先前更新:2016-2018 年

列出 2016 到 2018 年之間,在 AppScan on Cloud 服務的先前更新項目中所新增的功能。

2018 年 12 月 30 日新增的功能

  • 更新的安全掃描報告:安全掃描報告現在會在要求時產生,而不是在掃描時產生,因此現在與其他報告一樣,已變更狀態(例如變更為「已修正」)的問題現在會在報告中顯示出其目前狀態。(請勿套用到 2017 年 10 月之前執行的掃描。)
  • 靜態分析掃描的新開放原始碼授權報告(需要開放原始碼訂閱):針對掃描產生報告,列出在您的程式碼中找到的所有開放原始碼程式庫。(僅套用到 2018 年 12 月 30 日之後執行的掃描。)
  • 個人掃描現在可以從使用者介面(除了以前的 API 之外)升級:「個人掃描」中的問題與應用程式中的問題合併,訊息會表示有多少問題是「新建」(先前在應用程式資料中未找到的問題)、「已合併」(同時在「個人掃描和應用程式中找到的問題」),以及「已重新開啟」(在「個人掃描」中找到的問題已在應用程式中標示為「已修正」,現在已重新開啟)。
  • 其他業界標準報告:OWASP Top 10 Mobile 2016。
  • 「掃描歷程記錄」視圖現在會顯示每個掃描的建立使用者名稱。

2018 年 12 月 3 日新增的功能

  • 支援 Visual Studio Team Services (VSTS) 外掛程式。

2018 年 11 月 29 日新增的功能

  • 針對靜態分析加強的 JavaScript 掃描器。
  • 支援 AngularJS。

2018 年 11 月 19 日新增的功能

  • 新的動態分析引擎
  • 已更新系統需求中用於專用網站掃描的 IP 清單。

2018 年 11 月 7 日新增的功能

  • 其他清單現在已區分為數頁(預設為每頁 10 項,可配置):資產群組清單、資產群組使用者清單(授與使用者存取權)、資產群組應用程式清單(移動應用程式)、使用者清單。
  • 對於動態掃描:在掃描旁邊的「資訊」圖示上按一下滑鼠按鍵,現在會顯示掃描 ID 和起始 URL。
  • 現在當您輸入 URL 時,「起始 URL」欄位會對其進行驗證。
  • 對於專用網站掃描:AppScan Presence 狀態現在會於掃描期間顯示。

2018 年 10 月 28 日新增的功能

  • 針對透過 Windows 作業系統的「私有網站掃描」,AppScan Presence 現在可以以服務執行。

2018 年 10 月 17 日新增的功能

  • 「我的掃描」標籤清單現在區分為數頁(預設為每頁 5 項,可配置)。
  • 已修正使用 PAC 檔案的專用網站掃描問題。

2018 年 10 月 9 日新增的功能

  • 行動式分析現在支援 iOS 7 和 12 (含)之間的版本,以及 4.2 以下(含)版本的所有 Swift。
  • 動態分析現在支援需要 HTTP 鑑別的網站。
  • 「私有網站掃描」現在支援 Proxy 自動配置 (PAC) 檔案。
  • 全新設計的登入頁面。
  • 已修正升級個人掃描在問題超過 200 筆時無法正常運作的問題。
  • 已新增在應用程式報告中遺漏的 SAST 修正建議。
  • 一般錯誤修正。

2018 年 9 月 20 日新增的功能

HCL AppScan on Cloud Static Analyzer 指令行公用程式 僅在 64 位元 Linux 上受到支援。

2018 年 9 月 5 日新增的功能

Application Security on Cloud 支援使用下列外掛程式,直接從您的整合開發環境 (IDE) 或您的建置系統來進行掃描:
  • Eclipse
  • IntelliJ
  • Visual Studio
  • Jenkins
  • Gradle
  • Maven
註: Maven ASoC 外掛程式現在正用於 Maven 中央儲存庫中;不再需要手動安裝。

2018 年 8 月 29 日新增的功能

  • 語言支援:Application Security on Cloud 現在支援 Python 掃描。
動態分析引擎更新:
  • 已新增針對最新 Apache Struts 2 CVE-2018-11776 的檢查,以探索嚴重的遠端程式碼執行缺失。可在動態和開放原始碼分析中使用。
  • 已新增針對「在 JSON 上揭露 XML 外部實體檔」和「支援較舊的 TLS 版本」的動態分析檢查。
  • 改良的現有「Apache Struts 2 遠端指令執行」檢查,具有新的變式可以改善涵蓋範圍和正確性。

2018 年 8 月 14 日新增的功能

  • 動態分析引擎更新,具有一般改善和錯誤修正。

2018 年 8 月 7 日新增的功能

  • 個人掃描現在於應用程式的掃描清單中指出。

2018 年 8 月 1 日新增的功能

  • 語言支援: AppScan on Cloud 現在支援 COBOL 掃描。
  • Static Analyzer 報告改善:Application Security on Cloud 已改善修正群組分類,如同報告和評量檢視器中所見。
  • 管線支援:Jenkins 外掛程式已更新為包含對 Jenkins 管線的支援。

2018 年 7 月 10 日新增的功能

  • 新的動態分析引擎,具有進階自動探索功能,並改善速度和測試涵蓋範圍。

2018 年 7 月 2 日新增的功能

原則AppScan on Cloud IDE 外掛程式支援,包括安全掃描的以下變更:
  • 在「安全掃描」視圖中,「結果」直欄置換為「掃描問題」直欄。

    按一下時,「掃描問題」會顯示在掃描期間探索到的所有不符規範靜態安全問題。

  • 報告」直欄置換為「應用程式問題」直欄。

    按一下時,「應用程式問題」會顯示在掃描此應用程式期間探索到的所有不符規範靜態安全問題。

適用於 Static Analyzer 的 IDE 外掛程式,現在可以透過特定外掛程式特性的 IDE 市集取得。如需相關資訊,請參閱在整合開發環境中掃描

2018 年 6 月 27 日新增的功能

  • 訂閱管理:新的「訂閱」視圖(主功能表 > 我的訂閱)顯示貴組織所有訂閱的狀態,包含剩餘的應用程式或掃描數目,以及開始和結束日期。
  • UI 中新的原則過濾器可讓您輕鬆依關聯或不關聯的原則來過濾問題。例如,您可以建立原則,僅包含在特定日期之後找到的「高嚴重性問題」,然後過濾問題以建立僅適用於這些問題的「法規相符性報告」。
  • API:新的報告 API 可讓您建立:所選取問題的問題報告、安全報告和法規報告,具有定義的範圍。

2018 年 5 月 30 日新增的功能

  • 行動式分析現在最高支援 Android 8.0 版。

2018 年 5 月 9 日新增的功能

  • 新的原則功能:
    • 透過使用者介面建立自訂原則
    • 使用「應用程式」視圖中新的「原則」標籤,快速啟用或停用相關聯的原則。
  • 已修正使用「問題管理 > 匯入問題」匯入 CSV 檔案時發生的錯誤。

2018 年 4 月 25 日新增的功能

  • 新的預先定義 HIPAA 原則會識別不符合 1996 年醫療保險轉移和責任法案 (HIPAA) 規範的問題。請參閱原則

2018 年 4 月 17 日新增的功能

  • 在問題的「諮詢」標籤中,某些外部參照網站的連結失效。這些問題已修正。
  • 「應用程式」表格中新的「符合規範」直欄標頭可讓您使用應用程式相關聯的原則,將問題排序為「符合規範」或「不符規範」。
  • AppScan on Cloud 支援透過指令行介面 (CLI) 和透過 Visual Studio 2017 外掛程式(僅限 Windows)掃描 .NET Core 專案。如需相關資訊,請參閱產生 .NET Core 專案的 IRX 檔案
    註: AppScan on Cloud 不支援可攜式 .pdb 格式。如需相關資訊,請參閱.NET 掃描結果顯示組件檔案,而不是來源檔案

2018 年 3 月 18 日新增的功能

原則

您可以讓一或多個原則與應用程式產生關聯,讓您評估應用程式與這些原則的相符性,並且將補救工作著重在相關的漏洞。原則可透過使用者介面套用。

接著,原則對於掃描的影響和應用程式的原則相符性,可以在報告中強調顯示。在應用程式層次可使用新的「應用程式報告」函數。您可以用這個函數執行安全和問題報告,以及下列新的相符性報告:
  • CWE/SANS Top 25 報告
  • EU 一般資料保護法規 (GDPR) 報告
  • OWASP Top 10 2017 報告
  • PCI 相符性報告
註: 原則目前僅適用於 Web 上,與 Static Analyzer 工具(IDE、CLI 和 Jenkins)不相容。

2018 年 3 月 8 日新增的功能

  • IDE 外掛程式現在會在每次掃描應用程式關聯時提示,而不是僅在每個工作區提示一次。
  • PHP 應用程式在產生 IRX 期間不會再遇到記憶體限制。
  • 協助我修正這個問題」按鈕在 Visual Studio 中不會再於解決修正程式群組之後重新啟動。

2018 年 3 月 5 日新增的功能

  • 當使用 AppScan Standard 配置來執行 ASoC 掃描時,測試會傳送至已從掃描明確排除的網域。此錯誤現在已修正。
棄用通知: 部分「問題內容」直欄於 2018 年 3 月 19 日移除。

當使用掃描結果時,預設會顯示六個「問題內容」:狀態、位置、CVSS、問題類型、嚴重性和掃描名稱。使用選取直欄下拉清單可以新增(或移除)其他內容的直欄。為了簡化 UI,下列直欄選項於 2018 年 3 月 19 日移除:

存取複雜度、存取向量、應用程式名稱、鑑別、可用性影響、分類、機密性影響、說明、探索方法、可利用性、修正建議、易記 ID、完整性影響、是協力廠商、Nessus·外掛程式·ID、專案名稱、通訊協定、補救層次、報告機密、嚴重性值、 重現步驟、摘要、WhiteHatSecVulnId

自 2018 年 3 月 19 日起,「選取直欄」下拉清單中不再顯示這些內容選項,如果曾在上一個掃描中選取,則不會再顯示於掃描結果中。

2018 年 2 月 26 日新增的功能

  • 先前下載為 HTML 檔案的「應用程式報告」,現在會下載為 PDF 檔案。
  • 現在報告中預設包含的資料為:目錄、摘要和詳細資料。其他四個分類(討論、歷程記錄、諮詢和修正建議)可以在產生報告時選取以包含在內。

2018 年 1 月 30 日新增的功能

  • 用英文以外的語言建立掃描時,問題嚴重性在報告中會正確顯示,但是在線上 UI 中會不正確的顯示為「未定」。此錯誤現在已修正。
  • 在 30 天之後重新掃描的不正確訊息現在已修正。

2018 年 1 月 8 日新增的功能

  • 重設應用程式資料:這個功能新增為「編輯應用程式」中的選項,可永久刪除應用程式的所有掃描和問題,同時保留應用程式的名稱和配置
  • 動態分析新行為:如果您載入掃描檔案,系統會提供您「完整掃描」或「僅測試」的選項:
    • 完整掃描:忽略掃描中儲存的所有結果,並且使用相同的配置執行新的掃描(先前掃描會保留現有結果並繼續掃描直到完成為止)
    • 僅測試:忽略任何「測試」階段結果,並且使用檔案中的「探索」階段結果來執行新的「測試」階段(先前「測試」階段會保留現有「測試」階段結果並繼續直到完成為止)
    請注意,在這兩種情況下,檔案中儲存的任何「手動探索」資料和「多步驟作業」都會包含在新掃描中。

2017 年 12 月 31 日新增的功能

  • 新的動態分析代理程式。

2017 年 12 月 26 日新增的功能

  • 現在產生報告時,您可以:
    • 包含詳細資料和討論(註解)meta 資料。
    • 不選取任何問題並按一下「報告」,藉此包含找到的所有問題。如果您選取問題,報告會如同以往一般僅包含這些問題。

2017 年 12 月 13 日新增的功能

  • 您現在可以將註解新增至應用程式中的「發現的問題」,顯示為「應用程式」視圖和「問題」視圖中的新直欄。
    註: 現有使用者需要先將「註解」直欄新增為「發現的問題」標籤中顯示的其中一個直欄。
  • 身兼多個組織成員的使用者,現在可在「使用者管理」中,從自己名稱旁的下拉清單中選取要顯示哪個組織的儀表板。

2017 年 12 月 5 日新增的功能

  • AppScan on Cloud 現在支援「開放程式碼」僅透過使用含 appscanprepare-openSourceOnly 選項進行掃描
  • 對於 C/C++ 掃描及產生 IRX 檔案的增強功能
  • 對於 Intelligent Code Analytics (ICA) 和 Intelligent Findings Analytics (IFA) 的邊緣案例穩定性強功能

2017 年 11 月 22 日新增的功能

  • 原則:現在您可以使用 REST API 來定義並使用「原則」,以僅顯示在特定日期後發現的問題,或是指定最低嚴重性的問題。請參閱原則
  • DAST 和 Android 引擎已更新為新版本,其中包含錯誤修正及效能增進。

2017 年 11 月 14 日新增的功能

  • 「問題」視圖中新增「歷程記錄」標籤,用以顯示所選問題的「審核追蹤」。請注意,追蹤僅從此更新的時間開始。
  • DAST 和 Mobile 引擎已更新為新版本,其中包含錯誤修正及增進的效能。

2017 年 10 月 23 日新增的功能

  • 現在您可使用 API 來刪除問題、掃描或應用程式圖表資料,不必刪除應用程式。
  • 「問題」視圖中新的「討論」標籤可讓您將自己的註解新增至應用程式的問題中。

2017 年 10 月 20 日新增的功能

  • 智慧型結果分析的增強

    先前 java.sql.Statement.executeBatch 和 InetAddress 會傳回干擾的結果。我們改進了智慧型結果分析 (IFA) 來過濾出這些誤判結果。

2017 年 10 月 10 日新增的功能

  • 「更新問題狀態」已新增至您可以控制的權限。
  • 現在可以將應用程式及問題分頁。

2017 年 10 月 3 日新增的功能

  • 「行動式分析」現在支援 iOS 11。
  • Android 和 iOS 掃描中的新問題類型:認證洩漏。
  • 主工具列現在會在「使用者名稱」旁邊顯示使用者目前已登入的組織。

2017 年 9 月 10 日新增的功能

  • 使用者角色
  • 自動產生的 AppID 已從整數變更為 GUID。由於系統會自動傳回新的 ID,且用於提交掃描的 API 與舊版相容,因此對使用者而言更容易理解。

2017 年 8 月 24 日新增的功能

  • 對於 Open Source Analyzer 支援的增強功能:

    提升了在同一個階段作業中執行多個掃描時,Open Source Analyzer 和 Eclipse 的效能。

  • 對於 C/C++ 支援的增強功能:

    更佳的 C++ 巨集和編譯器選項探索。

  • 已變更無追蹤的「靜態分析」問題識別:

    我們改良了「靜態分析」引擎,並進而改良了非追蹤發現項目的雜湊演算法。由於此變更,在部署此最新更新後,偵測到許多靜態分析發現項目,這些項目會在「問題」標籤中複製一次。這項變更主要是影響 Node.js、Ruby 和 JavaScript 發現項目,但也可能影響到其他語言。

2017 年 8 月 14 日新增的功能

  • 已移除:已移除能使用自訂屬性建立「應用程式設定檔範本」的功能。

2017 年 7 月 24 日新增的功能

  • 其他 iOS 支援: ASoC 現在支援掃描最高到 10.3 版的 iOS 行動應用程式。
  • 新的 IP 範圍:ASoC 所用的其中一個 IP 範圍已變更。請參閱 ASoC 使用哪些 IP?
  • 新的 UI 功能:位於掃描結果表格頂端的新勾選框可讓您「選取所有」掃描,而在該處的新「刪除」按鈕則會刪除其勾選框已被選定的所有掃描。請參閱 結果

2017 年 6 月 22 日新增的功能

  • AppScan on Cloud 現在支援掃描需要授權的 iOS 應用程式。
  • 對於 C/C++(包括 Visual Studio 2015)的更佳支援:

    C/C++ 掃描增強功能包括能夠掃描以 Visual Studio 2015 平台工具集為目標的 64 位元專案。

  • 改善 .NET 記載:

    改善所有 .NET 相關專案的記載和穩定化。

  • Javascript 增強功能:

    Javascript 會追蹤穩定化,避免不完整的追蹤在傳回結果時造成問題。

2017 年 6 月 15 日新增的功能

  • 掃描佇列:在執行訂閱的最大數目的並行掃描時,如果您嘗試啟動掃描,現在會將該掃描新增至佇列,並且會盡快自動啟動。
  • OWASP「行動式分析中的前 10 名風險」報告現在遵循「2016 年行動式前 10 名」: https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
  • 增強支援 NodeJS 和 Ruby:

    Node.js 和 Ruby 掃描與 Intelligent Findings Analytics (IFA) 完全整合,可大幅加快掃描時間。

  • 對於 Client Side Javascript 的增強功能:

    我們改善了 Javascript 引擎所產生的追蹤及非追蹤發現項目的顯示。

2017 年 3 月 26 日新增的功能

  • Application Security on Cloud 現在支援開放原始碼測試
    1. 在程式碼中尋找「開放原始碼」套件
    2. 識別已知為有漏洞的「開放原始碼」套件
    3. 針對有漏洞的套件建議替代方案
    結果會出現在「靜態分析」報告及 Application Security on Cloud 入口網站中。
    註: 「開放原始碼」測試需要附加訂閱。在該訂閱作用中之後,「靜態分析」掃描中就會自動包含「開放原始碼」測試。
  • 現在 AppScan Presence 包含選用的 Proxy Server,用於在功能測試的程序中納入掃描(僅限於 Web 應用程式的掃描)。

2017 年 2 月 3 日新增的功能

  • 使用 Jenkins 外掛程式時:
    • 現在支援動態分析。利用這項功能,可以對執行於瀏覽器中的應用程式執行分析。
    • 現在指定登入認證時,必須使用產生的 API 金鑰。
    註: 不支援從 Jenkins 外掛程式連接到 Bluemix。

2017 年 1 月 25 日新增的功能

  • 現在,在 C/C++ 靜態分析掃描期間會套用「智慧型程式碼分析 (ICA)」。

    先前已引入 ICA 進行 Java、.NET 和 PHP 掃描。透過這項技術,您可以探索並評量新應用程式設計介面 (API) 的安全影響。透過 ICA,所有第三方 API 和架構都會受到檢閱,並指派正確的安全影響。這可以獲得更多完整的掃描結果。

2016 年 12 月 21 日新增的功能

2016 年 12 月 14 日新增的功能

2016 年 12 月 13 日新增的功能

2016 年 11 月 16 日新增的功能

  • 靜態分析掃描現在採用「智慧型程式碼分析 (ICA)」。ICA 會自動探索新的應用程式設計介面 (API) 並評估其安全影響。透過 ICA,所有第三方 API 和架構都會受到檢閱,並指派正確的安全影響。這可以獲得更多完整的掃描結果。
    註: ICA 目前僅適用於掃描 Java、C/C++、.NET 和 PHP。

2016 年 10 月 19 日新增的功能

  • 使用者管理頁面中的變更:
    • 已移除「使用者及角色」頁面上的「管理使用者」按鈕。現在,在主功能表中也有橫幅到 IBM Cloud Marketplace 的「管理」連結可用。
    • 在「主功能表 > 使用者管理 > 使用者及角色」中也可使用橫幅到 IBM Cloud Marketplace 的「邀請使用者」連結。

2016 年 10 月 12 日新增的功能

  • 建立應用程式設定檔範本。(後來已移除此功能。)
  • 自訂風險評級公式。(後來已移除此功能。)
  • 使用自訂公式來判定風險。(後來已移除此功能。)

2016 年 10 月 5 日新增的功能

  • macOS 10.11 版或更新版本現在支援靜態分析 CLI、Eclipse 外掛程式和 Maven 外掛程式。

2016 年 9 月 28 日新增的功能

2016 年 9 月 14 日新增的功能

  • 掃描 iOS 行動式應用程式現在支援 iOS 10。
  • 「靜態分析」現在支援在 Visual Studio 解決方案中掃描 C/C++。
    註: 請參閱 Microsoft Visual Studio 支援(僅限 Windows)

2016 年 9 月 7 日新增的功能

  • 掃描 iOS 行動式應用程式時,不再需要使用「IPAX 產生器」來建立和上傳 IPAX 檔案。現在您可以建立和上傳 IPA 檔案。

2016 年 8 月 23 日新增的功能

2016 年 8 月 3 日新增的功能

  • 新增 使用者 功能。使用者管理有助您限制對機密應用程式的存取權, 作法是將它們指派給資產群組,然後新增特定使用者至那些群組。
  • 新增使用者管理 REST API
  • 支援掃描上的過濾器和統計資料(順利完成、進行中或失敗)。

2016 年 7 月 20 日新增的功能

  • 支援在應用程式中選取問題直欄
  • HCL Cloud Marketplace 限定:如果您連接至位於 AppScan on CloudHCL Cloud Marketplace 服務,如今靜態分析掃描必須與現有的 AppScan on Cloud 應用程式相關聯。將掃描與應用程式相關聯可讓您運用 AppScan on Cloud 儀表板的報告與趨勢功能。

    如果要學習如何在透過 CLI 提交掃描時關聯應用程式,請參閱 分析指令 (Windows)分析指令 Linux 與 macOS。如果要學習如何在從 IDE 提交掃描時執行此動作,請參閱 在整合開發環境中掃描

  • 在靜態分析掃描期間,進行加強型用戶端 JavaScript 探索。

2016 年 7 月 11 日新增的功能

2016 年 6 月 29 日新增的功能

  • 支援掃描需要登入的 Android 行動式應用程式

2016 年 6 月 22 日新增的功能

  • 請求專家協助。您可以購買「諮詢服務參與單位」作為訂閱的附加功能。在訂閱期間,您可以使用這些「參與單位」來要求及接收任何的「隨需應變諮詢」服務組合,視這些服務需要多少單元而定。
  • 「靜態分析」現在支援以下語言:
    • 用戶端 JavaScript
    • PHP
    • Ruby
  • 偵測 iOS 及 Android 行動式應用程式中的資訊洩漏

2016 年 6 月 8 日新增的功能

  • 全新的「我的掃描」頁面包含一份純掃描清單(無論其屬於什麼應用程式)
  • 在使用 Dynamic Analysis 進行掃描時,您現在可以選取特定的「測試集」
  • 支援使用 Dynamic Analysis 掃描更多已驗證的網域

2016 年 6 月 1 日新增的功能

  • 現在支援 Node.js 進行靜態分析掃描。

2016 年 4 月 5 日新增的功能

  • 建置應用程式資產的庫存,以瞭解您需要保護的項目
  • 依業務衝擊來分類和評等應用程式,以瞭解需要保護的最重要項目
  • 依應用程式來組織 Analyzer 掃描,以得到完整的評量
  • 取得每一個應用程式的安全評級,以按照風險來評等資產
  • 設定漏洞的優先順序及管理其解決方案
  • 檢視儀表板以瞭解應用程式安全狀態並查看是否有改善
  • 在 Android 6 模擬器上使用 Mobile Analyzer 來掃描 Android 應用程式以找出更多漏洞
  • 從您的 IntelliJ IDE 輕鬆使用 Static Analyzer 掃描和檢視漏洞。