以前の更新 2019-2020

• 名前変更:
  • 「状況」 > 「問題状況」
  • 「重大度値」 > 「重大度」
  • 「ソース・ファイル」 > 「ファイル名」
• 追加: 「外部 ID」と「CVSS」
• 削除済み: プロトコル

• 「NIST Special Publication 800-53」アプリ・レポートを作成すると、「Sarbanes-Oxley Act (SOX)」レポートが作成される
• アプリケーション・ポリシーに含まれているが、非準拠として表示されないオープン・ソースのセキュリティー問題

• アプリケーション・データは、UI で「メタデータ」>「範囲」チェック・ボックスが選択されているか、REST API で「範囲」フラグが使用されている場合にのみ、レポートに含められるようになりました (予定どおり)。
• PRB0067750: スキャン・ジョブがスキャン・エージェントのために転送されると最適化レベルが変更される問題が修正されました。

• ステータスごとの問題数を返す API 関数を実装しました。
• ドメイン API を追加しました。
• Swagger 関数にエラー応答コードが含まれるようになりました。

• 「レビュー中」のスキャンを削除できるようになりました。
• ユーザーがログインしている場合、「UI の設定」ページから Swagger を自動で開くことができるようになりました。

• IAST テクノロジー「IAST スキャン」の名称を「IAST 監視セッション」または「IAST セッション」へと変更しました
• IAST セッションを開始するウィザードを簡素化しました
• エージェントのダウンロードにエージェント・キーが必ず含まれるようになりました

• エラー通知が改善されました
• FlexNet LicenseKey の末尾数文字が GetTenantInfo で表示されるようになりました

• SAST のカスタム・アドバイザリー構造が変更されました。
• すべてのレポートのカバー・ページが統一されました。
• DAST XML レポート: DAST XML レポートの「URL グループ」および「エンティティー・グループ」セクションの順番が変わりました。レポートの他のバージョンには影響ありません。

• SAST の修正グループとコンテンツが UI およびアプリケーション・レポートに表示される名前およびコンテンツと一致するようになりました。
• SAST スキャン・レポートに、アプリケーション・レポートにあるようなカスタム・アドバイザリーが含まれるようになりました。
• アプリケーション・レポートに合わせてカバー・ページが更新され、TOC が追加されました。
• 「ディスカッション」および「履歴」チェック・ボックスが「メタデータ」オプションに追加されました。

• 「すべての問題」タブで列ヘッダーをクリックすることで、「問題」列および「AppScan プレゼンス」列を並べ替えることができるようになりました。
• 動的スキャンの作成時に、URL フィールドにオートコンプリート機能が追加されました。

• 37 の新規記事
• 29 のルールを詳細化
• これらの改善により、最終的に検索結果の総数が少なくなります。
• ただし、更新により、既存の検索結果が新規の検索結果として表示される可能性があります。

• デフォルトのリストに、非準拠の問題のみが表示されるようになりました (新規、未解決、進行中、再オープン済み)
• 新しいフィルター表示
• SAST スキャン: 「すべての問題」リストの問題ごとに修正グループ・リンクが追加され、その問題の「修正グループ」タブを開くことができます

• 問題がない場合、またはすべての問題が規制を順守している場合でも、レポートを生成できるようになりました
• SAST スキャン: アプリケーション・セキュリティー・レポートに「修正グループごとの問題」セクションが追加されました

• 問題ごとに状況を変更
• 修正グループごとに注記を追加
• 特定のポリシー (複数可) への準拠別に問題をフィルタリング

GET /api/v2/Issues/{scope}/{scopeId}

この関数は、特定のスコープ (アプリケーション、スキャンまたはスキャン実行) の問題を返します。通常の odata パラメーター (フィルターおよびページング) を受け入れ、問題をフィルターするためにポリシーを適用すべきかどうか、およびどのポリシーを適用するかを決定するパラメーターも使用します。次のすべての関数 (廃止とマークされていない関数) が、この新しい関数によって置換されます。

GET /api/V2/Issues/Count

GET /api/v2/Apps/{id}/NonCompliantCount

GET /api/v2/Apps/{id}/NonCompliantIssues

GET /api/v2/Apps/{id}/Issues

GET /api/v2/Apps/{id}/IssuesAsPage

GET /api/v2/Apps/{id}/IssuesCount

GET /api/v2/Scans/Executions/{executionId}/Issues

GET /api/v2/Scans/{scanId}/Executions/{executionId}/Issues

GET /api/v2/Scans/{scanId}/NonCompliantIssues

GET /api/v2/Scans/{scanId}/NonCompliantCount

GET /api/v2/Scans/{scanId}/Issues

AppScan on Cloud GUI、AppScan Go! の最新の更新では、「完全」スキャン速度を指定する機能が追加されました。完全スキャンでは、最大数の脆弱性を特定するために、最も包括的な分析を行うことができます。完全スキャンは、完了するのに最も時間のかかるスキャンでもあります。

このスキャン速度を生かすには、AppScan Go! の最新バージョンをダウンロードしてインストールします

• プラグインの実行時に、最新の Static Analyzer コマンド行ユーティリティー が自動的にダウンロードされます。
• Static Analyzer コマンド行ユーティリティーのバージョン 7.x 以前を使用して、スキャン用のコードを作成しようとすると、エラー・メッセージが表示されます。ご使用のオペレーティング・システム (Windows、Linux、Mac) に基づいて、最新の Static Analyzer コマンド行ユーティリティーにアップグレードします。
• AppScan Go! を使用していて、更新が提供されている場合は、最新の更新を受け入れてインストールします。

• JavaScript で作成された新しい Cookies の特定。URL フィルターの改善。範囲の改善
• クロスサイト・スクリプティング分析の改善: DOM ベースのクロスサイト・スクリプティングの検出が向上
• サーバー/アプリケーション障害の検出の向上: サーバー/アプリケーション障害のハードビートで、ルート・パスだけでなくスキャンの完全な開始 URL をテストできるようになり、スキャンの精度が向上しています。

新しい Java ステージャー・プロセスによって、Java プロジェクトをよりインテリジェントに処理し、どのファイルを分析するか、およびどのファイルを従属ファイルとして扱うかを決定できます。ステージャー・プロセスでは、すべての war ファイル、jar ファイル、サブ jar ファイルなどを解凍し、解凍したすべてのファイルをディスクに保存してから分析対象ファイルを決定する、という時間のかかるプロセスではなく、きわめて正確なアプローチを採用して Java プロジェクトを評価します。

-DSTAGE_INFO=true
For example:
D:\apps\app\appscan prepare -n app -DSTAGE_INFO=true
Discovering targets...
Target added: app
Validating...
Staging D:\apps\app\app.jar
Evaluating Entry: app.jar.files/lib/tomcat-coyote-7.0.12.jar
Java Packages To Be Analyzed For app:
        com.app.java.test
No problems found during validation.
Generating IRX file...
IRX file generation successful.

• 徹底的にスキャンするよりも迅速に結果を得ることの方が重要な場合、この DAST スキャン (デフォルトで有効になっており、スキャン設定時に制御されます) の新機能によってスキャンをスピードアップできます。「テストの最適化」を参照してください。
• DAST スキャン・レポートの「全般情報」セクションに、スキャンが最適化されたかどうかが示されるようになりました。

• スキャンを作成すると、アプリケーションのテスト状況が「進行中」に変わります。
• アプリケーションをリセットすると (UI: 「編集 >「リセット」>「すべて削除」… | API: Apps/Reset/Delete Issues)、アプリケーションのテスト状況は「未開始」に変わります。

• GET Presences API 関数にフィルターが追加されました。例えば、GET: ..Presences/?$select=PresenceName%2C%20Id により、すべてのプレゼンスとその ID のリストが返されます。
• 以下を使用して DAST スキャン・ファイルをダウンロードします。GET ..Scans/DynamicAnalyzerScanFile/{executionId}

• 決済アプリケーションのデータ・セキュリティー標準
• [米国] DISA の Application Security and Development STIG.V4R3

機能拡張には、パフォーマンスの向上、サード・パーティー・ファイルの自動除外、ルール分析の改善、バグ修正が含まれます。

• 国際標準化機構規格 - ISO 27001
• 国際規格 - ISO 27002
• NIST 特別文書 800-53
• WASC 脅威の分類 v2.0

• カナダ情報自由及びプライバシー保護法 (FIPPA)
• 米国電子資金振替法 (EFTA)
• [米国] Federal Information Security Mgmt.Act (FISMA)
• 米国サーベンス・オクスリー法 (SOX)

• AppScan Presence を Windows だけでなく Linux OS でもサービスとして実行できるようになりました。
• Windows OS では、AppScan Presence は EXE ファイルで起動されるようになっています。