2025 年先前更新

• 靜態分析用戶端已更新至 8.0.1677 版。
• 支援 .NET 10。
• 支援 Flutter 架構，作為 Dart 支援的一部分。
• 技術預覽：簡化 .NET 資料流程分析的配置程序
• 更新規則。
• ICA 2.0：透過 AI 提升 Java 與 .NET 資料流程的準確度。
  註： 此更新使用 AI 以更準確地分類未知 API。由於引擎減少誤判率並改善漏洞分類，Java 與 .NET 專案的掃描結果可能會有所變動。

• Azure App Service 整合：導入將代理程式部署為 Azure .NET 延伸模組的方式，提供簡單直接的安裝流程，並與 Windows 上適用於 .NET Core 的 Azure App Service 完整整合，如此一來便無需再使用 NuGet 型安裝方式。
• 新的 IAST .NET 代理程式 (1.15.3)
  • 支援在 Kubernetes 環境中，使用 IAST Kubernetes 分析工具與 .NET 服務。
  • 錯誤修正。
• 新的 IAST .PHP 代理程式 (1.2.2)
  • 細項修正。

• 適用於 LLM 增強型應用程式的 DAST：使用 AppScan DAST 動態測試並保護您的業務免受大型語言模型 (LLM) 風險影響，此工具專為偵測重大漏洞而設計，可在攻擊者加以利用前即識別機密資訊揭露、提示注入等問題。如需詳細資訊，請參閱部落格。
• 範本管理：可選擇下載範本並以更新後的配置取代既有範本檔案。

• 適用於 Kubernetes 的 IAST (1.0.10)：
  • 導入使用 Helm 圖表的替代安裝方法。
  • 改善名稱空間過濾處理。
  • 可透過新增標籤 skip-iast-webhook="true"，在 IAST 安裝中略過個別 Pod。
  • 新增 IAST 儲存器的 CPU 和記憶體配置限制。
  • 當 IAST Webhook 伺服器不可用時，Pod 便不再受到影響。
  • 更新基本映像。
• 相關性：
  • 支援 IAST 發現項目與 SAST 自訂掃描器發現項目之間的相關性。

• 首頁：全新的 ASoC 首頁可讓您快速概覽最近的應用程式和掃描，並輕鬆存取近期工作。

• 自動登入改善：AppScan 現在可更穩定地搜索 Angular 應用程式，修正了罕見的登入錄製失敗問題，並在重播失敗後的第二次嘗試中，新增動作之間的延遲，以提升整體成功率。
• 遮罩改善：在 AppScan 全面強化遮罩功能，以更一致地保護機密資訊。
• 已進一步支援使用 AngularJS 架構的單頁應用程式 (SPA) 掃描。
• 全新與更新的安全規則。

• AppScan 全新的 SCA 引擎現已納入整合式惡意軟體偵測功能。此增強功能會自動掃描開放原始碼與第三方元件中的已知惡意或遭入侵套件，進而協助團隊在開發初期識別並降低潛在的供應鏈風險。

• 範本管理：在 ASoC 中管理 DAST 範本，以控制並加速進行 DAST 配置。可依需求自訂範本並指派至資產群組。
• 從已上傳的範本建立掃描：將範本上傳至 ASoC 後，您可以在執行掃描前檢閱並編輯其配置。

• 新的相符性報告：
  • OWASP 2025 年 LLM 應用程式 10 大安全風險
  • [加拿大] IT 安全風險管理：生命週期方法 (ITSG-33)
• 已更新的相符性報告：
  • 國際標準－ISO 27001:2022
  • 國際標準－ISO 27002:2022
  • 支付卡產業資料安全標準 (PCI DSS) - V4.0.1
  • NIST 特別出版品 800-53－5.2.0 版
  • [歐盟] 一般資料保護法規 (GDPR)
  • [美國] 健康保險可攜性與責任法案 (HIPAA)

• 自訂應用程式欄位現在可於匯出的 CSV 檔案（包含應用程式詳細資料）中使用，並且會顯示在產生的安全性報告中。

• 現在提供新的外掛程式與整合，可從整合頁面存取：
  • Slack：在您的 Slack 通道中接收 AppScan on Cloud 的安全警示和掃描通知。
  • Splunk：將 AppScan on Cloud 與 Splunk 連接，以透過分析和儀表板集中檢視掃描資料。
  • Cursor AI：與 AppScan CodeSweep 整合，可在 AI 輔助編碼過程中識別並補救漏洞。

• 靜態分析用戶端已更新至 8.0.1663 版。
• 現在，產生報告時，使用者可指定是否在報告中包含「目錄」與「摘要」區段。
• 靜態分析現在可將 .mjs 檔案納入 JavaScript 支援範圍進行處理。
• 更新規則。

• SAST：您現在可在 GitHub 儲存庫與分支下拉清單中進行搜尋。
• 頁面載入速度更快。
• 改善階層連結導覽的準確性。
• 更新色彩和圖形以支援無障礙工具。

• 新的 IAST Java 代理程式 (1.21.1)
  • 更新相依關係以提升相容性和安全性。
• 新的 IAST .NET 代理程式 (1.15.2)
  • 重新整理相依關係，提升結果準確性。
• 新的 IAST .PHP 代理程式 (1.2.1)
  • 效能最佳化與錯誤修正。

• 靜態分析用戶端已更新至 8.0.1655 版。
• 更新規則。

• 回復掃描：在某些情境下，現在可回復失敗或部分完成的掃描。此功能可在既有限制排除後，讓您從掃描中斷處繼續執行掃描程序，從而節省時間與資源。

• 開放原始碼程式庫的審核追蹤標籤可清楚顯示關於每個程式庫的所有操作和變更，進而協助團隊追蹤歷程、維持相符性並提升責任性。
• 新的 SCA 引擎提供 EPSS（漏洞利用預測評分系統），可用於新的掃描，此系統能根據漏洞實際被利用的可能性，以更聰明的方式排定漏洞優先順序。EPSS 評分與百分位數會顯示在 SCA 問題的詳細資料窗格中。如需詳細資訊，請參閱 EPSS。

• 修正群組介面經過重新設計，能提升可用性。新介面可讓使用者更容易理解分門別類的問題、瀏覽解決方案並有效管理修正。

• 靜態分析用戶端已更新至 8.0.1653 版。
• 修正當 Azure DevOps 儲存庫處於分離的頭端狀態時，Git 資訊可能被錯誤收集的問題。
• 更新規則。

• 新的 IAST Java 代理程式 (1.20.2)
  • 針對使用 org.springframework.core.io.UrlResource 的客戶提升支援能力。
• 新的 IAST .NET 代理程式 (1.14.3)
  • 支援用於微服務的 IAST 分析工具。
  • 現在可透過 secagent.log 環境變數配置 IAST 的日誌檔名稱和路徑。
  • 針對使用 System.Net.WebClient 的客戶提升支援能力。
• 新的 IAST .PHP 代理程式 (1.1.4)
  • 針對 Magento 架構使用者提供效能改進與錯誤修正。
• 適用於 Kubernetes 的 IAST (1.0.8)
  • 安全更新項目

• 靜態分析用戶端已更新至 8.0.1651 版。
• 為軟體組成分析 (SCA) 即將支援的 Yarn 套件管理程式奠定基礎。完整支援內容將另行公告。

• 靜態分析用戶端已更新至 8.0.1650 版。
• 修正 Maven/Gradle 故障導致 AppScan Go!「路徑 2」失敗的問題。
• 釐清 Failed in IAssemblyInfo call 列印於主控台輸出的訊息。
• 修正在 Linux 的儲存庫根目錄上，檔案的 Git 相對路徑失效的問題。

• AppScan Go! 升級至 2.3.0 版。
• 新的安裝程序讓服務偵測功能更聰明。
• AppScan Go! 現在可在登入時自動偵測並填入正確的服務 URL。
• 使用者現在可以在 AppScan Go! 內允許掃描啟用團隊介入。
• 指定用於掃描的軟體組成分析 (SCA) 檔案不再顯示絕對路徑。
• 使用者介面改善。

接下來幾週，AppScan 團隊將移轉帳戶，使用全新改良的 SCA 引擎。

• 軟體組成分析 (SCA) 引擎更新至第 3 版。
• 更乾淨可靠的掃描結果。

  新款引擎強化原已優良的偵測功能，將噪音降至最低並提供更準確的結果，進一步提升精確度。

• 擴充漏洞資料庫。

  更快速精確地識別已知風險。

• 推出相依性圖形視圖。

  當掃描中有相依性資料，您會看到視覺化的圖形視圖，有利於更輕鬆瞭解套件關係和影響。

• 支援延伸配置檔掃描。

  C/C++、PHP 和 Java 配置檔。須更新至靜態分析用戶端 8.0.1646 版。

• 靜態分析用戶端已更新至 8.0.1646 版。
• 修正 Java 平行處理快取中本端產生的 .irx 檔案問題。

• 靜態分析用戶端已更新至 8.0.1645 版。
• 更新規則。
• 改善 Git 探索期間的 IRGen 效能。
• 可使用「組織」設定正確啟用機密掃描。

• AppScan For Dev - DAST 問題驗證工具：新增下載 Python 指令碼的選項，並在 IDE 中執行。
• 下載掃描失敗的掃描檔案：您現在也可以下載掃描失敗的掃描檔案，以利在 AppScan Standard 中執行進一步的疑難排解。只有在已確實開始執行掃描的情況下，才能下載檔案。

• 將「已移除」狀態新增至程式庫視圖：根據預設，程式庫視圖不會顯示已從應用程式移除的程式庫相關資訊。您現在可以套用過濾器來檢視已移除的程式庫，而且這些程式庫會清楚標註為「已移除」狀態。

• 報告自訂功能更新
  • 使用報告佈置為報告設定自訂標題。
  • 產生的報告會顯示報告類型。

• 重新設計訂閱頁面：重新設計訂閱頁面，以提升使用者體驗。
• 表格：
  • 選取直欄：依類別選取直欄，以提高可用性。
  • 從網格複製：以滑鼠右鍵點按任何表格資料格，即可輕鬆複製其內容。

• 更新至 C/C++ 掃描。

• SCA 掃描詳細資料包括程式庫狀態：現在 SCA 會指出程式庫是否仍存在於最新的掃描中，以協助追蹤補救進度。

• JavaScript 掃描器：新的混合式掃描可提升掃描 JavaScript 原始碼時的準確度，包括內部流程分析。
• Java ICA 2.0：在改善 Java 智慧型程式碼分析 (ICA) 的主要增強功能中，我們的 AI/ML 自動安全性描述子包含更精確的發現項目並減少誤判率。

• 微服務 IAST 分析工具 (Node.js)
  • 完整的服務圖形視圖：為微服務的互動方式提供全方位視覺化呈現，讓您更深入瞭解微服務間的關係。
  • 降低誤判率：運用服務圖表提升漏洞偵測的精確度，減少不相關的警示並增加安全性工作效能。

• 已更新的相符性報告：
  • [美國] DISA 的應用程式安全與開發 STIG。V6R3
  • 2024 年 CWE 前 25 大最危險的軟體弱點

• 靜態分析用戶端已更新至 8.0.1640 版。
• 更新規則。

• AppScan For Dev - DAST 問題驗證工具：這種方法可讓開發人員模擬 AppScan 直接在 IDE 或瀏覽器內回報的 DAST 漏洞。開發人員可以執行由 AppScan 產生的指令碼來複製問題，然後進行除錯並驗證修正，完全不需要先重新掃描，再檢查程式碼。

• 流量資料檔案上含多個網域：上傳含有多個網域的流量資料檔案時，ASoC 會自動將這些網域新增至「要測試的網域」清單，並將已驗證的網域標記為納入掃描。

• IAST for Microservices 現已強化對 Kubernetes Node.js 環境的支援，提供非侵入性的解決方案，讓您能在 Kubernetes Pod 中自動部署 IAST 代理程式。AppScan 使用部署指令碼來自動整合代理程式。這項新功能有助於管理多個儲存器，並讓測試和線上環境能夠使用原始應用程式影像，無需更動。這樣一來，您就能查看完整的微服務可見度圖形視圖，協助在開發生命週期初期辨識及解決安全性問題。

• 透過全新的 Centraleyezer 外掛程式，您可以在 Centraleyezer 漏洞管理平台上順暢匯入和管理 HCL AppScan on Cloud 弱點資料（包括 DAST 和 SAST 掃描），讓您能夠辨識、排定優先順序、追蹤和補救安全性漏洞。
• 與 CMD+CTRL Security 整合，提供沉浸式安全程式碼實作訓練。

• 引擎錯誤修正

• 修正影響使用 .NET Framework 之客戶的錯誤。

• 新增對使用 Red Hat 8 與 PHP 8.2 之客戶的支援。
• 修正 Windows 上的安裝問題。
• 提升效能並進行各種最佳化。
• 一般錯誤修正。

• 安全報告會列出與問題相關的儲存庫 URL。

• 已移除 ThreadFix 外掛程式。

• 「測試原則」標籤現已加入「組織」之下。您可以在這裡管理測試原則，並上傳您在 AppScan Standard 或 AppScan Enterprise 建立的自訂原則。
• 「組織」下的「原則」標籤現在重新命名為「相符性原則」。

• 相依性更新
• 修正儲存器權限
• 修正 Windows 安裝
• 使用 Private Registry 的客戶可將儲存庫名稱當作參數傳入安裝 Script。

• Azure OpenAI 配置可減少誤判而改善測試結果，進而提升精確度。

• SBOM（軟體物料清單）報告原已於我們的平台介面中提供，現在可經由 Swagger API 存取。

• 報告自訂：個人化您的報告，輕鬆加入公司標誌等品牌識別要素，並可建立自訂頁首和頁尾。
• 自訂原則：現在可依技術過濾問題，並仍可使用原本即可用的其他過濾選項。

• 效能改善。
• 在停用代理程式時，降低與 AppScan on Cloud 通訊的活動訊號頻率。
• 改善合併類似問題時的演算法。