新增功能 AppScan on Cloud
探索即將推出和最近新增的功能。
Updates: 您可以在 AppScan 新聞上找到 AppScan on Cloud 公告,包括計畫變更的預先通知,以及可能影響工作流程的排程維護。如果要在有公告時收到通知,您可以訂閱 AppScan 新聞。
Translations: 如果您正在閱讀此頁面的翻譯版本,請注意,此頁面可能不包含最新的新增內容。如需檢視此頁面的最新版本,請使用功能表列右上方的「變更語言」選項,以切換至英語版本。
2024 年 9 月 26 日新增功能
- 靜態分析用戶端已更新至 8.0.1583 版。
- 支援軟體組成分析 (SCA) 之 NPM 套件鎖定檔案的配置掃描。
2024 年 9 月 19 日新增功能
- 靜態分析用戶端已更新至 8.0.1582 版。
- IaC、PHP、Python 等的規則更新。
- 一般錯誤修正。
2024 年 9 月 15 日新增功能
- 整合:
- 下列外掛程式已淘汰,並從 ASOC 整合頁面中移除:
- Visual Studio 2012 - 2019
- Eclipse
- Bamboo
- GoCD
- UrbanCode
- 從 ASOC 整合頁面移除日期:2024 年 9 月 15 日
- 外掛程式/整合功能停止日期:2024 年 9 月 21 日
- 所需的動作:升級至可用外掛程式的最新版本
- 下列外掛程式已淘汰,並從 ASOC 整合頁面中移除:
- AppScan on Cloud EU 網域變更:
- AppScan on Cloud EU 執行個體的預設網域已在 2024 年 7 月變更為 eu.cloud.appscan.com。舊網域 cloud.appscan.com/eu 即將解除委任。因此,請務必更新文件或網頁中的任何書籤或內嵌 URL,以避免任何中斷。
2024 年 9 月 10 日新增功能
- 靜態分析用戶端已更新至 8.0.1580 版。
- 僅限用戶端更新。
- 支援軟體組成分析 (SCA)的 .NET 與 Python 配置檔案掃描。
2024 年 9 月 4 日新增功能
2024 年 8 月 22 日新增功能
2024 年 8 月 19 日新增功能
2024 年 8 月 6 日新增功能
- REST API 更新
- REST API 版本 2 已於 2024 年 7 月 30 日淘汰,不再受到支援,且很快就會移除。請改用 REST API V4。請檢閱技術概觀,取得移轉至更新版 API 的協助。
- IAST 更新
- 新的 IAST .NET 代理程式 (1.11.2)
- 支援執行時期 SCA。
- 使用啟動掛鉤為 NuGet 提供的替代安裝方法。
- 新的 IAST .NET 代理程式 (1.11.2)
- 靜態分析 (SAST):
- 靜態分析用戶端已更新至 8.0.1574 版。
- 支援 Java 21。此外,Static Analyzer 指令行公用程式 (
SAClientUtil
) 套件中也包含 Java 21。 - CLI 指令
queue_analysis
會顯示靜態分析 (SAST) 與軟體組成分析 (SCA) 的掃描 ID。 - 將參數
--oso
和 --sao
新增至appscan queue_analysis
指令,以指定僅開放原始碼掃描或僅靜態分析掃描。 - 已針對 .NET 追蹤發現項目啟用 IFA 2.0。
- 機密掃描器會掃描 PowerShell (
.ps1
) 檔案。 - 當使用者擁有超過 5000 個應用程式時,從指令行介面或 or AppScan Go! 提交的掃描不再失敗。
- 以下項目的規則更新:Angular、ASP、CSS、Dart、Java 原始碼掃描器、JavaScript、JQuery、Objective-C、PHP、Python、密碼掃描器、TerraForm、TypeScript 和 VueJS。
- 一般錯誤修正。
2024 年 8 月 1 日新增功能
- 動態分析 (DAST):發行 HCL AppScan 資料流量記錄器新版本 (1.5.5055):
- 更新 AutoUpdate 以使用 AppScan on Cloud v4 REST API。
- 已修正第三方漏洞。
2024 年 7 月 28 日新增功能
- 靜態分析 (SAST):
- 自動修正:策劃的自動修正建議現在在 AppScan on Cloud 使用者介面中提供 GenAI 摘要說明。先前的自動修正僅適用於 CodeSweep IDE 外掛程式。
- 用於 SAST 儲存庫掃描的 GitHub Enterprise 整合:對 GitHub Enterprise 儲存庫執行靜態分析掃描。
- 動態分析 (DAST):
- 軟體組成分析 (SCA):
- SCA 執行時期:SCA 以 IAST 功能為基礎,可辨識及管理應用程式在執行時期所使用之開放原始碼元件和程式庫的漏洞。執行時期 SCA 為潛在漏洞提供更準確的內容,因此,有助於排定問題修復與解決的優先順序。
- 惡意軟體偵測:軟體組成分析可偵測並報告視為惡意軟體的開放原始碼程式庫。AppScan 採用全方位的進階方法,結合自動化分析與真人專業,掃描多個儲存庫,並執行多網域分析,以進行全面的安全評估。我們會持續監控套件更新,搭配目標式攻擊偵測與二進位分析,有助於發現隱藏的威脅。我們的專家團隊會檢閱可疑的發現項目,以確保結果準確無誤。
- 方法和根目錄相依性識別:SCA 方法及根目錄相依性詳細資料可增強軟體專案中程式庫的偵測與分析。相依性根目錄代表啟動併入其他程式庫的原始程式庫,這些程式庫會導致併入有漏洞的程式庫,進而讓使用者能夠瞭解有漏洞程式庫的來源。完整的相依性階層和資訊包含在 SBOM 報告中。
- 互動式監視 (IAST):
- 適用於 Kubernetes 的 IAST:AppScan 支援在 Kubernetes 叢集上自動安裝 IAST 代理程式,並支援 Java、.Net 和 Node.js 應用程式。
- 平台更新:
- 整合:
- 將外掛程式與 API 頁面重新命名為整合,可更清楚、更直覺地呈現 AppScan on Cloud 中提供的各種第三方整合與自訂功能。
- 已新增 Jira Cloud 外掛程式和 AppScan on Cloud CLI。
- 已移除 AppScan 自動化架構。
2024 年 7 月 21 日新增功能
- 新的 IAST Java 代理程式 (1.17.1)
- 支援 RabbitMQ 作為來源和接收槽。
- 支援 Privacy.DataLeakage 類型的漏洞,將密碼未加密寫入資料庫或回應時報告。
- 支援 AppDOS.Flood 類型的漏洞,當 Vert.x 應用程式未設定要求內文限制時報告。
- 當來源類似時,合併對於不安全和僅 HTTP Cookie 的重複報告。
- 新的 IAST .NET 代理程式 (1.11.1)
- 減少代理程式相依性,以避免應用程式衝突。
2024 年 7 月 10 日新增功能
- DAST 引擎更新:動態分析引擎更新至 AppScan Standard 10.6.0 版。請參閱 AppScan Standard 修正清單。
2024 年 6 月 20 日新增功能
- AppScan Go! 升級至 2.1.0 版。
- 已新增在 AppScan Go! 中透過 URL 掃描 SCM 儲存庫的功能。
- AppScan Go! 現可自動建議掃描模式,可以是位元組碼/編譯或原始碼。
- 錯誤修正
2024 年 5 月 29 日新增功能
- 靜態分析用戶端已更新至 8.0.1570 版。
- 僅限用戶端更新。
- 已修正 IRX 加密的擷取金鑰。
2024 年 5 月 29 日新增功能
- 靜態分析:
- SAST 掃描現可配置和排程,直接從公開的 GitHub 儲存庫擷取原始碼。請參閱掃描 GitHub 儲存庫。
- 使用者可在分類 SAST 發現項目時,直接在 GitHub.com 上檢視相關的原始碼。
- 發現項目現可依檔案名稱或路徑進行過濾,將重點放在代碼庫的特定區域,以更有效率的方式進行分類。
- 動態分析:
- 網域驗證精靈的功能已加強,可讓使用者在將檔案放入根資料夾後測試連線。超過 30 天的待驗證網域將會刪除。在根資料夾中偵測到驗證檔案或確認電子郵件驗證之前,網域會保持擱置狀態。
- 相符性報告和原則:
- 已新增兩份業界標準報告:
- 2023 年 OWASP 前 10 大 API 安全性
- 2023 年 CWE 前 25 大最危險的軟體弱點
- 下列報告已更新:
- [美國] DISA 的應用程式安全與開發 STIG,版本 5 發行版本 3
- 付款卡產業資料安全標準 (PCI DSS) 版本 4
- 已新增兩份業界標準報告:
- AppScan on Cloud 服務狀態頁面:
- 此頁面提供有關 AppScan on Cloud 服務運作狀態和規劃維護的即時資訊。現在可從 AppScan on Cloud 入口網站存取。
- 您可以從下列位置存取此頁面:
- 在 AppScan on Cloud 入口網站中,AppScan 資源頁面可從每個頁面頂端的「支援」功能表下存取。服務狀態頁面的連結位於「AppScan 資源」頁面的底部。
- AppScan on Cloud 說明文件:狀態頁面的連結可在「產品資源」區段下的入門手冊頁面上找到。
- 您可以直接將 URL 加入書籤:AppScan on Cloud 服務狀態頁面。
2024 年 5月 28 日新增功能
- 靜態分析用戶端已更新至 8.0.1569 版。
- 支援 Makefile/GNUMakefile。
- 規則的改善。
- 一般錯誤修正。
2024 年 5 月 16 日新增功能
- 新的 IAST Java 代理程式 (1.16.2)
- 支援 Vertx 版本 3.x。
- 適用於 Vertx 的 API 端點探索。
- 新的 IAST .NET 代理程式 (1.10.1)
- 更新相依關係
- 在執行時期進行.NET Core 代理程式的替代部署,無需進行構建(測試版)。
2024 年 4 月 17 日新增功能
- 靜態分析用戶端已更新至 8.0.1567 版。
- 軟體組成分析 (SCA) 現在支援由 NPM 套件進行
package.json
檔案配置掃描。SCA 可以從掃描中擷取重要的套件相依關係資訊,為使用者提供專案相依關係的全面性深入見解。NPM 管理程式掃描偵測到的套件相依關係已無縫整合到軟體物料清單 (SBOM) 報告中,有助於更清楚瞭解專案相依關係。 - 機密掃描器的改善。
- Java 原始碼掃描器的改善。
- 一般錯誤修正。
2024 年 4 月 14 日新增功能
2024 年 3 月 27 日新增功能
- DAST 引擎更新:動態分析引擎更新至 AppScan Standard 10.5.0 版。請參閱 AppScan Standard 修正清單。
2024 年 3 月 25 日新增功能
2024 年 3 月 9 日新增功能
-
靜態分析用戶端已更新至 8.0.1561 版。
- 一般錯誤修正。
2024 年 3 月 8 日新增功能
- 靜態分析用戶端已更新至 8.0.1560 版。
- 支援 .NET 8 的靜態分析。
- 改善執行模組適用的軟體組成分析 (SCA) 支援。
- 提高 Java、JavaScript 和 Python 語言的準確度。
- 一般錯誤修正。
2024 年 2 月 21 日新增功能
2024年 2月 18日新增功能
- REST API 更新:我們現在推出了 REST API 第 4 版。請檢閱技術概觀,取得移轉至更新版 API 的協助。
- 預設問題檢視:依預設,ASoC 僅會在應用程式層級顯示不符規範的問題。
- 修正群組過濾: ASoC 除了現有的過濾器外,也支援依漏洞和原則過濾修正群組。有了額外的過濾功能,您就能找出問題並將修正事項最佳化,以加快補救。
- 「問題內容」標籤:「問題詳細資料」窗格上的新內容標籤會列出展開的問題詳細資料,包括問題的發現方式與時間、類型、狀態、嚴重性、掃描器以及地點,並包括問題 ID。
- 自動關閉問題: ASoC 若問題未出現在重新掃描中,則會自動關閉問題,藉此減少手動關閉問題。
- 2k 掃描限制:未在組織層級啟用自動清理功能時,ASoC 會強制執行 2k 掃描限制。
2024 年 2 月 14 日新增功能
- AppScan Go! 升級至 2.0.0 版
AppScan Go! 利用重新整理且改善的使用者介面和改良的工作流程,逐步引導您設定和執行靜態、SCA 或機密掃描。您可以執行完整掃描、準備 IRX 檔案以稍後掃描,或設定檔案以使用 AppScan 外掛程式進行自動掃描。您也可以在工具內檢視帳戶資訊。
2024 年 1 月 19 日新增功能
- 靜態分析用戶端已更新至 8.0.1558 版。
- 新增執行模組適用的軟體組成分析 (SCA) 支援。
- 一般錯誤修正。
2024 年 1 月 15 日新增功能
- 軟體組成分析 (SCA):
- 軟體物料清單 (SBOM) 報告:新增支援軟體物料清單 (SBOM) 報告。在您的應用程式中產生開放原始碼程式庫的 SPDX 業界標準報告
- 開放原始碼程式庫搜尋:SCA 使用者可在可透過資產群組存取的應用程式中搜尋開放原始碼程式庫。找到程式庫中所有執行個體的能力,有助於提升使用者補救程式庫相關問題和疑慮的速度和信心。
- 開放原始碼程式庫詳細資料:程式庫搜尋結果包含在應用程式中找到之程式庫的授權詳細資料。這些詳細資料包含授權資訊,可讓您評估法律風險及特定程式庫的優勢。
- 靜態分析 (SAST):
- 原始碼檢視:「問題詳細資料」窗格包含存取本端目錄結構中原始碼的能力;或者,如果掃描是在 GitHub 中建立,則可在 GitHub 儲存庫中檢視程式碼。
- C++ 掃描器:改善 C++ 的僅限原始碼掃描。
- 利用 IAST 總計增強 DAST 掃描:「IAST 總計」提供增強的自動配置、更快的掃描和補救程序、所偵測到漏洞的詳細呼叫堆疊資訊,以及對應用程式後端的更深入見解。如需詳細資訊,請參閱 IAST 總計。
- 使用者體驗 (UX) 改進: