以前の更新 2021-2022

• JSON の com.fasterxml.jackson ライブラリーを使用する顧客の汚染追跡のサポート。
• org.glassfish.jersey フレームワークを使用する顧客の汚染追跡のサポート。
• 内部での最適化。

• Apache commons-text を 1.9 から 1.10.0 に更新して、既知の CVE (CVE-2022-42889) を緩和しました。
• Apache httpClient を apache HttpClient5 に更新して、古い httpClient の脆弱性を緩和しました。
• org.owasp.encoder.Encode ライブラリーを使用する顧客の汚染追跡のサポート。
• Gson htmlSafe 機能のサポートを含む、Gson ライブラリーを使用する顧客の汚染追跡のサポートが改善されました。

• 静的分析クライアントが 8.0.1514 に更新されました。
• Java および Kotlin スキャナーの精度が向上しました。
• 全般的なバグ修正。

• パフォーマンス改善。
• パスワードを非表示にする新しい構成オプション。こちらを参照してください。

以前に告知したとおり、プライベート・サイトをスキャンするための AppScan Presence v1 は、2022 年 3 月にリリースされた AppScan Presence v2 に置き換えられました。プライベート・サイトのスキャンでは、Presence v2 がインストールされている必要があります。AppScan Presence を参照してください。

• TOTP (時間ベースのワンタイム・パスワード) がサポートされるようになりました。DAST スキャンを参照してください。
• 単一スキャン・ビューに探査データ・カウンター (検出された Cookie の数、ヘッダーなど) が含まれるようになりました。

• SARIF 形式のオプションが「問題のエクスポート」ダイアログに追加されました。
• 「単一スキャン」ビューに、検出された言語のリストと、(サブスクリプションに SCA が含まれている場合は) 検出されたオープン・ソース・ライブラリーとライセンスのカウンターが含まれるようになりました。

• WebSockets を介して送信されるデータのトラッキングのサポート。
• Spring REST API の拡張サポート: ソースとしての REST パス変数のサポート。
• Gson ライブラリーを使用する顧客の汚染追跡のサポート。
• Java 9 以上を使用する場合、汚染を適切に追跡するには、java プロパティーにフラグ (BC_SB) を設定する必要があります。このフラグが設定されていない場合、ユーザーに警告が出されるようになりました。

• 「アプリケーション」ビュー: リスク等級、資産グループ、ビジネスへの影響、ビジネス・ユニット、テスト状況、最大重大度でフィルタリングします。開始日と終了日を選択します。
• 「スキャン」ビュー: テクノロジーおよび状況でフィルタリングします (未変更)。
• 「すべての問題」ビュー: 重大度、状況、スキャン・テクノロジー、有効なポリシー、問題タイプでフィルタリングします。開始日と終了日を選択します。
• 「スキャンの問題」ビュー: 重大度、状況、最初に検出、有効なポリシーでフィルタリングします。開始日と終了日を選択します。

• 「スキャン」>「構成」タブの新しい「設定」セクションには、スキャンに対する「通知 E メール」(送信する/送信しない) および「スキャン有効化」(許可する/許可しない) の構成方法が表示されます。
• 更新された「再スキャン」ダイアログでは、再スキャン時にこれらの 2 つの設定を変更できます。

インポートされた Postman コレクション・ファイルを使用した自動 API スキャンは AppScan Standard 10.0.8 でサポートされていますが、Postman コレクション・スキャンの ASoC へのアップロードは現在サポートされていないことに注意してください。

• ある問題の重大度レベル、または複数の問題の重大度レベルを一緒に変更できるようになりました (「問題の重大度の編集」を参照)。
• 「完了」ではあるが、100% 未満のアクセスしたページ、または 100% のテスト済みの要素、あるいはその両方が存在するスキャンに対する新しい表示。これらのスキャンを表示/非表示にする新しい「部分スキャン」フィルター (「部分スキャン」を参照)。
• 管理者: ロールの割り当てでは、「スキャンの作成」許可と「再スキャン」許可が分離され、ユーザーに一方または両方を実行する許可を付与できるようになりました。

• JBoss EAP (Enterprise Application Platform) バージョン 6、7 のサポート
• レポートの読み取りやすさの向上:
  • 配列/マップ・コンテンツの印刷
  • 現在のユーザー入力に基づく悪用例の動的生成
• XSS アルゴリズムの改善

• 「2019 年 OWASP Open API Top 10」ポリシーを追加
• スキャン・カード、および単一のスキャンの問題のグラフに「重大」の重大度を追加

• CSV レポートに SAST オープン・ソース解決および説明列を追加
• セキュリティー・レポートに「重大」の重大度カウンターを追加

• 新しい HCL AppScan Traffic Recorder (旧称 DAST プロキシー) が、ASoC の「プラグインと API」ページで使用可能になりました。HCL AppScan Traffic Recorder を参照してください。
• 3 つの新しい JetBrains プラグインが追加されました: CLion、GoLand、RubyMine。

つまり、API またはプラグインから開始された DAST スキャンは、ユーザーが明確にパラメーターを false に設定しない限り、レビューのためにスキャン有効化チームに送信されることはありません (「スキャン状況: レビュー中」を参照)。

UI を介して開始されたスキャンの場合、デフォルト設定の「介入を許可する」は変更されません。

• 新たにサポートされる環境: Jetty サーバー、Quarkus (JVM ノード)、Resteasy フレームワーク
• セキュリティー更新:
  • 新たな脆弱性: 安全でないリフレクション (CWE 470)。参照: https://cwe.mitre.org/data/definitions/470.html
  • 新たな脆弱性: オープン・リダイレクト (CWE 601)。参照: https://cwe.mitre.org/data/definitions/601.html
  • インジェクション分析アルゴリズムの精度の向上 - CWE 78 に影響します: OS コマンド・インジェクション
  • ページが見つからない場合の潜在的な誤検出の除去 - CWE 352 (CSRF) および 523 (資格情報の無保護トランスポート) に影響します
  • CWE 352 (CSRF) および CWE 523 (資格情報の無保護トランスポート) の問題に追加情報が追加されました

• CLion
• GoLand
• RubyMine

• すべての脆弱性の呼び出しトレース情報が改善されました
• シンク URL がメインの問題 URL になりました

• 注：レガシー・プレゼンス (V1) は引き続きサポートされますが、2022 年 10 月 1 日以降はサポートされません。
• 注：新しいプレゼンス (V2) には DAST プロキシーは含まれません。これが必要な場合は、レガシー・プレゼンス (V1) をダウンロードして使用できます。

• DAST スキャンの「スキャンの作成」フローの改善
• ファイルから DAST スキャンを作成する際の、ガイドされた探査およびスケジューラーの追加
• アプリケーション・レベルでオープン・ソース・ライセンス・レポートを作成する機能の追加
• 複数の問題にコメントを追加する機能の追加

• 「ASoC での CWE/SANS Top 25 レポート ASREG」が「2021 年 CWE 最も危険なソフトウェア脆弱性 Top 25」に置き換えられました
• オープン・ソース・レポート・サマリーにライブラリー・テーブルを追加

• 複数の問題にコメントを追加する機能の追加

• スケジュールされたスキャンを実行する曜日を選択します
• 既存のスキャンにスケジュールを追加します
• スケジュール済みスキャンからスケジュールを削除します
• 繰り返しの終了日 (スキャンの実行がスケジュールされている最後の日) がスキャン・エントリーに表示されるようになりました

• JaxB クラスの XXE (CWE 661)。この潜在的に脆弱なクラスについては、以下の OWASP XXE 資料で説明されています。 https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#jaxb-unmarshaller
• JSON XSS 情報問題 (CWE 79)、JSON として応答に書き込まれる脆弱なデータの XSS バリアント

• スキャン・カードが再設計され、重大度ごとに問題へのリンクがスキャンに含まれるようになりました。
• 「プラグインと API」ページに Rider プラグインが追加されました。

• post DAST スキャン API から「繰り返しの終了日」を定義する機能が追加されました。
• アプリケーションで初めて検出された問題を表示するサポートが追加されました。
• 言語プロパティーが新規 SAST 問題に追加されました。

• スキャンのスケジュール: DAST スキャンを繰り返しありまたはなしで後で実行するようにスケジュールできます (「スキャンの作成」>「ステップのスケジュール」)。構成されたスケジュールを編集できます (「スキャン・アクション」メニュー >「スケジュールの編集」)。新しいアイコンは、スキャンの「スケジュール済み」ステータスと「繰り返し」ステータスを示します。
• IAST: IAST エージェント構成を更新する機能が追加されました。
• 自動ログアウト: 30 分間アクティビティーがない場合、ユーザーはログアウトされるようになりました。
• ビジネス・ユニットをマージできるようになりました (管理者のみ: 「組織」>「設定」)。
• 単一スキャン・ビュー: 列がクリック可能になり、「問題」タブにフィルタリングされたリストが表示されるようになりました。

• スキャン・スケジューリングのサポート (追加設定付き)。
• 2 つのビジネス・ユニットのマージ、および組織内で許可されるビジネス・ユニット数に制限を追加する機能のサポート。

• 管理者のみ: 新しい「設定」 ビューが追加され (「組織」>「設定」)、ビジネス・ユニットの作成と管理ができるようになりました。
• IAST: エージェントを削除するときに、エージェント構成のみを削除するオプション、およびエージェント構成とエージェントで検出された問題の両方を削除するオプションが UI に用意されました。
• 新規スキャン状況が追加されました: 「初期化中」(スキャンが実際に開始される前)。

• メモリー消費量 (しきい値) が大きすぎる場合の実行の一時停止
• モニターするアプリケーションの名前を指定する新しい構成ファイル・パラメーター
• メモリーおよび GC デバッグ・フラグ
• メモリー消費量の削減
• 新しいセキュリティー機能:
  • 改善された CSRF ルール (FP の削減)
  • 安全でないログイン・ルールの範囲の改善
• 固定: Spring の XSS バグ

• メモリー消費量 (しきい値) が大きすぎる場合の実行の一時停止
• ヘッダー/Cookie 名に基づいて、レポートからの問題をフィルタリング
• パフォーマンスの改善
• IAST の問題の「問題情報」タブ:
  • 新しい「追加情報」セクション
  • より多くの問題に悪用例が含まれました
• 新しいセキュリティー機能:
  • パス・トラバーサル・アルゴリズム
  • 安全でないログイン・ルールの範囲の改善
• 固定: 問題が ASoC/ASE に送信される際のバグ

• メモリー消費量 (しきい値) が大きすぎる場合の実行の一時停止
• ヘッダー/Cookie 名に基づいて、レポートからの問題をフィルタリング
• IAST の問題の「問題情報」タブ:
  • 新しい「追加情報」セクション
  • より多くの問題に悪用例が含まれました
• 新しいセキュリティー機能:
  • パス・トラバーサル・アルゴリズム
  • 安全でないログイン・ルールの範囲の改善
• 固定: 通信 EPIPE エラーの処理

• セッションが「スキャン」ビューに表示されるようになりました
• スキャン・レポートを作成できます
• IAST セッションを手動で停止した場合、エージェントが切断された場合でも UI から再始動できます。また、エージェントが接続されるとモニターが自動的に開始されます。以前は、これは API を介してのみ可能でした。

• 新しい単一のスキャン・ページ:
  • スキャンに関する詳細データに、「概要」、「問題」、「構成」の 3 つのタブと、スキャン・ログ・ペインを使用してアクセスできます (「「単一のスキャン」ビュー」を参照)。
  • 実行中のスキャンのリアルタイムの状況を表示できます。
  • スキャンの実行中にスキャン・ログを表示できるようになりました。
  • スキャン・サポート・チームからのイネーブラーによって処理されたスキャンの構成を確認するための、新しいスキャンのインディケーター。
• スキャン・ウィザードの追加:
  • 自動で探査するか、ガイダンスを使用して探査するかを選択できます (「動的分析 (DAST) について」および「ガイダンスを使用し探査する」を参照)。
  • マニュアル探査またはマルチステップのファイルをアップロードできます。
  • 要求速度の制限を構成できます。
• API:
  • 複数のファイルを含むスキャンを作成できます。
  • 自動探査またはガイダンスを使用した探査を選択できます。
  • 自動タイムアウトが追加されました。
  • アプリケーションの新しい問題の数が、スキャン結果に含まれるようになりました。

• CONFIG ファイルのアップロードがサポートされるようになりました。
• ローカル・サーバーで CONFIG ファイルに対して行った変更が、監視に反映されるようになりました。
• IAST の問題の「問題情報」タブ:
  • 新しい「追加情報」セクション。
  • より多くの問題に悪用例が含まれました。
• セキュリティー・ルールの更新:
  • パス・トラバーサル拡張アルゴリズム
  • 非直列化 - Xtream、xmlDecode
  • escapeHtml で FP を削減
• wildfly サーバーの修正とメモリーの改善。

• 新しい「エキスパートに聞く」機能が追加されました
• 「CSV/JSON にエクスポート」がアプリケーション・ページと問題ページに追加されました
• スキャンの作成: 「タイムアウト」および「スレッド数の構成」が追加されました
• 問題パネルに「修正グループ ID {"Group ID")」 が追加されました
• IAST: 問題パネルに「追加情報」が追加されました
• 列の構成とフィルターがセッション間で保存されるようになりました
• サンプル・アプリケーション CSV: 「説明」列と「タグ」列が削除されました
• 新規プラグイン: Github

• ScanExecution にコメントを追加する機能が追加されました
• DAST 構成: スレッド数と通信タイムアウトを構成する機能が追加されました

• Java と .NET に加えて Node.js エージェント (バージョン 1.1.0) がサポートされるようになりました。
• .NET エージェント (バージョン 1.2.2):
  • .NET 4.6.2 のサポート
  • ライブラリーの更新
  • 環境変数と Web.config ファイルを使用したホストとトークンの設定をサポート
• Java エージェント (バージョン 1.8.10000):
  • パフォーマンスの改善
  • 32 ビット JRE 環境のサポート
  • さらに多くの Java 環境で自動アタッチをサポート
  • Spring のサニタイズを検出する新しいルール (Spring FP を削減)
• 環境変数名を IAST_HOST および IAST_ACCESS_TOKEN に変更
• SessionManagement.Cookies の代わりに attCookieNotSecureSSL を報告
• レポートの簡素化
• バグの修正

• さまざまな Java ライブラリーが新しいバージョンに更新されました
• プロキシー・サーバーが TLS 接続をサポートするようになりました
• 特定のポートではなく、一定範囲内のポートで記録プロキシーを開始できるようになりました (この範囲内で使用可能な最も小さいポート番号が使用されます)
• Settings.json でプロキシー・サーバーのポートを設定できるようになりました
• JKS 証明書をプロキシー・サーバーにインポートするバグが修正されました

• 「組織を選択してください」ダイアログから、組織への参加を求める招待を受けられるようになりました
• 問題の詳細に暗号スイート情報が追加されました

• ScanExecution モデルにスキャン ID が追加されました
• CSV 形式でのデータのエクスポート

• IAST: 追加情報テーブルが追加されました。
• セキュリティー・レポートの CSV 形式に修正グループ・テーブルが追加されました。

• 分析完了時の E メール通知を有効または無効にします。
• 個人スキャンとしてスキャンを実行します。

• 折りたたみ可能なメニュー・バーの順序が新しくなり、新しいメニュー項目がいくつか追加されました。
• 階層リンクを持つすべてのビュー間を移動できるようになりました。
• 「アプリケーション」ページ: アプリケーション作成ウィザード・フローが更新されました。
• 「単一のアプリケーション」ページ: 新しいダッシュボードは、リスク等級とコンプライアンス状況、スキャン状況、重大度別の問題、検出された最も一般的な問題タイプなど、アプリケーションの状況の概要をグラフィカルに示します。
• ポリシー:
  • 「ポリシー」ページが改善され、ポリシーのリストに続いて、各ポリシーに関連付けられたアプリケーションが表示されるようになりました。
  • 多くの新しい事前定義ポリシーをアプリケーションに関連付けられるようになりました。
  • ベースライン・ポリシーを「ポリシー」ページではなく「アプリケーション」ページから直接設定できるようになりました。
• スキャンの作成ウィザード: フローが改善され、DAST スキャンの場合に、アップロードされたファイルを使用してスキャンを作成するための別個のパスが追加されました。
• E メールと個人スキャンの設定を、新しい「サマリー」ページで設定するようになりました。
• テーブルに表示する列の選択、幅の調整、列の順序の変更ができるようになりました。
• 特定のページへのリンク (ID) を送信するだけで、他の許可ユーザーとページを共有できるようになりました。

• 多くの問題のコンテンツが追加および更新されました。
• 修正方法: 「アドバイザリー」セクションと「推奨される修正」セクションは、包括的な「修正方法」タブに統合されました。
• 多くの問題で、特定のコード言語向けのカスタムの「修正方法」コンテンツを使用できるようになりました。
• アプリケーション内の特定の問題へのリンク (ID) を送信するだけで、他の許可ユーザーと問題を共有できるようになりました。

• 新しいアプリケーションではデフォルトで「ビジネスへの影響」が「中」に割り当てられるようになりました。ただし、以前のデフォルトが「未定義」の既存のアプリケーションは変更されません。「未定義」は、引き続きアプリケーションに手動で割り当てることができます。
• アプリケーションに完了したスキャンが含まれている場合、アクティブな問題がない場合でも、リスク等級が「低」に設定されるようになりました (以前は「不明」に設定されていました)。

• Tomcat 10 のサポート
• 汚染追跡の改善
• OS コマンド検出ルールの変更