之前的更新 2016-2018
列出在 2016 年和 2018 年之间在 AppScan on Cloud 服务的先前更新中添加的功能。
2018 年 12 月 30 日的新增功能
- 更新后的安全性扫描报告:安全性扫描报告现在按请求生成而不是在扫描过程中生成,因此与其他报告一样,状态已更改(例如更改为“已修复”)的问题现在将与其当前状态一起显示在报告中。(不适用于 2017 年 10 月之前运行的扫描。)
- 用于静态分析扫描的新开放式源代码许可证报告(需要开放式源代码订阅):生成扫描报告,列出在代码中找到的所有开放式源代码库。(仅适用于 2018 年 12 月 30 日之后运行的扫描。)
- 现在可以从用户界面(除了 API 之外,如之前一样)提升个人扫描:个人扫描问题与应用程序问题合并在一起,同时系统将显示一条消息,指示“新问题”(先前在应用程序中未发现的问题)、“合并的问题”(在个人扫描和应用程序中发现的问题)和“已重新打开的问题”( 在个人扫描中发现的事先在应用程序中标记为“已修复”的问题,现在已重新打开)的数量。
- 其他行业标准报告:OWASP Top 10 Mobile 2016。
- “扫描历史记录”视图现在显示创建每次扫描的用户的名称。
2018 年 12 月 3 日的新增功能
- 支持 Visual Studio Team Services (VSTS) 插件。
2018 年 11 月 29 日的新增功能
- 增强的 JavaScript 扫描程序,以进行静态分析。
- 支持 AngularJS。
2018 年 11 月 19 日更新
- 新动态分析引擎
- 系统要求中已更新用于专用站点扫描的 IP 列表。
2018 年 11 月 7 日更新
- 现在,其他列表分为几页(缺省为每页 10 个列表,可配置):资产组列表、资产组用户列表(授予用户访问权)、资产组应用程序列表(移动应用程序)以及用户列表。
- 对于动态扫描:鼠标单击扫描旁边的信息图标,现在将显示扫描标识和起始 URL。
- 现在,起始 URL 字段会在您键入 URL 时验证该 URL。
- 对于专用站点扫描:现在,在扫描过程中显示 AppScan Presence 状态。
2018 年 10 月 28 日的新增功能
- 对于专用站点扫描,借助 Windows 操作系统,AppScan Presence 现在可以作为服务运行。
2018 年 10 月 17 日的新增功能
- 现在,“我的扫描”选项卡列表分为几页(缺省为每页 5 个扫描,可配置)。
- 使用 PAC 文件修复了专用站点扫描中的缺陷。
2018 年 10 月 9 日的新增功能
- 移动分析现在支持介于 7 到 12 之间(包括 7 和 12)的 iOS 版本,以及所有 Swift 版本(包括 4.2 及以下版本)。
- 动态分析现在支持需要 HTTP 认证的站点。
- 专用站点扫描现在支持代理自动配置 (PAC) 文件。
- 重新设计了目标网页。
- 修复了一个缺陷,即在存在 200 多个问题的情况下无法进行个人扫描。
- 在应用程序报告中添加了针对 SAST 的缺少的修订建议。
- 常规错误修复。
2018 年 9 月 20 日的新增功能
HCL AppScan on Cloud Static Analyzer Command Line Utility 仅在 64 位 Linux 上受支持。
2018 年 9 月 5 日的新增功能
- Eclipse
- IntelliJ
- Visual Studio
- Jenkins
- Gradle
- Maven
2018 年 8 月 29 日的新增功能
- 语言支持:Application Security on Cloud 现在支持 Python 扫描。
- 添加了针对最新 Apache Struts 2 CVE-2018-11776 的检查,以发现关键的远程代码执行漏洞。在动态和开放式源代码分析中可用。
- 添加了针对“基于 JSON 的 XML 外部实体文件披露”和“支持旧版 TLS”的动态分析检查。
- 改进了现有“Apache Struts 2 远程命令执行”检查,并添加了新变量,以提高覆盖范围和准确性。
2018 年 8 月 14 日的新增功能
- 动态分析引擎更新,包含常规改进和错误修复。
2018 年 8 月 7 日的新增功能
- 现在,个人扫描已在应用程序的扫描列表中列出。
2018 年 8 月 1 日的新增功能
- 语言支持: AppScan on Cloud 现在支持 COBOL 扫描。
- Static Analyzer 报告改进:从报告和评估查看器中都可以看出,Application Security on Cloud 改进了修订组分类。
- 管道支持:更新了 Jenkins 插件,以包括 Jenkins 管道支持。
2018 年 7 月 10 日的新增功能
- 新动态分析引擎,具有高级自动浏览功能,可提高速度和测试覆盖范围。
2018 年 7 月 2 日的新增功能
- Scan issues 列替换了“安全性扫描”视图中的 Result 列。
单击时,Scan issues 显示在扫描期间发现的所有不合规静态安全性问题。
- Application issues 列替换了 Report 列。
单击时,Application issues 显示在扫描此应用程序期间发现的所有不合规静态安全性问题。
2018 年 6 月 27 日的新增功能
2018 年 5 月 30 日的新增功能
- 移动分析现在支持 Android 8.0 及以下版本。
2018 年 5 月 9 日的新增功能
2018 年 4 月 25 日的新增功能
- 新的预定义 HIPAA 策略确定不符合 1996 年健康保险可移植性和责任法案 (HIPAA) 的问题。请参阅策略。
2018 年 4 月 17 日的新增功能
- 以前,在问题的“咨询”选项卡中,外部参考站点的某些链接已损坏。现在,这些链接已修复。
- 通过“应用程序”表格中的新合规性列标题,您可以将问题分类为“符合”或“不符合”应用程序的关联策略。
- AppScan on Cloud 支持仅通过命令行界面 (CLI) 和 Windows 上 Visual Studio 2017 插件扫描 .NET Core 项目。有关更多信息,请参阅为 .NET Core 项目生成 IRX 文件。
2018 年 3 月 18 日的新增功能
策略
现在,您可以将一个或多个策略与应用程序关联,从而确保您可以评估应用程序对这些策略的遵从性,并将修复措施集中在相关漏洞上。通过用户界面应用策略。
- CWE/SANS Top 25 报告
- 欧盟通用数据保护条例 (GDPR) 报告
- OWASP Top 10 2017 报告
- PCI 合规性报告
2018 年 3 月 8 日的新增功能
- 现在,IDE 插件会提示每次扫描以查找应用程序关联情况,而不是每个工作区仅扫描一次。
- 在 IRX 生成期间,PHP 应用程序不再遇到内存限制。
- 解决修复组后,不再在 Visual Studio 中重新激活帮助我修复此问题按钮。
2018 年 3 月 5 日的新增功能
- 以前,当使用 AppScan Standard 配置运行 ASoC 扫描时,系统会将测试发送至已事先从扫描中明确排除的域。现在,此问题已修复。
处理扫描结果时,缺省情况下会显示六个“问题属性”:状态、位置、CVSS、问题类型、严重性以及扫描名称。可以使用列选择下拉列表添加(或移除)其他属性的列。为了简化 UI,将于 2018 年 3 月 19 日移除以下列选项:
访问复杂性、访问向量、应用程序名称、认证、可用性影响、分类、机密性影响、描述、发现方法、可利用性、修订建议、友好标识、完整性影响、是第三方、Nessus 插件标识、项目名称、协议、修复级别、报告置信度、严重性值、重现步骤、摘要、WhiteHatSecVulnId
从 2018 年 3 月 19 日开始,这些属性将不再作为选项出现在“列选择”'下拉列表中,并且如果在上一次扫描中被选择,则将不再显示在扫描结果中。
2018 年 2 月 26 日的新增功能
- 先前以 HTML 文件格式下载的应用程序报告现在以 PDF 文件格式下载。
- 现在,缺省情况下,报告中包含的数据为:目录、摘要和详细信息。在生成报告时,可以选择其他四个类别(讨论、历史记录、咨询和修订建议)。
2018 年 1 月 30 日的新增功能
- 以前,对于使用除英语之外的其他语言创建的扫描,问题严重性在报告中正确显示,但在在线 UI 中错误地显示为“未确定”。现在,此问题已修复。
- 现在,30 天后重新扫描时出现的错误消息已修复。
2018 年 1 月 8 日的新增功能
- 重置应用程序数据:此功能已添加为“编辑应用程序”中的新选项,可永久删除应用程序中的所有扫描和问题,同时保留其名称和配置
-
动态分析新行为:如果加载扫描文件,则可以选择“全面扫描”或“仅测试”:
- 全面扫描:忽略保存在扫描中的所有结果,并使用相同的配置运行新扫描(以前,扫描将保留现有结果并继续扫描直至完成)
- 仅测试:忽略任何测试阶段结果,并使用文件中的浏览阶段结果运行新测试阶段(以前,测试阶段将保留现有测试阶段的结果并继续进行直至完成)
2017 年 12 月 31 日的新增功能
- 新动态分析代理程序。
2017 年 12 月 26 日的新增功能
- 在生成报告时,您现在可以:
- 包括详细信息和讨论(注释)元数据。
- 包括通过单击报告但不选择任何问题发现的所有问题。如果您确实选择了问题,则报告将像以前一样仅包含这些问题。
2017 年 12 月 13 日的新增功能
- 现在,您可以在应用程序中添加发现的问题的注释,这些注释在“应用程序”视图和“问题”视图中显示为新列。注: 现有用户首先需要将“注释”列添加为“发现的问题”选项卡中显示的列之一。
- 现在,在“用户管理”视图中,作为多个组织的成员的用户在其名称旁边都有一个下拉列表,用于选择要显示的组织的仪表板。
2017 年 12 月 5 日的新增功能
- 通过将
-openSourceOnly
选项与appscan prepare
配合使用,AppScan on Cloud 现在支持仅开源扫描 - 对 C/C++ 扫描和生成的 IRX 文件进行了改进
- 智能代码分析 (ICA) 和智能结果分析 (IFA) 的边缘案例稳定性的改进
2017 年 11 月 22 日的新增功能
- 策略:您现在可以使用 REST API 来定义和使用“策略”,以仅显示在特定日期之后发现的问题或者具有指定最低严重性的问题。请参阅策略。
- DAST 和 Android 引擎更新了新版本,其中包含了错误修复和性能提升。
2017 年 11 月 14 日的新增功能
- “问题”视图中新增了“历史记录”选项卡,可显示选定问题的审计跟踪。请注意,跟踪只会从这次更新时开始。
- DAST 和 Mobile 引擎更新了新版本,其中包含了错误修复和性能提升。
2017 年 10 月 23 日的新增功能
- 现在可使用 API 来删除问题、扫描或应用程序图表数据,而不删除应用程序。
- “问题”视图中新增了“讨论”选项卡,确保您可在应用程序中添加问题的注释。
2017 年 10 月 20 日的新增功能
- 智能结果分析的改进
以前,java.sql.Statement.executeBatch 和 InetAddress 返回无关结果。我们改进了智能结果分析 (IFA) 来过滤输出这些误报结果。
2017 年 10 月 10 日的新增功能
- 已向您可以控制的许可权添加了“更新问题状态”。
- 现在,页面调度可用于应用程序以及问题。
2017 年 10 月 3 日的新增功能
- 移动分析现在支持 iOS 11。
- Android 和 iOS 扫描中的新问题类型:凭证泄露。
- 主工具栏目前在“用户名”旁边显示了用户当前登录了哪些组织。
2017 年 9 月 10 日的新增功能
- 用户角色
- 自动生成的 AppID 已从整数更改为 GUID。这对于用户是透明的,因为将自动返回新标识,而用于提交扫描的 API 是向后兼容的。
2017 年 8 月 24 日的新增功能
- 对 Open Source Analyzer 支持的改进:
改进了在相同会话中运行多个扫描时 Open Source Analyzer 和 Eclipse 的性能。
- 对 C/C++ 支持的改进:
能更大程度地发现 C++ macros 和编译器选项。
- 更改了在没有跟踪的情况下对 Static Analysis 问题的识别。
我们改进了 Static Analysis 引擎,并通过该引擎改进了无跟踪发现的散列算法。由于该更改,在“问题”选项卡中会将部署该最新更新之后检测到的很多静态分析结果复制一次。这主要会影响 Node.js、Ruby 和 JavaScript 结果,但也可能影响其他语言。
2017 年 8 月 14 日的新增功能
- 已除去:创建应用程序概要信息模板的功能(带有定制属性)已移除。
2017 年 7 月 24 日的新增功能
- 其他 iOS 支持: ASoC 现在支持扫描 V10.3 及以下版本的 iOS 移动应用程序。
- 新 IP 范围:ASoC 使用的其中一个 IP 范围已更改。查看 ASoC 使用哪个 IP?
- 新 UI 功能:扫描结果表顶部的新复选框使您能够选择全部扫描,然后新的删除按钮将删除复选框被选中的所有扫描。查看 结果
2017 年 6 月 22 日的新增功能
- AppScan on Cloud 现在支持扫描需要权利的 iOS 应用程序。
- 更好地支持 C/C++,包括 Visual Studio 2015:
C/C++ 扫描改进包含扫描 64 位项目的能力,这一改进目标瞄准了 Visual Studio 2015 平台工具集。
- 为 .NET 提供更好的日志记录:
针对所有 .NET 相关项目的日志记录和稳定性的改进。
- Javascript 改进:
Javascript 跟踪稳定性,因此不完整的跟踪不会导致返回结果的问题。
2017 年 6 月 15 日的新增功能
- 扫描队列:如果您在已在运行订阅的最大数量的并发扫描时尝试启动扫描,则扫描会添加至队列并很快自动启动扫描。
- 移动分析报告中的 OWASP 最严重的 10 种风险现在遵循“Mobile Top 10 2016”: https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
- 改进了对 NodeJS 和 Ruby 的支持:
Node.js 和 Ruby 扫描与 Intelligent Findings Analytics (IFA) 完全集成,提供更快的扫描时间。
- 改进了客户机端 JavaScript:
我们改进了由 Javascript 引擎生成的跟踪和非跟踪结果的显示。
2017 年 3 月 26 日的新增功能
- Application Security on Cloud 现在支持开放式源代码测试:
- 查找代码中的开放式源代码软件包
- 确定已知具有漏洞的开放式源代码软件包
- 建议易受攻击的软件包的备用选项
注: 开放式源代码测试需要其他订阅。当订阅处于活动状态时,开放式源代码测试将自动包含在静态分析扫描中。 - AppScan Presence 现在包含可选代理服务器以合并扫描(仅限 Web 应用程序的扫描)作为功能测试的一部分。
2017 年 2 月 3 日的新增功能
- 使用 Jenkins 插件时:
- 现在支持动态分析。通过此功能,您可以对浏览器中运行的应用程序执行分析。
- 指定登录凭证时,现在需要使用生成的 API 密钥。
注: 不支持通过 Jenkins 插件连接到 Bluemix。
2017 年 1 月 25 日的新增功能
- 现在,C/C++ 静态分析扫描期间会应用智能代码分析 (ICA)。
先前已针对 Java、.NET 和 PHP 扫描引入了 ICA。使用此技术,将发现新应用程序编程接口 (API) 并针对安全影响进行评估。通过 ICA,将复审所有第三方 API 和框架并分配正确的安全影响。这将得到更加完整的扫描结果。
2016 年 12 月 21 日的新增功能
- 生成问题报告
- 在应用程序中过滤问题
- 现在支持更改缺省用户角色的功能。
- 可以使用 AppScan Presence 来扫描连接到无法从因特网访问的后端服务器移动应用程序(Android 和 iOS)。
- 新的应用程序和角色 REST API。
- 在 HCL Cloud Marketplace 中使用此服务时,静态分析现在支持使用生成的 API 密钥登录。
- 从集成开发环境登录时,现在需要使用生成的 API 密钥。
- 通过 CLI 登录时,发出
appscan api_login
命令 (Windows™) 或appscan.sh api_login
命令 (Linux™ 和 macOS)。此命令可与在 认证命令 (Windows™) 或 认证命令(Linux™ 和 macOS) 主题中列出的选项配合使用。
2016 年 12 月 14 日的新增功能
2016 年 12 月 13 日的新增功能
- 向 Jenkins 自动化服务器添加安全性分析 现在受支持。HCL AppScan on Cloud Jenkins 插件可用于在您的 Jenkins 项目中增加安全性扫描支持。此插件可用于在 HCL Cloud Marketplace 上连接到 HCL AppScan on Cloud。
2016 年 11 月 16 日的新增功能
- 静态分析扫描现在还可以使用智能代码分析 (ICA)。ICA 自动发现新的应用程序编程接口 (API) 并评估它们的安全影响。通过 ICA,将复审所有第三方 API 和框架并分配正确的安全影响。这将得到更加完整的扫描结果。注: 现在,扫描 Java、C/C++、.NET 和 PHP 时,仅应用 ICA。
2016 年 10 月 19 日的新增功能
- 用户管理页面中的更改:
- 移除了用户与角色页面上的“管理用户”按钮。横幅中链接到 IBM Cloud Marketplace 的管理链接现在也可从主菜单获取。
- 横幅中链接到 IBM Cloud Marketplace 的“邀请用户”链接也可从 获取。
2016 年 10 月 12 日的新增功能
- 创建应用程序概要信息模板。(后来删除了此功能。)
- 定制风险分级公式。(后来删除了此功能。)
- 通过定制公式确定风险。(后来删除了此功能。)
2016 年 10 月 5 日的新增功能
- 现在在 macOS V10.11 和更高版本上支持静态分析 CLI、Eclipse 插件和 Maven 插件。
2016 年 9 月 28 日的新增功能
2016 年 9 月 14 日的新增功能
- 扫描 iOS 移动应用程序现在支持 iOS 10。
- 静态分析现在支持在 Visual Studio 解决方案中扫描 C/C++。注: 请参阅Microsoft Visual Studio 支持(仅 Windows)
2016 年 9 月 7 日的新增功能
- 扫描 iOS 移动应用程序不再需要使用 IPAX Generator 来创建和上载 IPAX 文件。现在可创建和上载 IPA 文件。
2016 年 8 月 23 日的新增功能
- 从 Static Analyzer Command Line Utility 登录服务时,您现在可以执行以下操作,以在登录令牌文件过期时让实用程序自动尝试向服务重新认证。
- 如果从命令行界面 (CLI) 登录,请使用
-persist
选项,如 认证命令 (Windows™) 和 认证命令(Linux™ 和 macOS) 中所述。 - 如果要从集成开发环境 (IDE) 登录,请选中保存凭证复选框。
- 如果从命令行界面 (CLI) 登录,请使用
2016 年 8 月 3 日的新增功能
- 新 用户 功能。用户管理可将敏感应用程序分配到资产组,然后将特定用户添加到这些组,从而帮助您限制对敏感应用程序的访问权。
- 新的用户管理 REST API。
- 支持对扫描进行过滤和统计(已成功完成、进行中或者失败)。
2016 年 7 月 20 日的新增功能
- 支持在应用程序中选择问题列
- 仅限 HCL Cloud Marketplace:如果连接到 HCL Cloud Marketplace处的 AppScan on Cloud 服务,静态分析扫描现在必须与现有 AppScan on Cloud 应用程序关联。将扫描与应用程序关联时,您能够利用 AppScan on Cloud 仪表板的报告和趋势分析功能。
要了解在通过 CLI 提交扫描时如何关联应用程序,请参阅 分析命令 (Windows™) 或 分析命令 (Linux™ 和 macOS)。要了解在从 IDE 提交扫描时如何执行该操作,请参阅 在集成开发环境中执行扫描。
- 静态分析扫描期间增强了客户机端 JavaScript 发现。
2016 年 7 月 11 日的新增功能
- IBM AppScan on Cloud 已获得 ISO/IEC 27001:2013 认证
2016 年 6 月 29 日的新增功能
- 支持扫描需要登录的 Android 移动应用程序
2016 年 6 月 22 日的新增功能
- 请求专家帮助。可购买咨询服务交互单元作为订阅的附加项。在订阅期间,可使用这些交互单元来请求和接收 OnDemand 咨询服务的任意组合,具体取决于这些服务需要多少单元。
- 静态分析现在包含对以下语言的支持:
- 客户机端 JavaScript
- PHP
- Ruby
- 检测 iOS 和 Android 移动应用程序中的信息泄露
2016 年 6 月 18 日的新增功能
- 新的我的扫描页面包含简单的扫描列表,而不考虑扫描所属的应用程序
- 现在可在通过动态分析扫描时选择特定测试集合
- 支持通过动态分析扫描其他已验证的域
2016 年 6 月 1 日的新增功能
- 现在支持将 Node.js 用于静态分析扫描。
2016 年 4 月 5 日的新增功能
- 构建应用程序资产的清单以了解需要保护的内容
- 按业务影响对应用程序分类和排名以找出要保护的最重要的内容
- 按应用程序组织 Analyzer 扫描以获取完整的评估
- 获取每个应用程序的安全评级以按风险对资产排名
- 划分漏洞优先级和管理其解决方案
- 查看仪表板以了解应用程序安全态势,并查看是否有进展
- 通过 Mobile Analyzer 扫描 Android 6 仿真器上的 Android 应用程序以查找更多漏洞
- 在 IntelliJ IDE 方便时通过 Static Analyzer 扫描和查看漏洞。