新增功能 AppScan on Cloud

探索即將推出和最近新增的功能。

Updates: 您可以在 AppScan 新聞上找到 AppScan on Cloud 公告,包括計畫變更的預先通知,以及可能影響工作流程的排程維護。如果要在有公告時收到通知,您可以訂閱 AppScan 新聞
Translations: 如果您正在閱讀此頁面的翻譯版本,請注意,此頁面可能不包含最新的新增內容。如需檢視此頁面的最新版本,請使用功能表列右上方的「變更語言」選項,以切換至英語版本。

2024 年 9 月 26 日新增功能

  • 靜態分析用戶端已更新至 8.0.1583 版。
  • 支援軟體組成分析 (SCA) 之 NPM 套件鎖定檔案的配置掃描。

2024 年 9 月 19 日新增功能

  • 靜態分析用戶端已更新至 8.0.1582 版。
  • IaC、PHP、Python 等的規則更新
  • 一般錯誤修正。

2024 年 9 月 15 日新增功能

  • 整合:
    • 下列外掛程式已淘汰,並從 ASOC 整合頁面中移除:
      • Visual Studio 2012 - 2019
      • Eclipse
      • Bamboo
      • GoCD
      • UrbanCode
    • 從 ASOC 整合頁面移除日期:2024 年 9 月 15 日
    • 外掛程式/整合功能停止日期:2024 年 9 月 21 日
    • 所需的動作:升級至可用外掛程式的最新版本
  • AppScan on Cloud EU 網域變更:
    • AppScan on Cloud EU 執行個體的預設網域已在 2024 年 7 月變更為 eu.cloud.appscan.com。舊網域 cloud.appscan.com/eu 即將解除委任。因此,請務必更新文件或網頁中的任何書籤或內嵌 URL,以避免任何中斷。

2024 年 9 月 10 日新增功能

2024 年 9 月 4 日新增功能

  • 靜態分析用戶端已更新至 8.0.1577 版。
  • PHP、JavaScript、Ruby、C/C++ 等的規則更新
  • 支援 eSQL
  • 一般錯誤修正。

2024 年 8 月 22 日新增功能

  • 新的 IAST Java 代理程式 (1.17.2)
    • 針對執行時期 SCA 問題使用更新的問題類型。
    • 在無堆疊問題的方法簽章欄位中顯示 URL,該問題會顯示在 AppScan on Cloud 中的位置欄位。
    • 已改善對 RabbitMQ 的支援。
    • 使用新問題類型:PasswordLeakageDB 與 PasswordLeakageSentData。
  • 新的 IAST .NET 代理程式 (1.11.3)
    • 針對執行時期 SCA 問題使用更新的問題類型。
    • 在無堆疊問題的方法簽章欄位中顯示 URL,該問題會顯示在 AppScan on Cloud 中的位置欄位。

2024 年 8 月 19 日新增功能

  • 儀表板已重新設計:透過新儀表板深入瞭解您的應用程式,並找出問題所在。使用容易理解的圖表和圖形檢視即時分析,以追蹤重要指標。
  • 問題「詳細資料」標籤中的儲存庫連結:問題詳細資料標籤中的「位置」欄位包含指定檔案的連結,以及原始碼儲存庫中的行(如適用)。如此即可直接存取相關程式碼,而無需切換標籤。

2024 年 8 月 6 日新增功能

  • REST API 更新
    • REST API 版本 2 已於 2024 年 7 月 30 日淘汰,不再受到支援,且很快就會移除。請改用 REST API V4。請檢閱技術概觀,取得移轉至更新版 API 的協助。
  • IAST 更新
    • 新的 IAST .NET 代理程式 (1.11.2)
      • 支援執行時期 SCA
      • 使用啟動掛鉤為 NuGet 提供的替代安裝方法。
  • 靜態分析 (SAST):
    • 靜態分析用戶端已更新至 8.0.1574 版。
    • 支援 Java 21。此外,Static Analyzer 指令行公用程式 (SAClientUtil) 套件中也包含 Java 21。
    • CLI 指令 queue_analysis 會顯示靜態分析 (SAST) 與軟體組成分析 (SCA) 的掃描 ID。
    • 將參數 --oso 和 --sao 新增至 appscan queue_analysis 指令,以指定僅開放原始碼掃描或僅靜態分析掃描。
    • 已針對 .NET 追蹤發現項目啟用 IFA 2.0。
    • 機密掃描器會掃描 PowerShell (.ps1) 檔案。
    • 當使用者擁有超過 5000 個應用程式時,從指令行介面或 or AppScan Go! 提交的掃描不再失敗。
    • 以下項目的規則更新:Angular、ASP、CSS、Dart、Java 原始碼掃描器、JavaScript、JQuery、Objective-C、PHP、Python、密碼掃描器、TerraForm、TypeScript 和 VueJS。
    • 一般錯誤修正。

2024 年 8 月 1 日新增功能

  • 動態分析 (DAST):發行 HCL AppScan 資料流量記錄器新版本 (1.5.5055):
    • 更新 AutoUpdate 以使用 AppScan on Cloud v4 REST API。
    • 已修正第三方漏洞。

2024 年 7 月 28 日新增功能

  • 靜態分析 (SAST)
  • 動態分析 (DAST)
    • 網域管理:管理您組織內的網域,包括不同資產群組的權限,以及網域授權,而無需進行驗證。此功能現在適用於銀級、金級、白金級和個別應用程式訂閱。若要從網域驗證移轉至網域管理,請聯絡支援團隊以取得協助。
  • 軟體組成分析 (SCA):
    • SCA 執行時期:SCA 以 IAST 功能為基礎,可辨識及管理應用程式在執行時期所使用之開放原始碼元件和程式庫的漏洞。執行時期 SCA 為潛在漏洞提供更準確的內容,因此,有助於排定問題修復與解決的優先順序。
    • 惡意軟體偵測:軟體組成分析可偵測並報告視為惡意軟體的開放原始碼程式庫。AppScan 採用全方位的進階方法,結合自動化分析與真人專業,掃描多個儲存庫,並執行多網域分析,以進行全面的安全評估。我們會持續監控套件更新,搭配目標式攻擊偵測與二進位分析,有助於發現隱藏的威脅。我們的專家團隊會檢閱可疑的發現項目,以確保結果準確無誤。
    • 方法和根目錄相依性識別:SCA 方法及根目錄相依性詳細資料可增強軟體專案中程式庫的偵測與分析。相依性根目錄代表啟動併入其他程式庫的原始程式庫,這些程式庫會導致併入有漏洞的程式庫,進而讓使用者能夠瞭解有漏洞程式庫的來源。完整的相依性階層和資訊包含在 SBOM 報告中。
  • 互動式監視 (IAST)
  • 平台更新
    • 新合規性報告原則
      • 網路與資訊安全指引 (NIS2)
      • OWASP 雲端原生應用程式安全前 10
    • 自動註解傳播:自動將最新註解與其他應用程式中相同問題的問題狀態一起傳播到目前應用程式。這可確保狀態和註解均持續更新,進而在所有應用程式中提供完整且同步的問題記錄。
  • 整合
    • 將外掛程式與 API 頁面重新命名為整合,可更清楚、更直覺地呈現 AppScan on Cloud 中提供的各種第三方整合與自訂功能。
    • 已新增 Jira Cloud 外掛程式和 AppScan on Cloud CLI。
    • 已移除 AppScan 自動化架構。

2024 年 7 月 21 日新增功能

  • 新的 IAST Java 代理程式 (1.17.1)
    • 支援 RabbitMQ 作為來源和接收槽。
    • 支援 Privacy.DataLeakage 類型的漏洞,將密碼未加密寫入資料庫或回應時報告。
    • 支援 AppDOS.Flood 類型的漏洞,當 Vert.x 應用程式未設定要求內文限制時報告。
    • 當來源類似時,合併對於不安全和僅 HTTP Cookie 的重複報告。
  • 新的 IAST .NET 代理程式 (1.11.1)
    • 減少代理程式相依性,以避免應用程式衝突。

2024 年 7 月 10 日新增功能

2024 年 6 月 20 日新增功能

  • AppScan Go! 升級至 2.1.0 版。
  • 已新增在 AppScan Go! 中透過 URL 掃描 SCM 儲存庫的功能。
  • AppScan Go! 現可自動建議掃描模式,可以是位元組碼/編譯或原始碼。
  • 錯誤修正

2024 年 5 月 29 日新增功能

  • 靜態分析用戶端已更新至 8.0.1570 版。
  • 僅限用戶端更新。
  • 已修正 IRX 加密的擷取金鑰。

2024 年 5 月 29 日新增功能

  • 靜態分析
    • SAST 掃描現可配置和排程,直接從公開的 GitHub 儲存庫擷取原始碼。請參閱掃描 GitHub 儲存庫
    • 使用者可在分類 SAST 發現項目時,直接在 GitHub.com 上檢視相關的原始碼。
    • 發現項目現可依檔案名稱或路徑進行過濾,將重點放在代碼庫的特定區域,以更有效率的方式進行分類。
  • 動態分析
    • 網域驗證精靈的功能已加強,可讓使用者在將檔案放入根資料夾後測試連線。超過 30 天的待驗證網域將會刪除。在根資料夾中偵測到驗證檔案或確認電子郵件驗證之前,網域會保持擱置狀態。
  • 相符性報告和原則
    • 已新增兩份業界標準報告:
      • 2023 年 OWASP 前 10 大 API 安全性
      • 2023 年 CWE 前 25 大最危險的軟體弱點
    • 下列報告已更新:
      • [美國] DISA 的應用程式安全與開發 STIG,版本 5 發行版本 3
      • 付款卡產業資料安全標準 (PCI DSS) 版本 4
  • AppScan on Cloud 服務狀態頁面
    • 此頁面提供有關 AppScan on Cloud 服務運作狀態和規劃維護的即時資訊。現在可從 AppScan on Cloud 入口網站存取。
    • 您可以從下列位置存取此頁面:
      • AppScan on Cloud 入口網站中,AppScan 資源頁面可從每個頁面頂端的「支援」功能表下存取。服務狀態頁面的連結位於「AppScan 資源」頁面的底部。
      • AppScan on Cloud 說明文件:狀態頁面的連結可在「產品資源」區段下的入門手冊頁面上找到。
      • 您可以直接將 URL 加入書籤:AppScan on Cloud 服務狀態頁面。

2024 年 5月 28 日新增功能

  • 靜態分析用戶端已更新至 8.0.1569 版。
  • 支援 Makefile/GNUMakefile
  • 規則的改善。
  • 一般錯誤修正。

2024 年 5 月 16 日新增功能

  • 新的 IAST Java 代理程式 (1.16.2)
    • 支援 Vertx 版本 3.x。
    • 適用於 Vertx 的 API 端點探索。
  • 新的 IAST .NET 代理程式 (1.10.1)
    • 更新相依關係
    • 在執行時期進行.NET Core 代理程式的替代部署,無需進行構建(測試版)。

2024 年 4 月 17 日新增功能

  • 靜態分析用戶端已更新至 8.0.1567 版。
  • 軟體組成分析 (SCA) 現在支援由 NPM 套件進行 package.json 檔案配置掃描。
    SCA 可以從掃描中擷取重要的套件相依關係資訊,為使用者提供專案相依關係的全面性深入見解。NPM 管理程式掃描偵測到的套件相依關係已無縫整合到軟體物料清單 (SBOM) 報告中,有助於更清楚瞭解專案相依關係。
    註: 在配置掃描期間發現的問題,是來自其他配置掃描的彙整結果。若要停用配置掃描,請使用標有 appscan prepare-nc 旗標。
  • 機密掃描器的改善。
  • Java 原始碼掃描器的改善。
  • 一般錯誤修正。

2024 年 4 月 14 日新增功能

  • 使用者體驗 (UX) 改進
    • 「建立掃描」對話框已重新設計,提供簡化 DAST 掃描的工作流程。
    • 設定頁面經過重新設計並具有改善的組織,且現在頁面設定變更時需要確認。
    • 關聯性群組頁面已重新設計,提供更加容易的使用體驗。
  • 日期過濾器已新增至修正群組頁面。根據日期範圍和/或與元件問題相關的時間相關內容來檢視修正群組。
  • 問題詳細資料窗格中已新增共享選項。複製連結或問題 ID,透過簡訊或電子郵件快速有效地分享問題詳細資料。

2024 年 3 月 27 日新增功能

2024 年 3 月 25 日新增功能

  • 新的 IAST Java 代理程式 (1.16.1)
    • 已改善對使用 Vertx 架構的客戶的支援。
    • 支援 IAST 總計的元件探索與更準確的堆疊報告。
  • 新的 IAST .PHP 代理程式 (1.0.1)
    • 在 Ubuntu 上支援 PHP 8.3。
    • 支援來自伺服器配置檔的環境變數。

2024 年 3 月 9 日新增功能

  • 靜態分析用戶端已更新至 8.0.1561 版。

  • 一般錯誤修正。

2024 年 3 月 8 日新增功能

2024 年 2 月 21 日新增功能

  • 新的 IAST Java 代理程式(版本 1.16.0):
    • 已新增支援 VertX 架構。
  • 新的 IAST .NET 代理程式(1.10.0 版):
    • 已新增支援 NET 8。
    • 已增強對 .NET 上 IAST 總計的支援。
    • 最佳化。

2024年 2月 18日新增功能

  • REST API 更新:我們現在推出了 REST API 第 4 版。請檢閱技術概觀,取得移轉至更新版 API 的協助。
  • 預設問題檢視:依預設,ASoC 僅會在應用程式層級顯示不符規範的問題
  • 修正群組過濾ASoC 除了現有的過濾器外,也支援依漏洞和原則過濾修正群組。有了額外的過濾功能,您就能找出問題並將修正事項最佳化,以加快補救。
  • 「問題內容」標籤:「問題詳細資料」窗格上的新內容標籤會列出展開的問題詳細資料,包括問題的發現方式與時間、類型、狀態、嚴重性、掃描器以及地點,並包括問題 ID。
  • 自動關閉問題ASoC 若問題未出現在重新掃描中,則會自動關閉問題,藉此減少手動關閉問題。
  • 2k 掃描限制:未在組織層級啟用自動清理功能時,ASoC 會強制執行 2k 掃描限制。

2024 年 2 月 14 日新增功能

  • AppScan Go! 升級至 2.0.0 版

    AppScan Go! 利用重新整理且改善的使用者介面和改良的工作流程,逐步引導您設定和執行靜態SCA機密掃描。您可以執行完整掃描、準備 IRX 檔案以稍後掃描,或設定檔案以使用 AppScan 外掛程式進行自動掃描。您也可以在工具內檢視帳戶資訊。

2024 年 1 月 19 日新增功能

2024 年 1 月 15 日新增功能

  • 軟體組成分析 (SCA):
    • 軟體物料清單 (SBOM) 報告:新增支援軟體物料清單 (SBOM) 報告。在您的應用程式中產生開放原始碼程式庫的 SPDX 業界標準報告
    • 開放原始碼程式庫搜尋:SCA 使用者可在可透過資產群組存取的應用程式中搜尋開放原始碼程式庫。找到程式庫中所有執行個體的能力,有助於提升使用者補救程式庫相關問題和疑慮的速度和信心。
    • 開放原始碼程式庫詳細資料:程式庫搜尋結果包含在應用程式中找到之程式庫的授權詳細資料。這些詳細資料包含授權資訊,可讓您評估法律風險及特定程式庫的優勢。
  • 靜態分析 (SAST):
  • 利用 IAST 總計增強 DAST 掃描:「IAST 總計」提供增強的自動配置、更快的掃描和補救程序、所偵測到漏洞的詳細呼叫堆疊資訊,以及對應用程式後端的更深入見解。如需詳細資訊,請參閱 IAST 總計
  • 使用者體驗 (UX) 改進
    • 資產群組:新的刪除資產群組流程簡化了資產群組的刪除程序。具有刪除資產群組許可權的使用者(如系統管理員和管理者等預設角色,以及自訂角色)可以刪除資產群組與其相關應用程式,包括掃描和發現項目,以協助移除不必要的應用程式。使用者也可以選擇將應用程式移至其他資產群組,無論是否有成員。
    • 修正群組:在針對修正群組新增的安全報告中加入註解欄位,如此更能納入並追蹤附註和註解。

2023 年先前更新

先前更新:2021-2022 年

先前更新:2019-2020 年

先前更新:2016-2018 年