有关更多信息,请参阅使用 IAST 代理程序的 OWASP Benchmark

2023 年 9 月 10 日的新增功能

  • DAST:
    • 支持增量扫描,通过标识应用程序中的新区域和更改并将扫描集中到这些区域,显著缩短了 DAST 重新扫描时间。
    • 更新:如 2023 年 9 月 5 日的新增功能所述,仅通过 AppScan Standard Connect 上载至 AppScan on CloudAppScan 结果将包括易受攻击的组件结果。目前,ASoC 上的 DAST 扫描不支持此功能。

  • SAST: AppScan on Cloud 允许上载存档文件进行扫描,而无需首先生成 IRX 文件。这通过将文件准备卸载到 ASoC 来节省用户时间。
  • ServiceNow 插件:现在,通过使用 ServiceNow 插件将漏洞数据从 AppScan on Cloud(DAST 或 SAST 结果)导入到 ServiceNow 漏洞响应平台,可以在 ServiceNow 中过滤问题。
  • 用户体验 (UX) 改进:
    • 单个扫描视图:现在,除了“问题总数”和“新问题”之外,还包括显示“活动问题”的选项。活动问题是状态为“新(已弃用)”、“未解决”、“进行中”或“已重新打开”的问题。此外,对“按严重性列出的问题”图表进行了改进。
    • 现在,您可以分配最多三个唯一 Presence,并将应用程序的扫描仅限于这些 Presence。

2023 年 9 月 5 日的新增功能

  • 2023 年 7 月 31 日的新增功能的修订:DAST 引擎更新:动态分析引擎于 2023 年 7 月 31 日更新至 AppScan Standard V10.3.0。请参阅 AppScan Standard 修复列表
    注:
    • 尽管第三方组件的标识是 AppScan Standard 10.3.0 中的一项新功能,但在 ASoC 中运行的扫描不支持此功能。
    • 2023 年 7 月 31 日版本指出,通过“scan”或“scant”文件从 AppScan Standard 启动的扫描包括检测易受攻击的组件。但是,此支持将在即将发布的部署中被禁用。
    • 通过 AppScan Connect 从 AppScan Standard 导入 ASoC 的扫描结果仍将包括 AppScan Standard 检测到的易受攻击的组件。

2023 年 8 月 22 日的新增功能

  • 将静态分析客户机更新到 8.0.1542 版本。
  • 对源代码扫描程序的其他性能改进。
  • 常规错误修复。

2023 年 8 月 16 日的新增功能

  • 将静态分析客户机更新到 8.0.1537 版本。
  • 缺省情况下禁用密钥扫描

    使用 --enableSecrets--secretsOnly 选项扫描密钥。

  • 提高了源代码扫描程序的性能。
  • 常规错误修复。

2023 年 7 月 31 日的新增功能

  • DAST 引擎更新:动态分析引擎已更新至 AppScan Standard V10.3.0。请参阅 AppScan Standard 修复列表
    注意: 有关 ASoC 中第三方组件支持的最新信息,请参阅 2023 年 9 月 5 日的新增功能。以下注释不再有效。只有通过 AppScan Connect 上载到 ASoC 的扫描结果才会包括检测到的易受攻击的组件。
    注: 尽管标识第三方组件是 AppScan Standard 10.3.0 中的一项新功能,但在 ASoC 中不支持此功能。但是,从 AppScan Standard 导入的扫描或模板(如果在 AppScan Standard 中选择了该选项)将包括第三方组件。

2023 年 7 月 20 日的新增功能

  • 将静态分析客户机更新到 8.0.1535 版本。
  • 常规错误修复。

2023 年 7 月 16 日的新增功能

  • 已更新“创建应用程序和编辑应用程序”对话框。
    • 创建应用程序:新的快速设置让您只能通过指定名称和资产组来创建应用程序。您可以在以后使用“编辑应用程序”添加其他参数。
    • 具有许可权的用户现在可以从“创建应用程序”和“编辑应用程序”对话框中创建新的资产组。
  • 插件:增加了 VS 2022 插件。
  • 开源问题现在包括库位置。
  • 行业标准报告“NIST 特刊 800-53”已更新为 V5。

2023 年 6 月 30 日的新增功能

  • 将静态分析客户机更新到 8.0.1533 版本。
  • 扩展了密钥扫描支持。

2023 年 6 月 20 日的新增功能

  • 将静态分析客户机更新到 8.0.1531 版本。
  • 支持密钥扫描

2023 年 6 月 11 日的新增功能

  • DAST:
    • 扫描配置向导现在支持向扫描添加其他域。
    • 仪表板:“具有最多活动问题的应用程序”图表取代了“常见问题类型”图表。
    • 由于添加了新的配置选项(如自动表单填充),因此删除了选择暂存或生产环境的选项。有关详细信息,请参阅 为什么我不能再指定要暂存或生产的环境?
  • API:
    • 创建扫描 API:DAST 线程数现在支持多达 20 个线程。
    • 现在,开源信息将在库级别而非文件级别显示,其中包含更多合并数据和准确的数据。

2023 年 5 月 31 日的新增功能

  • AppScan Go! 更新到 V1.0.2
    • 更新了图标和徽标
    • 常规错误修复

2023 年 5 月 18 日的新增功能

  • 新 IAST Java 代理程序 (V1.12.10501):
    • 性能改进
    • 新增了新漏洞:
    • API 检测:新问题报告了在应用程序中检测到的所有 API。支持 Spring 应用程序。

2023 年 5 月 15 日的新增功能

2023 年 4 月 23 日的新增功能

  • 删除扫描时,属于该扫描的 SCA 库现在也会被删除,如问题。
  • SAST/SCA:改进了“问题详细信息”窗格中的数据流显示。
  • “订阅”页面:增加了“AppScan for you”服务详细信息。

2023 年 4 月 18 日的新增功能

  • 新 IAST .NET 代理程序 (V1.7.3)

2023 年 3 月 29 日的新增功能

2023 年 3 月 26 日的新增功能

  • 添加了审计跟踪页面(组织 > 审计跟踪)。
  • DAST 问题的 CVSS 评分现在基于 v3.1。CVSS 版本可以作为“问题”视图中的列添加,请参阅 CVSS。请注意,由于 CVSS 阈值因版本而异,因此在本次更新前后运行的扫描中,同一问题可能存在不同的 CVSS 分数。
  • API:增加了 Postman 集合(Scans/FileUpload 和 Scans/DynamicAnalysisWithFiles)支持。

2023 年 3 月 21 日的新增功能

  • 将静态分析客户机更新到 8.0.1524 版本。
  • 常规错误修复。

2023 年 3 月 13 日的新增功能

  • 新 IAST .NET 代理程序 (v 1.7.2):缺陷修复

2023 年 3 月 5 日的新增功能

  • 新 IAST .NET 代理程序 (v 1.7.1):
    • 缺陷修订和性能改进
    • 在 .NET Core 中支持 WebSockets
    • 新漏洞类型:缺少“Content-Security-Policy”标头 (CWE 1032),缺少“Referrer policy”安全性标头 (CWE 200)
    • 为使用 System.Net.WebClient 的客户提供基本支持

2023 年 2 月 19 日的新增功能

  • 问题状态“新”已弃用,发现的新问题现在归类为“未解决”。除非在新扫描中也发现,否则先前扫描中标记为“新”的问题不会受到影响(请参见 问题状态)。
  • 创建 DAST 扫描时,缺省环境(API 中的“ScanType”)已从生产更改为暂存(请参阅创建 DAST 扫描)。
    注意: 如果要扫描实时生产环境,务必在创建扫描时更改此设置。
  • 新的合规性政策和报告:[美国]《加利福尼亚州消费者隐私法案》(CCPA) - AB-375。
  • 现在,在组织的“扫描和会话”视图中,以图形方式向管理员显示扫描统计数据。
  • 将“自动清理”配置添加到组织和应用程序设置中(请参阅清理)。
  • 将关联数据添加到“关联组”视图。
  • 角色 API:将“IsAssignable”添加到角色模型中,表示用户可以邀请具有此角色的用户或将另一个用户的角色更改为此角色。

2023 年 2 月 6 日的新增功能

  • 将静态分析客户机更新到 8.0.1521 版本。
  • 软件组成分析 (SCA) 发现和报告的改进。
  • 提高了 C、C++ 和 Python 扫描的准确性。
  • 常规错误修复。

2023 年 1 月 23 日的新增功能

  • 将“上次发现”添加到问题的日期过滤器中。
  • 问题状态“新”已弃用:UI 现在宣布,从 2 月份开始,标记为“新”的问题将被标记为“未解决”。现有“新建”问题不会发生改变,但是在新扫描中找到现有“新建”问题的情况下,这些问题将被设置为“未解决”。您将能够将“新建”问题的状态更改为任何其他状态,但将无法将问题的状态设置为“新建”。请参阅问题状态

2023 年 1 月 16 日的新增功能

  • IAST Java 代理程序(版本 1.12.10400):各种修订和增强功能。

2023 年 1 月 15 日的新增功能

  • 问题列表中的新“上次发现”列显示发现问题的最近日期。
    注: 这仅适用于在此更新后运行的扫描中发现的问题。对于较旧的扫描,“上次发现”字段将为空。