先前更新：2023-2024 年

• 改善報告並避免報告類似問題

• 支援 .NET 9
• 支援 rabbit MQ
• 新問題類型 PasswordLeakageDB (CWE 256) 與 PasswordLeakageSentData (CWE 201)

• 使用 Curl 與 ASoC 而不是內建用戶端通訊（需要 Curl 安裝在執行 IAST 的機器上）
• 支援在 Ubuntu 24 上安裝代理程式
• 新的漏洞：未驗證的重新導向 (CWE 601)
• 新的漏洞：密碼洩漏至 HTTP 回應 (CWE 256)

• 在停用代理程式時，降低與 ASoC 通訊的活動訊號頻率。

• 整合式程式庫與漏洞資料：開放原始碼程式庫和授權資訊可在問題資訊窗格的新「程式庫」標籤中檢視，讓您全面瞭解開放原始碼元件對您應用程式的影響，並更好地管理安全風險與相符性需求。

• 預先定義的測試原則：現在，您可以選擇預先定義的測試原則來僅執行對您來說很重要的相關測試，並縮短掃描時間。如需詳細資訊，請參閱測試原則。
• 排除/例外：配置 DAST 掃描以忽略特定應用程式路徑，並將例外（包括）新增至排除的路徑，以協助進行聚焦且更快速的掃描。如需詳細資訊，請參閱排除路徑。
• 當上傳掃描檔案時，支援「重新測試」與「繼續測試」，當上傳範本檔案時，測試選項會更清楚。

• 儀表板更新：已更新儀表板過濾器，且其可讓您依應用程式過濾儀表板。

• ASoC 整合頁面已修改為包含所有可用整合的完整清單。

• 在 Ubuntu 上支援 PHP 7.4
• 支援與 AppScan Enterprise 通訊
• 支援不安全的 Cookie 漏洞（CWE 614、1004）
• 支援密碼洩漏至資料庫與回應漏洞（CWE 201、256）
• 改善不同環境的穩定性
• 修正 Apache 上的安裝
• 錯誤修正

• 修正 Linux 上的安裝
• 支援僅在指定名稱空間安裝代理程式

• 當啟用自動關閉問題，且在重新掃描時找不到開放原始碼程式庫時，會像其他掃描問題一樣處理程式庫，並將其從掃描結果中移除。
• 執行時期 SCA 更新。

• API 測試：透過我們全新的原生 API 掃描工作流程，確保在開發程序早期偵測並修正漏洞，讓您的 API 安全無虞。此版本支援使用 Postman 與手動記錄的 API 掃描工作流程。期待在未來的更新中會無縫支援其他 API 掃描工作流程。
• 有漏洞的第三方元件偵測：這項新功能可識別最常使用的用戶端與伺服器端技術並報告其漏洞，藉此增強現有的 DAST 功能。

• 儀表板更新：已新增掃描、技術與 SCA 卡至儀表板。這些項目可讓您依技術檢視掃描或應用程式，並針對 SCA 查看應用程式中排名前五的授權。
• 暗色主題：現在，您可以在 AppScan on Cloud 中切換為暗色主題。
• 應用程式建立更新：預設「業務衝擊」設定為中，且已新增至快速應用程式設定而不是 Presence。
• 問題嚴重性/問題的狀態：您可以在問題詳細資料檢視中更新問題嚴重性或個別問題的狀態。
• 移除狀態「新建」：之前已淘汰的問題狀態「新建」現在已從 ASoC 中完全移除。
• 現在，應用程式的名稱最多可有 120 個字元。

• HCL AppScan Visual Studio extension for Visual Studio 2022
  • 支援從 Visual Studio 2022 IDE 內，在 HCL AppScan on Cloud 建立 SAST 與 SCA 掃描。
  • 支援從 IDE 內的「掃描配置」選項。您也可以透過 Visual Studio IDE 中新「我的掃描」標籤，檢視已啟動掃描的相關資訊。
• HCL AppScan Jenkins 外掛程式
  • 在以下項目中支援重新掃描 SAST 與 SCA 掃描 HCL AppScan on Cloud
• HCL AppScan Azure 外掛程式
  • 在 HCL AppScan on Cloud 中支援重新掃描 SAST 與 SCA 掃描。

• 針對執行時期 SCA 問題使用更新的問題類型。
• 在無堆疊問題的方法簽章欄位中顯示 URL，該問題會顯示在 AppScan on Cloud 中的位置欄位。
• 已改善對 RabbitMQ 的支援。
• 使用新問題類型：PasswordLeakageDB 與 PasswordLeakageSentData。

• 針對執行時期 SCA 問題使用更新的問題類型。
• 在無堆疊問題的方法簽章欄位中顯示 URL，該問題會顯示在 AppScan on Cloud 中的位置欄位。

• REST API 版本 2 已於 2024 年 7 月 30 日淘汰，不再受到支援，且很快就會移除。請改用 REST API V4。請檢閱技術概觀，取得移轉至更新版 API 的協助。

• 新的 IAST .NET 代理程式 (1.11.2)
  • 支援執行時期 SCA。
  • 使用啟動掛鉤為 NuGet 提供的替代安裝方法。

• 靜態分析用戶端已更新至 8.0.1574 版。
• 支援 Java 21。此外，Static Analyzer 指令行公用程式 (SAClientUtil) 套件中也包含 Java 21。
• CLI 指令 queue_analysis 會顯示靜態分析 (SAST) 與軟體組成分析 (SCA) 的掃描 ID。
• 將參數 --oso 和 --sao 新增至 appscan queue_analysis 指令，以指定僅限開放原始碼掃描或僅限靜態分析掃描。
• 已針對 .NET 追蹤發現項目啟用 IFA 2.0。
• 機密掃描器會掃描 PowerShell (.ps1) 檔案。
• 當使用者擁有超過 5000 個應用程式時，從指令行介面或 or AppScan Go! 提交的掃描不再失敗。
• 以下項目的規則更新：Angular、ASP、CSS、Dart、Java 原始碼掃描器、JavaScript、JQuery、Objective-C、PHP、Python、密碼掃描器、TerraForm、TypeScript 和 VueJS。
• 一般錯誤修正。

• 更新 AutoUpdate 以使用 AppScan on Cloud v4 REST API。
• 已修正第三方漏洞。

• 自動修正：策劃的自動修正建議現在在 AppScan on Cloud 使用者介面中提供 GenAI 摘要說明。先前的自動修正僅適用於 CodeSweep IDE 外掛程式。
• 用於 SAST 儲存庫掃描的 GitHub Enterprise 整合：對 GitHub Enterprise 儲存庫執行靜態分析掃描。

• 網域管理：管理您組織內的網域，包括不同資產群組的權限，以及網域授權，而無需進行驗證。此功能現在適用於銀級、金級、白金級和個別應用程式訂閱。若要從網域驗證移轉至網域管理，請聯絡支援團隊以取得協助。

• SCA 執行時期：SCA 以 IAST 功能為基礎，可辨識及管理應用程式在執行時期所使用之開放原始碼元件和程式庫的漏洞。執行時期 SCA 為潛在漏洞提供更準確的內容，因此，有助於排定問題修復與解決的優先順序。
• 惡意軟體偵測：軟體組成分析可偵測並報告視為惡意軟體的開放原始碼程式庫。AppScan 採用全方位的進階方法，結合自動化分析與真人專業，掃描多個儲存庫，並執行多網域分析，以進行全面的安全評估。我們會持續監控套件更新，搭配目標式攻擊偵測與二進位分析，有助於發現隱藏的威脅。我們的專家團隊會檢閱可疑的發現項目，以確保結果準確無誤。
• 方法和根目錄相依性識別：SCA 方法及根目錄相依性詳細資料可增強軟體專案中程式庫的偵測與分析。相依性根目錄代表啟動併入其他程式庫的原始程式庫，這些程式庫會導致併入有漏洞的程式庫，進而讓使用者能夠瞭解有漏洞程式庫的來源。完整的相依性階層和資訊包含在 SBOM 報告中。

• 適用於 Kubernetes 的 IAST：AppScan 支援在 Kubernetes 叢集上自動安裝 IAST 代理程式，並支援 Java、.Net 和 Node.js 應用程式。

• 新合規性報告和原則：
  • 網路與資訊安全指引 (NIS2)
  • OWASP 雲端原生應用程式安全前 10
• 自動註解傳播：自動將最新註解與其他應用程式中相同問題的問題狀態一起傳播到目前應用程式。這可確保狀態和註解均持續更新，進而在所有應用程式中提供完整且同步的問題記錄。

• 將外掛程式與 API 頁面重新命名為整合，可更清楚、更直覺地呈現 AppScan on Cloud 中提供的各種第三方整合與自訂功能。
• 已新增 Jira Cloud 外掛程式和 AppScan on Cloud CLI。
• 已移除 AppScan 自動化架構。

• 支援 RabbitMQ 作為來源和接收槽。
• 支援 Privacy.DataLeakage 類型的漏洞，將密碼未加密寫入資料庫或回應時報告。
• 支援 AppDOS.Flood 類型的漏洞，當 Vert.x 應用程式未設定要求內文限制時報告。
• 當來源類似時，合併對於不安全和僅 HTTP Cookie 的重複報告。

• 減少代理程式相依性，以避免應用程式衝突。

• SAST 掃描現可配置和排程，直接從公開的 GitHub 儲存庫擷取原始碼。請參閱掃描 GitHub 儲存庫。
• 使用者可在分類 SAST 發現項目時，直接在 GitHub.com 上檢視相關的原始碼。
• 發現項目現可依檔案名稱或路徑進行過濾，將重點放在代碼庫的特定區域，以更有效率的方式進行分類。

• 網域驗證精靈的功能已加強，可讓使用者在將檔案放入根資料夾後測試連線。超過 30 天的待驗證網域將會刪除。在根資料夾中偵測到驗證檔案或確認電子郵件驗證之前，網域會保持擱置狀態。

• 已新增兩份業界標準報告：
  • 2023 年 OWASP 前 10 大 API 安全性
  • 2023 年 CWE 前 25 大最危險的軟體弱點
• 下列報告已更新：
  • [美國] DISA 的應用程式安全與開發 STIG，版本 5 發行版本 3
  • 付款卡產業資料安全標準 (PCI DSS) 版本 4

• 此頁面提供有關 AppScan on Cloud 服務運作狀態和規劃維護的即時資訊。現在可從 AppScan on Cloud 入口網站存取。
• 您可以從下列位置存取此頁面：
  • 在 AppScan on Cloud 入口網站中，AppScan 資源頁面可從每個頁面頂端的「支援」功能表下存取。服務狀態頁面的連結位於「AppScan 資源」頁面的底部。
  • AppScan on Cloud 說明文件：狀態頁面的連結可在「產品資源」區段下的入門手冊頁面上找到。
  • 您可以直接將 URL 加入書籤：AppScan on Cloud 服務狀態頁面。

• 支援 Vertx 版本 3.x。
• 適用於 Vertx 的 API 端點探索。

• 更新相依關係
• 在執行時期進行.NET Core 代理程式的替代部署，無需進行構建（測試版）。

• 「建立掃描」對話框已重新設計，提供簡化 DAST 掃描的工作流程。
• 設定頁面經過重新設計並具有改善的組織，且現在頁面設定變更時需要確認。
• 關聯性群組頁面已重新設計，提供更加容易的使用體驗。

• 已改善對使用 Vertx 架構的客戶的支援。
• 支援 IAST 總計的元件探索與更準確的堆疊報告。

• 在 Ubuntu 上支援 PHP 8.3。
• 支援來自伺服器配置檔的環境變數。

靜態分析用戶端已更新至 8.0.1561 版。

• 已新增支援 VertX 架構。

• 已新增支援 NET 8。
• 已增強對 .NET 上 IAST 總計的支援。
• 最佳化。

AppScan Go! 利用重新整理且改善的使用者介面和改良的工作流程，逐步引導您設定和執行靜態、SCA 或機密掃描。您可以執行完整掃描、準備 IRX 檔案以稍後掃描，或設定檔案以使用 AppScan 外掛程式進行自動掃描。您也可以在工具內檢視帳戶資訊。

這個將靜態和開放原始碼掃描技術分開的方法為測試策略提供更大的彈性。您僅能使用 SCA 掃描開放原始碼程式庫，並在 SCA 特定的單一掃描檢視畫面中處理問題，或是為檔案執行靜態和開放原始碼掃描，視組織需求而定。

DAST 精靈測試選項可讓您指定是否傳送測試到登入和登出頁面。

資產群組是管理使用者資料存取權的實用方法。使用此更新的使用者介面，您可以輕鬆定義及管理資產群組，改善管理哪些團隊成員處理特定的資料。

AppScan on Cloud 會以階式樣式表列出安全漏洞，包括跨網站、注入和驗證。

可配置 Static Analyzer 指令行公用程式 以利用 WebSphere 環境來使用 WebSphere 隨附的 JSP 編譯器。

AppScan on Cloud 已改善在 HTML 檔案中 PHP 內容的驗證。

AppScan 開發團隊會持續地定期檢閱功能性和程式碼、進行修改和調整，以提供最佳掃描功能性。

• 已更正使用者設定 Proxy 不正確時顯示的訊息。
• 已更新 IAST 日誌，納入日期和時間。

• 對於會回報應用程式 API 完整清單的問題，使用新的問題類型「偵測到的 API」來取代「雜項」問題類型。
• 改進部署程序：Java 第 9 版及更新版本不再需要設定 BC_SB 環境變數。
• Java 的其他架構支援：Spring 6。
• OWASP 測試：改進日誌記錄以供示範之用。如需相關資訊，請參閱使用 IAST 代理程式執行 OWASP Benchmark。

• 支援增量掃描，藉由識別應用程式中的新區域和變更，並將掃描焦點放在這些區域和變更上，大幅縮短 DAST 重新掃描的時間。

• 更新：如 2023 年 9 月 5 日新增功能所述，只有透過 AppScan Standard Connect 上傳至 AppScan on Cloud 的 AppScan 結果才會納入有漏洞元件的結果。目前 ASoC 上的 DAST 掃描不支援此功能。

• 單一掃描檢視畫面：除了問題總數和新問題之外，現在還加入顯示作用中問題的選項。作用中問題是指狀態為「新建（已刪除）」、「待解決」、「處理中」或「已重新開啟」的問題。此外，也對「問題嚴重性程度」圖表加以改進。
• 您現在可以指定最多三個唯一的存在，並將應用程式的掃描限制在這些存在。

可使用 --enableSecrets 和 --secretsOnly 選項來掃描機密。

• 建立應用程式：新的快速設定可讓您僅透過指派名稱和資產群組來建立應用程式。您可以稍後使用編輯應用程式新增其他參數。
• 擁有權限的使用者現在可以在「建立和編輯應用程式」對話框中建立新的資產群組。

• 掃描配置精靈現在支援向掃描新增其他網域。
• 儀表板：「具有最活躍問題的應用程式」圖表取代了「常見問題類型」圖表。
• 由於新增了自動表單填入等新的配置選項，因此已移除選取暫置或正式作業環境的選項。如需詳細資料，請參閱 appseccloud_ref_faq.html#FAQ__why

• 建立掃描 API：目前 DAST 執行緒數最多可支援 20 個執行緒。
• 現在開放原始碼資訊在程式庫層級（而非檔案層級）顯示更加整合且準確的資料。

• 更新圖示和標誌
• 一般錯誤修正

• 效能的改善
• 新增新漏洞：
  • 敏感 API 需要日誌記錄 – CWE 778，（A09:2021 – OWASP top10 2021 清單中的安全記錄與監視）。支援使用 log4j 的應用程式。
  • Regex 注入 (CWE 624)。
• API 偵測：新問題會回報應用程式中所有偵測到的 API。支援 Spring 應用程式。

• 錯誤修正與效能改善
• 支援 .NET 核心中的 WebSocket
• 新的漏洞類型遺漏「Content-Security-Policy」標頭 (CWE 1032)，遺漏「Referrer policy」安全性標頭 (CWE 200)
• 為使用 System.Net.WebClient 的客戶提供基本支援