以前の更新 2023

2023 年のこれまでの更新で AppScan on Cloud サービスに追加された機能をリストします。

2023 年 12 月 13 日に更新

  • 静的分析クライアントが 8.0.1556 に更新されました。
  • AI/ML 自動トリアージ・テクノロジーである Java 向け Intelligent Findings Analystics (IFA) の主な機能拡張には、より正確な検出結果と誤検出の削減が含まれます。分析と優先順位付けが改善されているため、以前にスキャンしたコードに追加の検出結果が表示される場合があります。
  • Static Analyzer コマンド行ユーティリティー (SAClientUtil) では、SCA および SAST の更新された個別のワークフローをサポートします。SAClientUtil は、appscan queue_analysis コマンドを介して、2 つのスキャン (静的分析スキャンと、オープン・ソース検出結果向けの SCA スキャン) を開始します。静的分析スキャンと SCA スキャンは結果的に分離されます。
  • Git リポジトリーの自動検出。新しい問題のファイル・パスは、リポジトリーのルートを基準にしています。
  • RPG 言語の範囲を拡大しました。
  • 全般的なバグ修正。

2023 年 12 月 4 日に更新

  • DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.4.0 に更新されました。AppScan Standard の修正のリストを参照してください。

2023 年 12 月 3 日に更新

  • IAST は PHP をサポートするようになりました。
    • Java、Node.js、.NET に加えて PHP エージェント (バージョン 1.0.0) がサポートされています。
  • ユーザー・エクスペリエンス (UX) の改善:
    • 問題の詳細ペインのソース・コード・タブ: 迅速な修正のため、AppScan on Cloud インターフェースで、問題に関連するソース・コードを表示します。
    • 資産グループ: 新しいインターフェースにより、資産グループの作成プロセスが簡素化され、デフォルトの連絡先が確実に設定されます。デフォルトの連絡先は変更できますが、クリアすることはできません。
    • 修正グループ: 修正グループ・インターフェースの追加機能により、修正グループに分類された問題のより堅牢なトリアージと管理が可能になります。
  • 新しいコンプライアンス・レポート: [南アフリカ] 個人情報保護法 (PoPIA)、2013 年
  • 次のコンプライアンス・レポートが更新されました:
    • [米国] 米国連邦政府によるリスクおよび認証管理プログラム (FedRAMP)、改訂 5
    • [米国] DISA アプリケーションのセキュリティーと導入 STIG V5R2
    • [米国] 連邦情報セキュリティー近代化法 (FISMA)、2014 年
  • [プラグインと API] ページに AWS 統合が追加されました。
    • AWS CodeBuild および CodePipeline プラグインを使用すると、Dynamic Application Security Testing (DAST) スキャンを、AppScan on Cloud を通じて簡単に実行でき、DevOps サイクルにシームレスに統合できます。

2023 年 11 月 1 日に更新

  • 新しい IAST Java エージェント (バージョン 1.15.1):
    • ASoC にアクセスするためのエージェントへのプロキシーを指定する新しいメソッド:
      • 環境変数: IAST_PROXY_HOST および IAST_PROXY_PORT
      • カスタム Java プロパティー: Iast.proxyHost および Iast.proxyPort

      これは、標準の Java プロパティー https.proxyHost および https.proxyPort を使用してプロキシーを定義する既存の方法に追加されます。

2023 年 10 月 29 日に更新

  • ソフトウェア・コンポジション分析 (SCA) と静的分析は、AppScan on Cloud 内の別々のワークフローになりました。

    このように静的スキャン技術とオープン・ソース・スキャン技術を分離することで、テスト戦略の柔軟性が高まります。SCA を使用してオープン・ソース・ライブラリのみをスキャンし、SCA 固有の単一スキャン・ビューで問題を処理することも、組織の必要に応じてファイルに対して静的スキャンとオープン・ソース・スキャンの両方を実行することもできます。

  • 動的分析の一環として、ログインおよびログアウト・ページにテストを送信します

    DAST ウィザード・テスト・オプションでは、ログイン・ページとログアウト・ページにテストを送信するかどうかを指定できます。

  • 資産グループの作成と管理のためのユーザー・インターフェースが更新されました。

    資産グループは、データへのユーザー・アクセスを管理するための便利な手段です。この更新されたユーザー・インターフェースを使用すると、資産グループを簡単に定義および管理できるため、特定のデータを使用して作業するチーム・メンバーをより適切に管理できます。

2023 年 10 月 16 日に更新

  • 静的分析クライアントが 8.0.1546 に更新されました。
  • カスケード・スタイル・シート (CSSファイル) のスキャンをサポートします。

    AppScan on Cloud は、クロスサイト・スクリプティング、インジェクション、検証など、カスケード・スタイル・シートのセキュリティー上の脆弱性を特定します。

  • IBM WebSphere Application Server 9.x のサポート

    Static Analyzer コマンド行ユーティリティー は、WebSphere 環境を利用して WebSphere に含まれる JSP コンパイラーを使用するよう構成できます。

  • PHP スキャンの精度が向上しました。

    AppScan on Cloud によって、HTML ファイル内の PHP コンテンツの検証が改善されました。

  • 一般的な修正。

    AppScan開発チームは定期的に機能とコードをレビューし、最適なスキャン機能を提供するために継続的に微調整や調整を行います。

2023 年 9 月 28 日に更新

  • 新しい IAST Java エージェント (バージョン 1.14.3):
    • ユーザーがプロキシー設定を誤ったときに表示されるメッセージを修正しました。
    • IAST ログを更新し、日付と時刻の両方を含めるようにしました。
  • 以前リリースされた IAST Java エージェント (バージョン 1.14.2):
    • アプリケーションの API の完全なリストをレポートする問題には、「その他」の問題タイプの代わりに新しい問題タイプ「検出された API」が使用されます。
    • 配置プロセスの改善: Java バージョン 9 以降では、BC_SB 環境変数の設定は不要になりました。
    • Java の追加フレームワーク・サポート: Spring 6。
    • OWASP テスト: デモ用のロギングが改善されました。詳しくは、「IAST エージェントでの OWASP ベンチマーク」を参照してください。

2023 年 9 月 10 日に更新

  • DAST:
    • アプリケーションの新しい領域と変更点を特定し、スキャンにフォーカスすることで、DAST の再スキャンを大幅に短縮する増分スキャンをサポートします。

    • 更新: 2023 年 9 月 5 日に更新で説明されているように、AppScan Standard Connect で AppScan on Cloud にアップロードされた AppScan 結果にのみ脆弱なコンポーネントの結果が含まれます。現時点では、ASoC の DAST スキャンはこの機能をサポートしていません。

  • SAST: AppScan on Cloud では、IIRX ファイルを最初に生成せずに、スキャン用のアーカイブ・ファイルをアップロードできます。これにより、ファイルの準備を ASoC にオフロードすることで、ユーザーの時間を節約できます。
  • ServiceNow プラグイン: ServiceNow プラグインを使用して AppScan on Cloud から脆弱性データ (DAST または SAST 検出結果) を ServiceNow Vulnerability Response プラットフォームにインポートすることで、問題を ServiceNow でトリアージできるようになりました。
  • ユーザー・エクスペリエンス (UX) の改善:
    • 単一スキャン・ビュー: 問題の総数と新しい問題に加えて、アクティブな問題を表示するオプションが含まれるようになりました。アクティブな問題とは、状況が「新規 (非推奨)」、「オープン」、「進行中」、「再オープン」の問題のことです。また、「重大度別の問題」のグラフが改善されました。
    • 最大 3 つの固有のプレゼンスを割り当て、アプリケーションのスキャンをそれらのプレゼンスのみに制限できるようになりました。

2023 年 9 月 5 日に更新

  • 2023 年 7 月 31 日に更新」の訂正: DAST エンジンの更新: 動的分析エンジンは、2023 年 7 月 31 日に AppScan Standard バージョン 10.3.0 に更新されました。AppScan Standard の修正のリストを参照してください。
    注:
    • サードパーティー・コンポーネントの識別は AppScan Standard 10.3.0 の新機能ですが、ASoC で実行されるスキャンではサポートされていません。
    • 2023 年 7 月 31 日のリリースでは、脆弱なコンポーネントの検出を含む AppScan Standard から「scan」または「scant」ファイルを介して開始されたスキャンについて記述されています。ただし、このサポートは今後の配置では使用不可になります。
    • AppScan Standard から ASoC に AppScan Connect 経由でインポートされたスキャン結果には、AppScan Standard で検出された脆弱なコンポーネントが依然として含まれます。

2023 年 8 月 22 日に更新

  • 静的分析クライアントが 8.0.1542 に更新されました。
  • ソース・コード・スキャナーのパフォーマンスがさらに向上しました。
  • 全般的なバグ修正。

2023 年 8 月 16 日に更新

  • 静的分析クライアントが 8.0.1537 に更新されました。
  • 秘密のスキャンはデフォルトで無効になっています。

    秘密をスキャンするには、--enableSecrets および --secretsOnly のオプションを使用します。

  • ソース・コード・スキャナーのパフォーマンスが向上しました。
  • 全般的なバグ修正。

2023 年 7 月 31 日に更新

  • DAST エンジンの更新: 動的分析エンジンは、AppScan Standard バージョン 10.3.0 に更新されました。AppScan Standard の修正のリストを参照してください。
    重要: ASoC でのサードパーティー・コンポーネントのサポートに関する最新情報については、「2023 年 9 月 5 日に更新」を参照してください。次の「注」は有効ではなくなりました。脆弱なコンポーネントは、検出された場合、AppScan Connect 経由で ASoC にアップロードされたスキャン結果にのみ含まれます。
    注: サードパーティー・コンポーネントの識別は AppScan Standard 10.3.0 の新機能ですが、ASoC ではサポートされていません。AppScan Standard からインポートされたスキャンまたはテンプレートには (AppScan Standard でオプションが選択されている場合)、サードパーティー・コンポーネントが含まれます。

2023 年 7 月 20 日に更新

  • 静的分析クライアントが 8.0.1535 に更新されました。
  • 全般的なバグ修正。

2023 年 7 月 16 日に更新

  • 「アプリケーションの作成」および「アプリケーションの編集」ダイアログを更新しました。
    • アプリケーションの作成: 新しいクイック設定では、名前と資産グループのみを割り当てることでアプリケーションを作成できます。編集アプリケーションを使用して、後でパラメーターを追加できます。
    • 許可を持つユーザーは、「アプリケーションの作成」および「アプリケーションの編集」ダイアログ内から新しい資産グループを作成できるようになりました。
  • プラグイン: VS 2022 プラグインが追加されました。
  • オープン・ソースの問題にライブラリーの場所が含まれるようになりました。
  • 業界標準のレポート「NIST Special Publication 800-53」がバージョン 5 に更新されました。

2023 年 6 月 30 日に更新

  • 静的分析クライアントが 8.0.1533 に更新されました。
  • 秘密のスキャンのサポートが拡張されました。

2023 年 6 月 20 日に更新

  • 静的分析クライアントが 8.0.1531 に更新されました。
  • 秘密のスキャンのサポート。

2023 年 6 月 11 日に更新

  • DAST:
    • スキャン構成ウィザードで、スキャンへのさらなるドメインの追加がサポートされるようになりました。
    • ダッシュボード: 「最もアクティブな問題があるアプリケーション」グラフが、「よく発生する問題のタイプ」グラフに取って代わりました。
    • フォームの自動入力などの新しい構成オプションが追加されたため、ステージングまたは実稼働環境を選択するオプションが削除されました。詳しくは、次を参照してください。 ステージング環境または実稼働環境を指定できなくなったのはなぜですか?
  • API:
    • スキャン API の作成: DAST スレッド数は、最大 20 スレッドをサポートするようになりました。
    • オープン・ソース情報が、ファイル・レベルではなくライブラリー・レベルで、統合された正確なデータとともに表示されるようになりました。

2023 年 5 月 31 日に更新

  • AppScan Go! がバージョン 1.0.2 に更新されました
    • アイコンとロゴが更新されました
    • 全般的なバグ修正

2023 年 5 月 18 日に更新

  • 新しい IAST Java エージェント (バージョン 1.12.10501):
    • パフォーマンスの改善
    • 新しい脆弱性を追加:
    • API 検出: 新しい問題により、アプリケーションで検出されたすべての API がレポートされます。Spring アプリケーションでサポートされます。

2023 年 5 月 15 日に更新

2023 年 4 月 23 日に更新

  • スキャンを削除すると、そのスキャンのみに属する SCA ライブラリーも問題と同様に削除されるようになりました。
  • SAST/SCA: 「問題の詳細」パネルでのデータ・フローの表示が改善されました。
  • 「サブスクリプション」ページ: 「AppScan for You」サービスの詳細が追加されました。

2023 年 4 月 18 日に更新

  • 新しい IAST .NET エージェント (バージョン 1.7.3)

2023 年 3 月 29 日に更新

  • DAST エンジンの更新: 動的分析エンジンは AppScan Standard バージョン 10.2.0 に更新されました。AppScan Standard の修正のリストを参照してください。

2023 年 3 月 26 日に更新

  • 「監査証跡」ページが追加されました (「組織」>「監査証跡」).
  • DAST 問題の CVSS スコアリングは、v3.1 に基づくようになりました。CVSS バージョンは、「問題」ビューの列として追加できます。「CVSS」を参照してください。CVSS のしきい値はバージョンによって異なるため、この更新の前後に実行されるスキャンでは、同じ問題に対して CVSS スコアが異なる場合があることに注意してください。
  • API: Postman コレクション (Scans/FileUpload および Scans/DynamicAnalysisWithFiles) のサポートが追加されました。

2023 年 3 月 21 日に更新

  • 静的分析クライアントが 8.0.1524 に更新されました。
  • 全般的なバグ修正。

2023 年 3 月 13 日に更新

  • 新しい IAST .NET エージェント (v 1.7.2)バグの修正

2023 年 3 月 5 日に更新

  • 新しい IAST .NET エージェント (v 1.7.1)
    • バグの修正とパフォーマンスの改善
    • .NET コアでの WebSocket のサポート
    • 新しい脆弱性タイプ: 「Content-Security-Policy」ヘッダーがありません (CWE 1032)、「Referrer policy」セキュリティー・ヘッダーがありません (CWE 200)
    • System.Net.WebClient を使用する顧客向けの基本サポート

2023 年 2 月 19 日に更新

  • 問題状況「新規」は非推奨となり、新たに検出された問題は「オープン」に分類されるようになりました。以前のスキャンで「新規」とマークされた問題は、新しいスキャンでも検出されない限り影響を受けません (「問題のステータス」を参照)。
  • DAST スキャンを作成する際、デフォルト環境 (API の「ScanType」) が「実稼働」から「ステージング」に変更されました (「DAST スキャンの作成」を参照
    重要: 実稼働中の環境をスキャンする場合は、スキャンを作成するときにこの設定を変更することが重要です。
  • 新しいコンプライアンス・ポリシーとレポート: [US] California Consumer Privacy Act (CCPA) - AB-375。
  • スキャンの統計情報が、組織の「スキャンおよびセッション」ビューで管理者にグラフィカルに表示されるようになりました。
  • 組織とアプリケーションの設定に「自動クリーンアップ」構成が追加されました (「クリーンアップ」を参照)。
  • 相関データが「相関グループ」ビューに追加されました。
  • ロール API: ロール・モデルに「IsAssignable」が追加されました。これは、このロールを持つユーザーを招待したり、別のユーザーのロールをこのロールに変更したりできることを示します。

2023 年 2 月 6 日に更新

  • 静的分析クライアントが 8.0.1521 に更新されました。
  • ソフトウェア・コンポジション分析 (SCA) の検出およびレポートが改善されました。
  • C、C++、Python のスキャンの精度が向上しました。
  • 全般的なバグ修正。

2023 年 1 月 23 日に更新

  • 問題の「日付」フィルターに「最後の検出」が追加されました。
  • 問題状況「新規」の非推奨: UI には、2 月以降、「新規」とマークされていた問題が「オープン」とマークされるという告知が表示されるようになりました。既存の「新規」の問題は、新規スキャンで検出されない限り変更されず、新規スキャンで検出された場合は「オープン」に設定されます。「新規」の問題のステータスを他のステータスに変更することはできますが、問題のステータスを「新規」に設定することはできません。問題のステータス を参照してください。

2023 年 1 月 16 日に更新

  • IAST Java エージェント (バージョン 1.12.10400): さまざまな修正と機能拡張。

2023 年 1 月 15 日に更新

  • 問題リストの「最後の検出」列に、問題が検出された最新の日付が表示されます。
    注: これは、この更新後に実行されるスキャンで検出された問題にのみ適用されます。それ以前のスキャンの場合、「最後の検出」フィールドは空になります。