之前的更新 2019-2020

• 已重命名：
  • 状态 > 问题状态
  • 严重性值 > 严重性
  • 源文件 > 文件名
• 已添加：外部标识和 CVSS
• 已除去：协议

• 相反，创建“NIST 特种出版物800-53”应用程序报告将创建“萨班斯-奥克斯利法案 (SOX)”报告
• 开放式源代码安全问题尽管包含在应用程序策略中，但未显示为不合规

• 现在，仅当在 UI 中选中“元数据 > 覆盖范围”复选框或在 REST API 中使用“覆盖范围”标志时，应用程序数据才会（按预期）包含在报告中。
• PRB0067750：已修复当为扫描代理程序传输扫描作业时优化级别会发生更改的问题。

• 实现了一个 API 函数，该函数将基于每种状态返回问题数
• 添加了域 API
• Swagger 函数现在包括一些可能的错误响应代码

• 现在可以删除“正在审核”扫描
• 现在，已登录的用户可以从“UI 设置”页面中自动打开 Swagger

• IAST 技术现在称为“IAST 监视会话”或“IAST 会话”，而不是“IAST 扫描”。
• 简化了用于启动 IAST 会话的向导
• 代理下载程序现在总是包含代理程序密钥

• 错误通知改进
• 现在 GetTenantInfo 上会显示 FlexNet LicenseKey 的最后几个字符

• 已更改 SAST 定制咨询内容的结构。
• 所有报告统一封面。
• DAST XML 报告：DAST XML 报告中“URL 组”和“实体组”部分的顺序已更改。报告的其他版本不受影响。

• 现在，“SAST 修复组”的名称和内容与 UI 和应用程序报告中显示的名称和内容一致。
• “SAST 扫描报告”现在包括一些定制建议，与应用程序报告中一样。
• 已更新封面页和添加 TOC，以匹配应用程序报告。
• 已将“讨论”和“历史记录”复选框添加到元数据选项中。

• 现在，通过单击列标题，可以对“所有问题”选项卡中的“问题”和“AppScan Presence”列进行排序。
• 已向 URL 字段中添加了在创建动态扫描时使用的自动完成功能。

• 37 篇新文章
• 细化 29 条规则
• 这些改进最终将减少发现结果的总数。
• 但是，更新可能导致一些现有发现结果显示为新发现结果。

• 现在，缺省列表仅显示不符合要求的问题（新问题、未解决的问题、进行中的问题、已重新打开的问题）
• 新过滤器显示
• SAST 扫描：将“修复组”链接添加到“所有问题”列表中的每个问题，以打开该问题的“修复组”选项卡

• 现在，即使不存在任何问题或所有问题都符合要求，您也可以生成报告
• SAST 扫描：在应用程序安全性报告中添加了“按修复组划分的问题”部分

• 按问题更改状态
• 按修复组添加注释
• 按特定策略合规性过滤问题

GET /api/v2/Issues/{scope}/{scopeId}

此函数返回给定范围（应用程序、扫描或扫描执行）的问题。它接受常规的 Odata 参数（过滤器和页面调度），并且还具有一个参数，该参数确定是否以及应将哪些策略用于过滤问题。此新函数将替换以下所有函数（现已标记为“过时”）：

GET /api/V2/Issues/Count

GET /api/v2/Apps/{id}/NonCompliantCount

GET /api/v2/Apps/{id}/NonCompliantIssues

GET /api/v2/Apps/{id}/Issues

GET /api/v2/Apps/{id}/IssuesAsPage

GET /api/v2/Apps/{id}/IssuesCount

GET /api/v2/Scans/Executions/{executionId}/Issues

GET /api/v2/Scans/{scanId}/Executions/{executionId}/Issues

GET /api/v2/Scans/{scanId}/NonCompliantIssues

GET /api/v2/Scans/{scanId}/NonCompliantCount

GET /api/v2/Scans/{scanId}/Issues

AppScan on Cloud GUI 的最新更新 AppScan Go! 引入了指定“全面”扫描速度的功能。全面扫描可提供最全面的分析，以识别最大数量的漏洞。全面扫描完成所需时间也最长。

要利用此扫描速度，请下载并安装最新版本的 AppScan Go!

• 插件在运行时会自动下载最新版本的 Static Analyzer Command Line Utility。
• 如果尝试准备使用 Static Analyzer Command Line Utility V7.x 或更低版本进行扫描的代码，则会看到错误消息。升级至最新版本的 Static Analyzer Command Line Utility，具体取决于您的操作系统（Windows、 Linux、Mac）。
• 如果您正在使用 AppScan Go!，请接受并安装最新更新（如果提供了更新）。

• 确定由 JavaScript 创建的新 Cookie； 改进的 URL 过滤器； 改进的覆盖范围
• 改进的跨站点脚本分析：改进了基于 DOM 的跨站点脚本编制检测
• 改进的服务器/应用程序关闭检测：服务器/应用程序关闭心跳现在可测试扫描的完整起始 URL，而不只是其根路径，从而提高扫描准确性。

新的 Java 暂存进程允许对 Java 项目进行更智能的处理，以确定将分析哪些文件以及将哪些文件视为依赖项。暂存进程采用了一种诊断处理方法来评估 Java 项目，因此相比将所有 war 文件、jar 文件、sub jar 文件等解压缩，然后在确定要分析的文件之前将所有未压缩的文件保存到磁盘上，暂存进程用时更短。

-DSTAGE_INFO=true
For example:
D:\apps\app\appscan prepare -n app -DSTAGE_INFO=true
Discovering targets...
Target added: app
Validating...
Staging D:\apps\app\app.jar
Evaluating Entry: app.jar.files/lib/tomcat-coyote-7.0.12.jar
Java Packages To Be Analyzed For app:
        com.app.java.test
No problems found during validation.
Generating IRX file...
IRX file generation successful.

• DAST 扫描的这项新功能（缺省情况下处于活动状态，并在扫描设置过程中进行控制）可在快速结果对您而言比彻底深入的扫描更为重要的情况下加快扫描速度。请参阅测试优化。
• 现在，DAST 扫描报告的“常规信息”部分指示扫描是否已优化。

• 当您创建扫描时，应用程序的“测试状态”更改为“进行中”。
• 当您重置应用程序时（UI：编辑 > 重置 > 删除所有… | API：应用程序/重置/删除问题），该应用程序的“测试状态”更改为“未开始”。

• 过滤器已添加到 GET Presences API 函数，例如：GET: ..Presences/?$select=PresenceName%2C%20Id返回所有 Presence 及其标识的列表
• 下载 DAST 扫描文件，其中使用：GET ..Scans/DynamicAnalyzerScanFile/{executionId}

• 支付应用程序数据安全标准
• 美国 DISA 应用程序安全和开发 STIGV4R3

增强功能包括性能改进、自动排除第三方文件、改进的规则分析和错误修复。

• 国际标准 - ISO 27001
• 国际标准 － ISO 27002
• NIST 特刊 800-53
• WASC 威胁分类 v2.0

• 加拿大信息自由与隐私保护法 (FIPPA)
• 美国电子资金转账法案 (EFTA)
• 美国联邦信息安全管理法案 (FISMA)
• 美国萨班斯法案 (SOX)

• 现在，您可以在 Linux 操作系统和 Windows 上运行 AppScan Presence 作为服务。
• 在 Windows 操作系统中，AppScan Presence 现在可以使用 EXE 文件启动。