以下项的新增功能 AppScan on Cloud

• 对运行时 SCA 问题使用更新的问题类型。
• 在无堆栈问题的方法签名字段显示 URL，以显示在 AppScan on Cloud 中的位置字段。
• 改进了对 RabbitMQ 的支持。
• 使用新的问题类型：PasswordLeakageDB 和 PasswordLeakageSentData。

• 对运行时 SCA 问题使用更新的问题类型。
• 在无堆栈问题的方法签名字段显示 URL，以显示在 AppScan on Cloud 中的位置字段。

• REST API 第 2 版已于 2024 年 7 月 30 日弃用，不再享受支持并且即将被删除。请改用 REST API V4。查看技术概述获取关于迁移到新版 API 的帮助。

• 新 IAST .NET 代理程序 (1.11.2)
  • 支持运行时 SCA。
  • 使用启动挂钩的 NuGet 替代安装方法。

• 将静态分析客户机更新到 8.0.1574 版本。
• 支持 Java 21.此外，Java 21 还包含在 Static Analyzer Command Line Utility (SAClientUtil) 包中。
• CLI 命令 queue_analysis 显示静态分析 (SAST) 和软件组成分析 (SCA) 的扫描标识。
• 向 appscan queue_analysis 命令添加了参数 --oso 和 --sao，以指定仅开源扫描或仅静态分析扫描。
• 启用了 IFA 2.0，可获取 .NET 跟踪结果。
• 密钥扫描程序扫描 PowerShell (.ps1) 文件。
• 当用户拥有超过 5000 个应用程序时，从命令行界面或 AppScan Go! 提交扫描不再失败。
• Angular、ASP、CSS、Dart、Java 源代码扫描程序、JavaScript、JQuery、Objective-C、PHP、Python、密钥扫描程序、TerraForm、TypeScript 和 VueJS 的规则更新。
• 常规错误修复。

• 更新了自动更新功能，以使用 AppScan on Cloud v4 REST API。
• 修复了第三方漏洞。

• 自动修复：现在，AppScan on Cloud 用户界面提供精选的自动修复建议，并附带 GenAI 总结的解释。自动修复功能以前仅在 CodeSweep IDE 插件中可用。
• 用于 SAST 存储库扫描的 GitHub Enterprise 集成：对 GitHub Enterprise 存储库运行静态分析扫描。

• 域管理：管理组织内的域，包括不同资产组的权限，以及无需验证的域授权。此功能现在适用于银级、金级、白金级订阅和按应用程序订阅。要从域验证迁移到域管理，请联系支持团队寻求帮助。

• SCA 运行时：基于 IAST 功能，SCA 可以识别和管理应用程序在运行时使用的开源组件和库中的漏洞。运行时 SCA 针对潜在漏洞提供更准确的上下文，从而帮助确定补救和解决问题的优先级。
• 恶意软件检测：软件组成分析可检测并报告疑似恶意软件的开源库。AppScan 采用全面、先进的方法，将自动化分析与人工专业知识相结合，扫描多个存储库并执行多域分析，以进行整体安全性评估。我们对软件包更新的持续监控，加上有针对性的攻击检测和二进制分析，有助于发现隐藏的威胁。我们的专家团队会检查可疑发现，确保结果准确无误。
• 方法和根依赖识别：SCA 方法和根依赖详细信息增强了对软件项目中库的检测和分析。依赖根代表启动了纳入其他库（导致纳入了易受攻击的库）的原始库，从而帮助用户了解易受攻击的包的来源。完整的依赖关系层次结构和信息包含在 SBOM 报告中。

• Kubernetes 的 IAST：AppScan 支持在 Kubernetes 集群上自动安装 IAST 代理程序，提供对 Java、.Net 和 Node.js 应用程序的支持。

• 新的合规性报告和政策：
  • 网络与信息安全指令 (NIS2)
  • OWASP 云原生应用程序安全性前 10 名
• 自动传播注释：自动将另一个应用程序中相同问题的最新注释和问题状态传播到当前应用程序。这可确保持续更新状态和注释，从而在所有应用程序中提供完整且同步的问题记录。

• 将插件和 API 页面重命名为集成，更清晰、更直观地展示 AppScan on Cloud 中提供的各种第三方集成和定制功能。
• 添加了 Jira Cloud 插件和 AppScan on Cloud CLI。
• 删除了 AppScan 自动化框架。

• 支持 RabbitMQ 作为源和接收器。
• 支持 Privacy.DataLeakage 类型的漏洞，当密码未经加密写入数据库或响应时报告此类漏洞。
• 支持 AppDOS.Flood 类型的漏洞，当 Vert.x 应用程序未对请求主体设置限制时报告此类漏洞。
• 当来源相似时，合并关于不安全和仅 HTTP Cookie 的重复报告。

• 减少代理程序依赖关系，以避免应用程序冲突。

• SAST 扫描可以配置和计划，以便直接从公共 GitHub 存储库中提取源代码。请参阅扫描 GitHub 存储库。
• 对 SAST 结果进行分类时，用户可以直接在 GitHub.com 上查看相关源代码。
• 现在可以按文件名或路径过滤结果，通过关注代码库的特定区域，使分类更有效。

• 域验证向导已得到增强，允许用户在将文件放入根文件夹后测试连接。等待验证超过 30 天的域将被删除。在根文件夹中检测到验证文件或确认电子邮件验证之前，域仍处于待处理状态。

• 增加了两份新的行业标准报告：
  • 2023 年 OWASP 十大 API 安全风险
  • 2023 年 CWE Top 25 最危险的软件漏洞
• 更新了下列报告：
  • [美国] DISA 应用程序安全和开发 STIG V5 R3。
  • 支付卡行业数据安全标准 (PCI DSS) - V4

• 此页面提供有关 AppScan on Cloud 服务和计划维护运行状态的实时信息。现在可从 AppScan on Cloud 门户访问。
• 您可以从以下位置访问此页面：
  • 在 AppScan on Cloud 门户中，可以在每个页面顶部的“支持”菜单下访问 AppScan 资源页面。“AppScan 资源”页面底部有一个指向服务状态页面的链接。
  • AppScan on Cloud 文档：“产品资源”部分下的入门指南页面中包含指向状态页面的链接。
  • 您可以直接为 URL 添加书签：AppScan on Cloud 服务状态页面。

• 支持 Vertx V3.x。
• 适用于 Vertx 的 API 端点发现。

• 更新依赖关系
• 运行时间期间的 .NET 核心代理程序的备用部署，无需构建 (Beta)。

• “创建扫描”对话框经过重新设计，简化了 DAST 扫描的工作流程。
• 设置页面经过重新设计，改进了组织结构，现在需要确认对页面设置的更改。
• 关联组页面经过重新设计，更易于使用。

• 改进了对使用 Vertx 框架的客户的支持。
• 支持 IAST 总数的组件发现和更准确的堆栈报告。

• 在 Ubuntu 上支持 PHP 8.3。
• 支持服务器配置文件中的环境变量。

将静态分析客户机更新到 8.0.1561 版本。

• 增加了对 VertX 框架的支持。

• 添加了对 NET 8 的支持。
• 在 .NET 上增强了对 IAST 总数的支持。
• 优化。

AppScan Go! 凭借更新和改进的用户界面和优化的工作流程，引导您配置和运行静态、SCA 或密钥扫描。您可以运行完整扫描，准备 IRX 文件以便以后扫描，或者配置文件，以便使用 AppScan 插件自动执行扫描。您也可以在工具中查看帐户信息。