之前的更新 2025

• 将静态分析客户机更新到 8.0.1677 版本。
• 支持 .NET 10。
• 作为 Dart 支持的一部分，提供对 Flutter 框架的支持。
• 技术预览：简化了 .NET 数据流分析的配置流程
• 规则更新。
• ICA 2.0：利用 AI 技术提升了 Java 和 .NET 数据流的准确性。
  注： 此更新利用 AI 技术对未知 API 进行更精准的分类。由于引擎减少了误报并优化了漏洞分类，因此预计 Java 和 .NET 项目的扫描结果会有所变化。

• Azure App Service 集成：引入了将代理程序作为 Azure .NET 扩展程序进行部署的方案，提供与 Windows 上的 Azure App Services for .NET Core 完全集成的简单安装流程，从而无需通过 NuGet 进行安装。
• 新 IAST .NET 代理程序 (1.15.3)
  • 允许在 Kubernetes 环境中将 IAST Kubernetes Analyzer 与 .NET 服务配合使用。
  • 缺陷修复。
• 新 IAST .PHP 代理程序 (1.2.2)
  • 其他问题修复。

• 针对 LLM 增强型应用程序的 DAST：借助 AppScan DAST 动态测试并保护您的业务免受大语言模型 (LLM) 风险的影响，它专门设计用于在攻击者利用关键漏洞（如敏感信息泄露、提示注入等）之前识别它们。有关更多信息，请参阅博客。
• 模板管理：用于下载模板并使用更新后的配置替换现有模板文件的选项。

• IAST for Kubernetes (1.0.10)：
  • 引入了使用 Helm 图表的替代安装方法。
  • 优化了命名空间过滤的处理方式。
  • 通过添加标签 skip-iast-webhook="true"，可以在 IAST 安装过程中跳过单个 Pod。
  • 为 IAST 容器 CPU 和内存分配添加了限制。
  • 当 IAST webhook 服务器不可用时，Pod 将不再受到影响。
  • 已更新基本映像。
• 关联：
  • 支持 IAST 结果与 SAST 定制扫描程序结果之间的关联。

• 主页：全新的 ASoC 主页提供了最近的应用程序和扫描的快速概览，使您能够轻松地访问最近的工作。

• 自动登录改进：AppScan 现在可以更可靠地遍历 Angular 应用程序，修复罕见的登录录制错误，并在播放失败后的第二次尝试操作之间增加延迟，从而提高总体成功率。
• 屏蔽改进：增强了 AppScan 的屏蔽功能，可更一致地保护敏感信息。
• 改进了对使用 AngularJS 框架的单页应用程序 (SPA) 扫描的支持。
• 全新和更新后的安全规则。

• AppScan 的全新 SCA 引擎现已集成恶意软件检测功能。此增强功能会自动扫描开源和第三方组件，以查找是否存在已知的恶意或遭到入侵的包，从而帮助团队在开发过程的早期阶段识别和缓解潜在的供应链风险。

• 模板管理：在 ASoC 中管理 DAST 模板 以控制和加速 DAST 配置。可以根据需要定制模板并将其分配给资产组。
• 根据上载的模板创建扫描：在将模板上载到 ASoC 后，您可以在运行扫描之前查看和编辑其配置。

• 新合规性报告：
  • 2025 年 LLM 应用 OWASP 前 10 大漏洞
  • [加拿大] IT 安全风险管理：生命周期方法 (ITSG-33)
• 更新的合规性报告：
  • 国际标准 - ISO 27001:2022
  • 国际标准 - ISO 27002:2022
  • 支付卡行业数据安全标准 (PCI DSS) - V4.0.1
  • NIST 特刊 800-53 - 5.2.0
  • [欧盟] 通用数据保护条例 (GDPR)
  • [美国] 健康保险流通与责任法案 (HIPAA)

• 定制应用程序字段现在与应用详细信息一同包含在 CSV 导出文件中，并显示在生成的安全报告中。

• 现已推出全新的插件和集成，您可以从集成页面进行访问：
  • Slack：在您的 Slack 通道中接收 AppScan on Cloud 安全警报和扫描通知。
  • Splunk：在 AppScan on Cloud 与 Splunk 之间建立连接，通过分析和仪表板实现对扫描数据的集中可视化。
  • 游标 AI：与 AppScan CodeSweep 进行集成，以便在 AI 辅助编码过程中识别并修复漏洞。

• 将静态分析客户机更新到 8.0.1663 版本。
• 生成报告时，用户现在可以指定是否在报告中包含“目录”和“摘要”部分。
• 作为 JavaScript 支持的一部分，静态分析现在可以处理 .mjs 文件。
• 规则更新。

• SAST：现在，您可以在 GitHub 存储库和分支下拉列表中进行搜索。
• 页面加载速度更快。
• 提高了面包屑导航的准确性。
• 更新了颜色与图形设计，以更好地为辅助功能提供支持。

• 新 IAST Java 代理程序 (1.21.1)
  • 更新了依赖关系，以提高兼容性和安全性。
• 新 IAST .NET 代理程序 (1.15.2)
  • 依赖关系更新，提高了结果准确性。
• 新 IAST .PHP 代理程序 (1.2.1)
  • 性能优化和缺陷修复。

• 将静态分析客户机更新到 8.0.1655 版本。
• 规则更新。

• 恢复扫描：在某些情况下，您现在可以恢复失败或部分完成的扫描。此功能增强了扫描流程，支持在解决先前的限制后从扫描停止的位置继续扫描，从而节省时间和资源。

• 开源库的审计跟踪选项卡清晰展示了与每个库相关的所有操作和更改，有助于团队跟踪历史记录、维持合规性并加强责任落实。
• 新 SCA 引擎中提供了可用于新扫描的 EPSS（利用预测评分系统），能够根据实际漏洞利用的可能性，更智能地确定漏洞的优先级。SCA 问题的详细信息窗格中列出了 EPSS 评分和百分位数。有关更多信息，请参阅 EPSS。

• 修复组界面经过重新设计，大幅提升了易用性。全新界面使用户更容易理解分组问题、浏览解决方案并高效管理修复。

• 将静态分析客户机更新到 8.0.1653 版本。
• 修复了 Azure DevOps 存储库处于分离头指针状态时 Git 信息可能会被错误地收集的问题。
• 规则更新。

• 新 IAST Java 代理程序 (1.20.2)
  • 针对使用 org.springframework.core.io.UrlResource 的客户，优化了支持。
• 新 IAST .NET 代理程序 (1.14.3)
  • 支持用于微服务的 IAST 分析器。
  • 现在，可通过 secagent.log 环境变量配置 IAST 的日志文件名和路径。
  • 针对使用 System.Net.WebClient 的客户，优化了支持。
• 新 IAST .PHP 代理程序 (1.1.4)
  • 针对 Magento 框架用户，进行了性能提升和缺陷修复。
• IAST for Kubernetes (1.0.8)
  • 安全更新

• 将静态分析客户机更新到 8.0.1651 版本。
• 为软件组成分析 (SCA) 支持即将推出的 Yarn 包管理器奠定了基础。将宣布提供全面支持。

• 将静态分析客户机更新到 8.0.1650 版本。
• 修复了一个问题：当 Maven/Gradle 构建失败时，会导致 AppScan Go! 的“Path 2”执行失败。
• 澄清了控制台输出中显示的 Failed in IAssemblyInfo call 消息。
• 修复了在 Linux 系统上，存储库根目录下的文件使用 Git 相对路径时出现的问题。

• AppScan Go! 已更新到版本 2.3.0。
• 新的安装程序允许更智能地检测服务。
• 现在，AppScan Go! 会在登录时自动检测并填写正确的服务网址。
• 现在，用户可以允许我们的扫描支持团队在 AppScan Go! 中进行干预。
• 为扫描指定的软件组成分析 (SCA) 文件不再显示绝对路径。
• 用户界面改进。

在接下来几周内，AppScan 团队将会迁移帐户以使用改进的新 SCA 引擎。

• 软件组成分析 (SCA) 引擎已更新至版本 3。
• 更清晰、更可靠的扫描结果。

  新引擎增强了我们本就强大的检测能力，通过减少干扰信息和提高结果精确度，进一步提升了准确性。

• 扩展了漏洞数据库。

  更快、更精确地识别已知风险。

• 依赖关系图形视图现已推出。

  当依赖项数据在扫描中可用时，您将看到可视化的图形视图，从而更容易了解软件包关系和影响。

• 扩展了配置文件扫描支持。

  C/C++、PHP 和 Java 配置文件。需要静态分析客户机版本 8.0.1646。

• 将静态分析客户机更新到 8.0.1646 版本。
• 修复了 Java 并行处理缓存中本地生成的 .irx 文件的问题。

• 将静态分析客户机更新到 8.0.1645 版本。
• 规则更新。
• 改进了 Git 发现过程中的 IRGen 性能。
• 现在，可以使用“组织”设置正确启用“密钥扫描”。

• AppScan for Dev - DAST 问题验证器：增加了下载 python 脚本并在 IDE 中运行该脚本的选项。
• 下载扫描失败的扫描文件：现在，即使扫描失败，您也可以下载扫描文件，以便在 AppScan Standard 中进行进一步的故障排查。仅当扫描实际开始运行后，才能下载该文件。

• 在库视图中添加了“已删除”状态：缺省情况下，库视图不会显示已从应用程序中移除的库的相关信息。现在，您可以应用过滤器来查看已删除的库，并且这些库将清楚地标注为“已删除”状态。

• 报告定制更新
  • 使用报告布局为报告设置定制标题。
  • 报告类型会显示在生成的报告中。

• 重新设计订阅页面：订阅页面经过改进，以增强用户体验。
• 表：
  • 列选择：列选择按类别进行组织，以提高可用性。
  • 从网格复制：右键单击任何表格单元格即可轻松复制其内容。

• 更新到 C/C++ 扫描。

• SCA 扫描详细信息包括库状态：SCA 现在指示库是否仍存在于最新扫描中，有助于跟踪修复进度。

• JavaScript 扫描程序：新的混合扫描可提高扫描 JavaScript 源代码时的准确性，包括感染流分析。
• 适用于 Java 的 ICA 2.0：针对 Java 的智能代码分析 (ICA) - 我们的 AI/机器学习自动安全描述工具 - 迎来重大增强功能，包括检测结果更精准以及漏报率降低。

• 用于微服务的 IAST 分析器 (Node.js)
  • 完整服务图形视图：提供有关微服务交互方式的全面可视化，从而让您更好地了解它们的关系。
  • 减少误报：通过利用服务图形来提高漏洞检测的准确性，从而减少不相关的警报，并让您可以更专注于安全工作。

• 更新的合规性报告：
  • [US] DISA's Application Security and Development STIG。V6R3
  • 2024 年 CWE 最危险的 25 个软件漏洞

• 将静态分析客户机更新到 8.0.1640 版本。
• 规则更新。

• AppScan for Dev - DAST 问题验证器：此方法允许开发人员模拟 AppScan 直接在 IDE 或浏览器中报告的 DAST 漏洞。开发人员可以运行 AppScan 生成的脚本来再现问题、调试并验证修复效果 - 所有这些都无需重新扫描，并且可在代码签入前完成。

• 流量文件中的多个域：当上传包含多个域名的流量文件时，ASoC 会自动将这些域名添加到“要测试的域”列表中，并标记那些已验证可包含在扫描中的域名。

• 用于微服务的 IAST 现在为 Kubernetes Node.js 环境提供增强支持，为在 Kubernetes Pod 内自动部署 IAST 代理程序提供了非侵入式解决方案。AppScan 使用部署脚本自动集成代理程序。这一新功能有助于管理多个容器，并且使测试和生产环境能够使用原始应用程序映像，而无需进行任何更改。这使得您的微服务拥有完整的可视化图表视图，可帮助在开发生命周期的早期识别和解决安全问题。

• 新的 Centraleyezer 插件允许您在 Centraleyezer 漏洞管理平台中无缝导入和管理 HCL AppScan on Cloud 的漏洞数据（包括 DAST 和 SAST 扫描数据），以便您识别、优先处理、跟踪和修复安全漏洞。
• 与 CMD+CTRL 安全性集成，提供实际动手的沉浸式安全代码培训。

• 引擎错误修复

• 修复了影响客户使用 .NET Framework 的错误。

• 添加了对客户使用 Red Hat 8 和 PHP 8.2 的支持。
• 修复了 Windows 上的安装问题。
• 提高了性能并进行了各种优化。
• 常规错误修复。

• 安全报告列出了问题的相关存储库网址。

• 删除了 ThreadFix 插件。

• 测试策略选项卡现已添加到“组织”下。在此，您可以管理您的测试策略，并上载您在 AppScan Standard 或 AppScan Enterprise 中创建的定制策略。
• “组织”下的“策略”选项卡现已重命名为合规性策略。

• 依赖关系更新
• 修复容器权限
• 修复 Windows 安装
• 对于使用私有注册表的客户，安装脚本可获取注册表名称作为参数。

• Azure OpenAI 配置通过减少误报来提高准确性，从而改进测试结果。

• SBOM（软件物料清单）报告此前已在我们平台的 UI 中提供，现在可通过 Swagger API 访问。

• 报告自定义：通过轻松添加公司徽标和创建定制的页眉和页脚，用您的品牌标识个性化您的报告。
• 定制策略：现在可以根据技术，以及其他已提供的过滤选项来过滤问题。

• 性能改进。
• 当代理程序被禁用时，将心跳通信频率降低到 AppScan on Cloud。
• 用于合并类似问题的增强算法。