先前更新:2016-2018 年
列出 2016 到 2018 年之間,在 AppScan on Cloud 服務的先前更新項目中所新增的功能。
2018 年 12 月 30 日新增的功能
- 更新的安全掃描報告:安全掃描報告現在會在要求時產生,而不是在掃描時產生,因此現在與其他報告一樣,已變更狀態(例如變更為「已修正」)的問題現在會在報告中顯示出其目前狀態。(請勿套用到 2017 年 10 月之前執行的掃描。)
- 靜態分析掃描的新開放原始碼授權報告(需要開放原始碼訂閱):針對掃描產生報告,列出在您的程式碼中找到的所有開放原始碼程式庫。(僅套用到 2018 年 12 月 30 日之後執行的掃描。)
- 個人掃描現在可以從使用者介面(除了以前的 API 之外)升級:「個人掃描」中的問題與應用程式中的問題合併,訊息會表示有多少問題是「新建」(先前在應用程式資料中未找到的問題)、「已合併」(同時在「個人掃描和應用程式中找到的問題」),以及「已重新開啟」(在「個人掃描」中找到的問題已在應用程式中標示為「已修正」,現在已重新開啟)。
- 其他業界標準報告:OWASP Top 10 Mobile 2016。
- 「掃描歷程記錄」視圖現在會顯示每個掃描的建立使用者名稱。
2018 年 12 月 3 日新增的功能
- 支援 Visual Studio Team Services (VSTS) 外掛程式。
2018 年 11 月 29 日新增的功能
- 針對靜態分析加強的 JavaScript 掃描器。
- 支援 AngularJS。
2018 年 11 月 19 日新增的功能
- 新的動態分析引擎
- 已更新系統需求中用於專用網站掃描的 IP 清單。
2018 年 11 月 7 日新增的功能
- 其他清單現在已區分為數頁(預設為每頁 10 項,可配置):資產群組清單、資產群組使用者清單(授與使用者存取權)、資產群組應用程式清單(移動應用程式)、使用者清單。
- 對於動態掃描:在掃描旁邊的「資訊」圖示上按一下滑鼠按鍵,現在會顯示掃描 ID 和起始 URL。
- 現在當您輸入 URL 時,「起始 URL」欄位會對其進行驗證。
- 對於專用網站掃描:AppScan Presence 狀態現在會於掃描期間顯示。
2018 年 10 月 28 日新增的功能
- 針對透過 Windows 作業系統的「私有網站掃描」,AppScan Presence 現在可以以服務執行。
2018 年 10 月 17 日新增的功能
- 「我的掃描」標籤清單現在區分為數頁(預設為每頁 5 項,可配置)。
- 已修正使用 PAC 檔案的專用網站掃描問題。
2018 年 10 月 9 日新增的功能
- 行動式分析現在支援 iOS 7 和 12 (含)之間的版本,以及 4.2 以下(含)版本的所有 Swift。
- 動態分析現在支援需要 HTTP 鑑別的網站。
- 「私有網站掃描」現在支援 Proxy 自動配置 (PAC) 檔案。
- 全新設計的登入頁面。
- 已修正升級個人掃描在問題超過 200 筆時無法正常運作的問題。
- 已新增在應用程式報告中遺漏的 SAST 修正建議。
- 一般錯誤修正。
2018 年 9 月 20 日新增的功能
HCL AppScan on Cloud Static Analyzer 指令行公用程式 僅在 64 位元 Linux 上受到支援。
2018 年 9 月 5 日新增的功能
- Eclipse
- IntelliJ
- Visual Studio
- Jenkins
- Gradle
- Maven
2018 年 8 月 29 日新增的功能
- 語言支援:Application Security on Cloud 現在支援 Python 掃描。
- 已新增針對最新 Apache Struts 2 CVE-2018-11776 的檢查,以探索嚴重的遠端程式碼執行缺失。可在動態和開放原始碼分析中使用。
- 已新增針對「在 JSON 上揭露 XML 外部實體檔」和「支援較舊的 TLS 版本」的動態分析檢查。
- 改良的現有「Apache Struts 2 遠端指令執行」檢查,具有新的變式可以改善涵蓋範圍和正確性。
2018 年 8 月 14 日新增的功能
- 動態分析引擎更新,具有一般改善和錯誤修正。
2018 年 8 月 7 日新增的功能
- 個人掃描現在於應用程式的掃描清單中指出。
2018 年 8 月 1 日新增的功能
- 語言支援: AppScan on Cloud 現在支援 COBOL 掃描。
- Static Analyzer 報告改善:Application Security on Cloud 已改善修正群組分類,如同報告和評量檢視器中所見。
- 管線支援:Jenkins 外掛程式已更新為包含對 Jenkins 管線的支援。
2018 年 7 月 10 日新增的功能
- 新的動態分析引擎,具有進階自動探索功能,並改善速度和測試涵蓋範圍。
2018 年 7 月 2 日新增的功能
- 在「安全掃描」視圖中,「結果」直欄置換為「掃描問題」直欄。
按一下時,「掃描問題」會顯示在掃描期間探索到的所有不符規範靜態安全問題。
- 「報告」直欄置換為「應用程式問題」直欄。
按一下時,「應用程式問題」會顯示在掃描此應用程式期間探索到的所有不符規範靜態安全問題。
2018 年 6 月 27 日新增的功能
2018 年 5 月 30 日新增的功能
- 行動式分析現在最高支援 Android 8.0 版。
2018 年 5 月 9 日新增的功能
2018 年 4 月 25 日新增的功能
- 新的預先定義 HIPAA 原則會識別不符合 1996 年醫療保險轉移和責任法案 (HIPAA) 規範的問題。請參閱原則。
2018 年 4 月 17 日新增的功能
- 在問題的「諮詢」標籤中,某些外部參照網站的連結失效。這些問題已修正。
- 「應用程式」表格中新的「符合規範」直欄標頭可讓您使用應用程式相關聯的原則,將問題排序為「符合規範」或「不符規範」。
- AppScan on Cloud 支援透過指令行介面 (CLI) 和透過 Visual Studio 2017 外掛程式(僅限 Windows)掃描 .NET Core 專案。如需相關資訊,請參閱產生 .NET Core 專案的 IRX 檔案。
2018 年 3 月 18 日新增的功能
原則
您可以讓一或多個原則與應用程式產生關聯,讓您評估應用程式與這些原則的相符性,並且將補救工作著重在相關的漏洞。原則可透過使用者介面套用。
- CWE/SANS Top 25 報告
- EU 一般資料保護法規 (GDPR) 報告
- OWASP Top 10 2017 報告
- PCI 相符性報告
2018 年 3 月 8 日新增的功能
- IDE 外掛程式現在會在每次掃描應用程式關聯時提示,而不是僅在每個工作區提示一次。
- PHP 應用程式在產生 IRX 期間不會再遇到記憶體限制。
- 「協助我修正這個問題」按鈕在 Visual Studio 中不會再於解決修正程式群組之後重新啟動。
2018 年 3 月 5 日新增的功能
- 當使用 AppScan Standard 配置來執行 ASoC 掃描時,測試會傳送至已從掃描明確排除的網域。此錯誤現在已修正。
當使用掃描結果時,預設會顯示六個「問題內容」:狀態、位置、CVSS、問題類型、嚴重性和掃描名稱。使用選取直欄下拉清單可以新增(或移除)其他內容的直欄。為了簡化 UI,下列直欄選項於 2018 年 3 月 19 日移除:
存取複雜度、存取向量、應用程式名稱、鑑別、可用性影響、分類、機密性影響、說明、探索方法、可利用性、修正建議、易記 ID、完整性影響、是協力廠商、Nessus·外掛程式·ID、專案名稱、通訊協定、補救層次、報告機密、嚴重性值、 重現步驟、摘要、WhiteHatSecVulnId
自 2018 年 3 月 19 日起,「選取直欄」下拉清單中不再顯示這些內容選項,如果曾在上一個掃描中選取,則不會再顯示於掃描結果中。
2018 年 2 月 26 日新增的功能
- 先前下載為 HTML 檔案的「應用程式報告」,現在會下載為 PDF 檔案。
- 現在報告中預設包含的資料為:目錄、摘要和詳細資料。其他四個分類(討論、歷程記錄、諮詢和修正建議)可以在產生報告時選取以包含在內。
2018 年 1 月 30 日新增的功能
- 用英文以外的語言建立掃描時,問題嚴重性在報告中會正確顯示,但是在線上 UI 中會不正確的顯示為「未定」。此錯誤現在已修正。
- 在 30 天之後重新掃描的不正確訊息現在已修正。
2018 年 1 月 8 日新增的功能
- 重設應用程式資料:這個功能新增為「編輯應用程式」中的選項,可永久刪除應用程式的所有掃描和問題,同時保留應用程式的名稱和配置
-
動態分析新行為:如果您載入掃描檔案,系統會提供您「完整掃描」或「僅測試」的選項:
- 完整掃描:忽略掃描中儲存的所有結果,並且使用相同的配置執行新的掃描(先前掃描會保留現有結果並繼續掃描直到完成為止)
- 僅測試:忽略任何「測試」階段結果,並且使用檔案中的「探索」階段結果來執行新的「測試」階段(先前「測試」階段會保留現有「測試」階段結果並繼續直到完成為止)
2017 年 12 月 31 日新增的功能
- 新的動態分析代理程式。
2017 年 12 月 26 日新增的功能
- 現在產生報告時,您可以:
- 包含詳細資料和討論(註解)meta 資料。
- 不選取任何問題並按一下「報告」,藉此包含找到的所有問題。如果您有選取問題,報告會如同以往一般僅包含這些問題。
2017 年 12 月 13 日新增的功能
- 您現在可以將註解新增至應用程式中的「發現的問題」,顯示為「應用程式」視圖和「問題」視圖中的新直欄。註: 現有使用者需要先將「註解」直欄新增為「發現的問題」標籤中顯示的其中一個直欄。
- 身兼多個組織成員的使用者,現在可在「使用者管理」中,從自己名稱旁的下拉清單中選取要顯示哪個組織的儀表板。
2017 年 12 月 5 日新增的功能
- AppScan on Cloud 現在支援「開放程式碼」僅透過使用含
appscanprepare
的-openSourceOnly
選項進行掃描 - 對於 C/C++ 掃描及產生 IRX 檔案的增強功能
- 對於 Intelligent Code Analytics (ICA) 和 Intelligent Findings Analytics (IFA) 的邊緣案例穩定性強功能
2017 年 11 月 22 日新增的功能
- 原則:現在您可以使用 REST API 來定義並使用「原則」,以僅顯示在特定日期後發現的問題,或是指定最低嚴重性的問題。請參閱原則。
- DAST 和 Android 引擎已更新為新版本,其中包含錯誤修正及效能增進。
2017 年 11 月 14 日新增的功能
- 「問題」視圖中新增「歷程記錄」標籤,用以顯示所選問題的「審核追蹤」。請注意,追蹤僅從此更新的時間開始。
- DAST 和 Mobile 引擎已更新為新版本,其中包含錯誤修正及增進的效能。
2017 年 10 月 23 日新增的功能
- 現在您可使用 API 來刪除問題、掃描或應用程式圖表資料,不必刪除應用程式。
- 「問題」視圖中新的「討論」標籤可讓您將自己的註解新增至應用程式的問題中。
2017 年 10 月 20 日新增的功能
- 智慧型結果分析的增強
先前 java.sql.Statement.executeBatch 和 InetAddress 會傳回干擾的結果。我們改進了智慧型結果分析 (IFA) 來過濾出這些誤判結果。
2017 年 10 月 10 日新增的功能
- 「更新問題狀態」已新增至您可以控制的權限。
- 現在可以將應用程式及問題分頁。
2017 年 10 月 3 日新增的功能
- 「行動式分析」現在支援 iOS 11。
- Android 和 iOS 掃描中的新問題類型:認證洩漏。
- 主工具列現在會在「使用者名稱」旁邊顯示使用者目前已登入的組織。
2017 年 9 月 10 日新增的功能
- 使用者角色
- 自動產生的 AppID 已從整數變更為 GUID。由於系統會自動傳回新的 ID,且用於提交掃描的 API 與舊版相容,因此對使用者而言更容易理解。
2017 年 8 月 24 日新增的功能
- 對於 Open Source Analyzer 支援的增強功能:
提升了在同一個階段作業中執行多個掃描時,Open Source Analyzer 和 Eclipse 的效能。
- 對於 C/C++ 支援的增強功能:
更佳的 C++ 巨集和編譯器選項探索。
- 已變更無追蹤的「靜態分析」問題識別:
我們改良了「靜態分析」引擎,並進而改良了非追蹤發現項目的雜湊演算法。由於此變更,在部署此最新更新後,偵測到許多靜態分析發現項目,這些項目會在「問題」標籤中複製一次。這項變更主要是影響 Node.js、Ruby 和 JavaScript 發現項目,但也可能影響到其他語言。
2017 年 8 月 14 日新增的功能
- 已移除:已移除能使用自訂屬性建立「應用程式設定檔範本」的功能。
2017 年 7 月 24 日新增的功能
- 其他 iOS 支援: ASoC 現在支援掃描最高到 10.3 版的 iOS 行動應用程式。
- 新的 IP 範圍:ASoC 所用的其中一個 IP 範圍已變更。請參閱 ASoC 使用哪些 IP?
- 新的 UI 功能:位於掃描結果表格頂端的新勾選框可讓您「選取所有」掃描,而在該處的新「刪除」按鈕則會刪除其勾選框已被選定的所有掃描。請參閱 結果
2017 年 6 月 22 日新增的功能
- AppScan on Cloud 現在支援掃描需要授權的 iOS 應用程式。
- 對於 C/C++(包括 Visual Studio 2015)的更佳支援:
C/C++ 掃描增強功能包括能夠掃描以 Visual Studio 2015 平台工具集為目標的 64 位元專案。
- 改善 .NET 記載:
改善所有 .NET 相關專案的記載和穩定化。
- Javascript 增強功能:
Javascript 會追蹤穩定化,避免不完整的追蹤在傳回結果時造成問題。
2017 年 6 月 15 日新增的功能
- 掃描佇列:在執行訂閱的最大數目的並行掃描時,如果您嘗試啟動掃描,現在會將該掃描新增至佇列,並且會盡快自動啟動。
- OWASP「行動式分析中的前 10 名風險」報告現在遵循「2016 年行動式前 10 名」: https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
- 增強支援 NodeJS 和 Ruby:
Node.js 和 Ruby 掃描與 Intelligent Findings Analytics (IFA) 完全整合,可大幅加快掃描時間。
- 對於 Client Side Javascript 的增強功能:
我們改善了 Javascript 引擎所產生的追蹤及非追蹤發現項目的顯示。
2017 年 3 月 26 日新增的功能
- Application Security on Cloud 現在支援開放原始碼測試:
- 在程式碼中尋找「開放原始碼」套件
- 識別已知為有漏洞的「開放原始碼」套件
- 針對有漏洞的套件建議替代方案
註: 「開放原始碼」測試需要附加訂閱。在該訂閱作用中之後,「靜態分析」掃描中就會自動包含「開放原始碼」測試。 - 現在 AppScan Presence 包含選用的 Proxy Server,用於在功能測試的程序中納入掃描(僅限於 Web 應用程式的掃描)。
2017 年 2 月 3 日新增的功能
- 使用 Jenkins 外掛程式時:
- 現在支援動態分析。利用這項功能,可以對執行於瀏覽器中的應用程式執行分析。
- 現在指定登入認證時,必須使用產生的 API 金鑰。
註: 不支援從 Jenkins 外掛程式連接到 Bluemix。
2017 年 1 月 25 日新增的功能
- 現在,在 C/C++ 靜態分析掃描期間會套用「智慧型程式碼分析 (ICA)」。
先前已引入 ICA 進行 Java、.NET 和 PHP 掃描。透過這項技術,您可以探索並評量新應用程式設計介面 (API) 的安全影響。透過 ICA,所有第三方 API 和架構都會受到檢閱,並指派正確的安全影響。這可以獲得更多完整的掃描結果。
2016 年 12 月 21 日新增的功能
- 將問題產生為報告
- 在應用程式中過濾問題
- 現在支援變更預設使用者角色的能力。
- 可使用 AppScan Presence 掃描所連接後端伺服器無法從網際網路存取的行動式應用程式(Android 和 iOS)。
- 新增應用程式和角色 REST API。
- 現在,在 HCL Cloud Marketplace 上使用此服務時,靜態分析支援使用產生的 API 金鑰登入。
- 現在從整合開發環境登入時,必須使用產生的 API 金鑰。
- 從 CLI 登入時,請發出
appscan api_login
指令 (Windows™) 或appscan.sh api_login
指令 (Linux™ 及 macOS)。這個指令需搭配 鑑別指令 (Windows™) 或 鑑別指令(Linux™ 及 macOS) 主題所列出的選項使用。
2016 年 12 月 14 日新增的功能
2016 年 12 月 13 日新增的功能
- 將安全分析新增至 Jenkins 自動化伺服器 現已支援。HCL AppScan on Cloud Jenkins 外掛程式可讓您將安全掃描支援新增至 Jenkins 專案。此外掛程式可讓您連接到 HCL Cloud Marketplace 上的 HCL AppScan on Cloud。
2016 年 11 月 16 日新增的功能
- 靜態分析掃描現在採用「智慧型程式碼分析 (ICA)」。ICA 會自動探索新的應用程式設計介面 (API) 並評估其安全影響。透過 ICA,所有第三方 API 和架構都會受到檢閱,並指派正確的安全影響。這可以獲得更多完整的掃描結果。註: ICA 目前僅適用於掃描 Java、C/C++、.NET 和 PHP。
2016 年 10 月 19 日新增的功能
- 使用者管理頁面中的變更:
- 已移除「使用者及角色」頁面上的「管理使用者」按鈕。現在,在主功能表中也有橫幅到 IBM Cloud Marketplace 的「管理」連結可用。
- 在「 」中也可使用橫幅到 IBM Cloud Marketplace 的「邀請使用者」連結。
2016 年 10 月 12 日新增的功能
- 建立應用程式設定檔範本。(後來已移除此功能。)
- 自訂風險評級公式。(後來已移除此功能。)
- 使用自訂公式來判定風險。(後來已移除此功能。)
2016 年 10 月 5 日新增的功能
- macOS 10.11 版或更新版本現在支援靜態分析 CLI、Eclipse 外掛程式和 Maven 外掛程式。
2016 年 9 月 28 日新增的功能
2016 年 9 月 14 日新增的功能
- 掃描 iOS 行動式應用程式現在支援 iOS 10。
- 「靜態分析」現在支援在 Visual Studio 解決方案中掃描 C/C++。註: 請參閱 Microsoft Visual Studio 支援(僅限 Windows)
2016 年 9 月 7 日新增的功能
- 掃描 iOS 行動式應用程式時,不再需要使用「IPAX 產生器」來建立和上傳 IPAX 檔案。現在您可以建立和上傳 IPA 檔案。
2016 年 8 月 23 日新增的功能
- 當您從 Static Analyzer 指令行公用程式 登入服務時,現在您可以執行這些動作,以便在登入記號檔到期時,使公用程式自動嘗試重新接受服務的鑑別:
- 如果您是從指令行介面 (CLI) 登入,請使用
-persist
選項,如 鑑別指令 (Windows™) 和 鑑別指令(Linux™ 及 macOS) 中所述。 - 如果您是從整合開發環境 (IDE) 登入,請選取「儲存認證」勾選框。
- 如果您是從指令行介面 (CLI) 登入,請使用
2016 年 8 月 3 日新增的功能
- 新增 使用者 功能。使用者管理有助您限制對機密應用程式的存取權, 作法是將它們指派給資產群組,然後新增特定使用者至那些群組。
- 新增使用者管理 REST API。
- 支援掃描上的過濾器和統計資料(順利完成、進行中或失敗)。
2016 年 7 月 20 日新增的功能
- 支援在應用程式中選取問題直欄
- HCL Cloud Marketplace 限定:如果您連接至位於 AppScan on Cloud 的 HCL Cloud Marketplace 服務,如今靜態分析掃描必須與現有的 AppScan on Cloud 應用程式相關聯。將掃描與應用程式相關聯可讓您運用 AppScan on Cloud 儀表板的報告與趨勢功能。
如果要學習如何在透過 CLI 提交掃描時關聯應用程式,請參閱 分析指令 (Windows™) 或 分析指令 (Linux™ 與 macOS)。如果要學習如何在從 IDE 提交掃描時執行此動作,請參閱 在整合開發環境中掃描。
- 在靜態分析掃描期間,進行加強型用戶端 JavaScript 探索。
2016 年 7 月 11 日新增的功能
- IBM AppScan on Cloud 已達到 ISO/IEC 27001:2013 認證
2016 年 6 月 29 日新增的功能
- 支援掃描需要登入的 Android 行動式應用程式
2016 年 6 月 22 日新增的功能
- 請求專家協助。您可以購買「諮詢服務參與單位」作為訂閱的附加功能。在訂閱期間,您可以使用這些「參與單位」來要求及接收任何的「隨需應變諮詢」服務組合,視這些服務需要多少單元而定。
- 「靜態分析」現在支援以下語言:
- 用戶端 JavaScript
- PHP
- Ruby
- 偵測 iOS 及 Android 行動式應用程式中的資訊洩漏
2016 年 6 月 8 日新增的功能
- 全新的「我的掃描」頁面包含一份純掃描清單(無論其屬於什麼應用程式)
- 在使用 Dynamic Analysis 進行掃描時,您現在可以選取特定的「測試集」
- 支援使用 Dynamic Analysis 掃描更多已驗證的網域
2016 年 6 月 1 日新增的功能
- 現在支援 Node.js 進行靜態分析掃描。
2016 年 4 月 5 日新增的功能
- 建置應用程式資產的庫存,以瞭解您需要保護的項目
- 依業務衝擊來分類和評等應用程式,以瞭解需要保護的最重要項目
- 依應用程式來組織 Analyzer 掃描,以得到完整的評量
- 取得每一個應用程式的安全評級,以按照風險來評等資產
- 設定漏洞的優先順序及管理其解決方案
- 檢視儀表板以瞭解應用程式安全狀態並查看是否有改善
- 在 Android 6 模擬器上使用 Mobile Analyzer 來掃描 Android 應用程式以找出更多漏洞
- 從您的 IntelliJ IDE 輕鬆使用 Static Analyzer 掃描和檢視漏洞。