之前的更新 2021-2022

• 支持使用 com.fasterxml.jackson 库来跟踪 JSON 的客户感染。
• 支持使用 org.glassfish.jersey 框架跟踪客户感染。
• 内部优化。

• 将 Apache commons-text 从 1.9 更新到 1.10.0，以缓解已知 CVE (CVE-2022-42889)。
• 将 Apache httpClient 更新为 apache HttpClient5，以缓解旧 httpClient 中的漏洞。
• 支持使用 org.owasp.encoder.Encode 库跟踪客户感染。
• 改进了对使用 Gson 库跟踪客户感染的支持，包括对 Gson htmlSafe 功能的支持。

• 将静态分析客户机更新到 8.0.1514 版本。
• 提高了 Java 和 Kotlin 扫描程序的准确性。
• 常规错误修复。

• 性能改进。
• 用于隐藏密码的新配置选项，请参阅此处。

正如之前所宣布，在扫描专用站点时，AppScan Presence V1 现已替换为 2022 年 3 月发布的 AppScan Presence V2。对于专用站点扫描，现在必须安装 Presence V2。请参阅AppScan Presence。

• 现在支持 TOTP（基于时间的一次性密码）。请参阅 DAST 扫描。
• 单个扫描视图现在包括探索数据计数器（找到的 cookie 数、头数等）。

• SARIF 格式选项添加到了“导出问题”对话框。
• 单个扫描视图现在包含找到的语言列表，以及（如果预阅包括 SCA）找到的开放式源代码库和许可证的计数器。

• 支持跟踪通过 WebSockets 发送的数据。
• 对 Spring REST API 的扩展支持：支持 REST 路径变量作为源。
• 支持使用 Gson 库跟踪客户感染。
• 使用 Java 9 和更高版本时，必须在 java 属性中设置标志 (BC_SB) 才能正确跟踪感染。如果未设置此标志，现在系统会提醒用户。

• 应用程序视图：按风险分级、资产组、业务影响、业务单元、测试状态和最高严重性进行过滤。选择开始日期和结束日期。
• 扫描视图：按技术和状态进行过滤（未更改）。
• 所有问题视图：按严重性、状态、扫描技术、启用策略和问题类型进行过滤。选择开始日期和结束日期。
• 扫描问题视图：按严重性、状态、首次找到、已启用策略进行过滤。选择开始日期和结束日期。

• “扫描”>“配置”选项卡中的新首选项部分显示为扫描配置的通知电子邮件（发送/不发送）和扫描支持（允许/不允许）设置。
• 利用更新后的重新扫描对话框，可以在重新扫描时更改这两个设置。

请注意，虽然在 AppScan Standard 10.0.8 中支持使用导入的 Postman Collection 文件进行自动 API 扫描，但当前不支持将 Postman Collection 扫描上载到 ASoC。

• 现在，您可以更改一个问题的严重性级别，也可以一次更改多个问题的严重性级别（请参阅 编辑问题严重性）。
• 新增对于“已完成”但页面没有 100% 访问和/或元素没有 100% 测试的扫描的指示。新增用于查看/隐藏这些扫描的“部分扫描”过滤器（请参阅 部分扫描）。
• 管理员：在角色分配中，现在“创建扫描”和“重新扫描”许可权是分开的，因此可以向用户授予执行其中一项操作或两项操作的许可权。

• 对 JBoss EAP（企业应用程序平台）V6、V7 的支持
• 改进了报告可读性：
  • 打印数组/映射内容
  • 根据当前用户输入动态生成漏洞利用示例
• 改进了 XSS 算法

• 添加了“OWASP Open API Top 10 2019”策略
• 向扫描卡和单个扫描问题图添加了“严重”严重性

• 向 CSV 报告添加了 SAST 开源解析和描述列
• 向安全性报告添加了“严重”严重性计数器

• 现在，“ASoC 插件和 API”页面上提供了新的 HCL AppScan 流量记录器（先前称为 DAST 代理）。请参阅HCL AppScan 流量记录器。
• 添加了三个新的 JetBrains 插件：CLion、GoLand 和 RubyMine。

这意味着从 API 或插件启动的 DAST 扫描将不会发送到扫描支持团队进行审核（请参阅扫描状态：正在审核），除非用户明确将此参数设置为 false。

对于通过 UI 启动的扫描，缺省设置“允许干预”保持不变。

• 新的受支持环境：Jetty 服务器、Quarkus（JVM 节点）、Resteasy 框架
• 安全更新：
  • 新的漏洞：不安全的反射 (CWE 470)。引用： https://cwe.mitre.org/data/definitions/470.html
  • 新的漏洞：开放式重定向 (CWE 601)。引用： https://cwe.mitre.org/data/definitions/601.html
  • 改进了注入分析算法的准确性 - 影响 CWE 78：操作系统命令注入
  • 在找不到页面时消除潜在的误报 - 影响 CWE 352 (CSRF) 和 523（不受保护的凭证传输）
  • 向 CWE 352 (CSRF) 和 CWE 523（不受保护的凭证传输）问题添加了其他信息

• CLion
• GoLand
• RubyMine

• 改进了所有漏洞的调用跟踪信息
• 现在，接收器 URL 是主要问题 URL

• 注意：旧版 Presence (V1) 仍受支持，但在 2022 年 10 月 1 日之后将不再受支持。
• 注意：新版 Presence (V2) 不包括 DAST 代理。如果需要 DAST 代理，您可以下载并使用旧版 Presence (V1)。

• 改进了 DAST 扫描的“创建扫描”流程
• 从文件创建 DAST 扫描时添加了“指导探索”和“调度程序”
• 添加了在应用程序级别创建开放式源代码许可证报告的功能
• 添加了向多个问题添加注释的功能

• ASoC 中的 CWE/SANS Top 25 报告 ASREG 替换为了“CWE 2021 年最危险的 25 个软件弱点”
• 向开放式源代码报告摘要添加了库表

• 添加了向多个问题添加注释的功能

• 选择已调度的扫描将在一周中的哪几天运行
• 向现有扫描添加调度
• 从已调度的扫描中除去调度
• 现在，重复结束日期（调度运行扫描的截止日期）显示在扫描条目中

• JaxB 类 （CWE 661） 上的 XXE。本 OWASP XXE 文档中提到了这个可能存在漏洞的类： https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#jaxb-unmarshaller
• JSON XSS 参考问题（CWE 79），作为 JSON 写入响应的易受攻击数据的 XSS 变体

• 扫描卡已重新设计，现在包含指向扫描中每个严重性级别的问题的链接。
• Rider 插件已添加到“插件和 API”页面。

• 添加了从发布 DAST 扫描 API 定义“重复结束日期”的功能。
• 添加了对查看应用程序中首次发现的问题的支持。
• 语言属性已添加到新的 SAST 问题。

• 调度扫描：现在，您可以调度 DAST 扫描以稍后运行，以及是否重复（创建扫描 > 调度步骤）。您可以编辑已配置的调度（扫描操作菜单 > 编辑调度）。新图标指示扫描的“已调度”和“重复”状态。
• IAST：添加了更新 IAST 代理程序配置的功能。
• 自动注销：现在，如果 30 分钟内没有活动，那么用户会注销。
• 现在，可合并业务单元（仅限管理员：组织 > 设置）。
• 单个扫描视图：现在，可单击列，从而在“问题”选项卡中显示已过滤的列表。

• 支持扫描调度（具有其他设置）。
• 支持合并两个业务单元，并能够对组织中允许的业务单元数添加限制。

• 仅限管理员：添加了新“设置”视图（组织 > 设置）以创建和管理业务单元。
• IAST：删除代理程序时，用户界面现在为您提供了两个选项：仅删除代理程序配置，或删除代理程序配置以及代理程序发现的问题。
• 添加了新扫描状态：“正在初始化”（在扫描实际启动之前）。

• 内存消耗（阈值）过高时暂停执行
• 新配置文件参数，用于指定要监控的应用程序的名称
• 内存和 GC 调试标志
• 减少了内存消耗
• 新的安全性功能：
  • 改进了 CSRF 规则（减少 FP）
  • 增加了“不安全登录”规则的覆盖范围
• 已修复：Spring 上的 XSS 错误

• 内存消耗（阈值）过高时暂停执行
• 根据头/cookie 名称过滤报告的问题
• 性能改进
• 有关 IAST 问题的“问题信息”选项卡：
  • 新增“其它信息”部分
  • 包含漏洞利用示例以说明更多问题
• 新的安全性功能：
  • 路径遍历算法
  • 增加了“不安全登录”规则的覆盖范围
• 已修复：将问题发送至 ASoC/ASE 时的错误

• 内存消耗（阈值）过高时暂停执行
• 根据头/cookie 名称过滤报告的问题
• 有关 IAST 问题的“问题信息”选项卡：
  • 新增“其它信息”部分
  • 包含漏洞利用示例以说明更多问题
• 新的安全性功能：
  • 路径遍历算法
  • 增加了“不安全登录”规则的覆盖范围
• 已修复：处理通信 EPIPE 错误

• 会话现在显示在“扫描”视图中
• 可创建扫描报告
• 现在，如果手动停止了 IAST 会话，那么即使代理程序断开连接，也可以从用户界面重新启动它，并且监控将在代理程序连接时自动开始。以前，这仅能通过 API 实现。

• 新建单个扫描页面：
  • 提供有关扫描的详细数据，其中包含下列三个选项卡：“概述”、“问题”、“配置”，以及扫描日志窗格（请参阅 单个扫描视图 ）。
  • 显示正在运行的扫描的实时状态。
  • 现在可在运行扫描时查看扫描日志。
  • 适用于扫描支持团队中启用程序所处理的扫描的新指示器，以便复审它们的配置。
• 扫描向导添加：
  • 选择可执行自动探索，或根据指导进行探索（请参阅 关于动态分析 (DAST) 和 在指导下探索 ）。
  • 上传手动探索或多步骤文件
  • 配置请求速率限制。
• API：
  • 创建含多个文件的扫描。
  • 在“自动探索”和“根据指导进行探索”之间选择。
  • 已添加自动超时
  • 现在，将在扫描结果中包含新应用程序问题的数目。

• 现在支持上传 CONFIG 文件。
• 现在，监控操作将反映您对本地服务器上的 CONFIG 文件所做的更改。
• 有关 IAST 问题的“问题信息”选项卡：
  • 新增额外信息部分。
  • 包含漏洞利用示例以说明更多问题。
• 安全性规则更新：
  • 路径遍历高级算法
  • 反序列化 - Xtream 和 xmlDecode
  • 在 escapeHtml 上减少 FP
• Wildfly服务器的修订和内存改进。

• 添加了新的“询问专家”功能
• 导出到 CSV/JSON 已添加到应用程序和问题页面
• 创建扫描：已添加超时和线程数配置
• 已将修订组标识 {“Group ID”) 添加到问题面板
• IAST：添加到问题面板的其他信息
• 现在可以在会话之间保存列配置和过滤器
• 样本应用程序 CSV：已移除描述和标签列
• 新插件：Github

• 添加了向 ScanExecution 添加注释的功能
• DAST 配置：添加了配置线程数和通信超时的功能

• 除了 Java 和 .NET 之外，现在还支持 Node.js 代理程序（版本 1.1.0）
• .NET 代理程序（版本 1.2.2）：
  • 现在支持 .NET 4.6.2
  • 库更新
  • 支持通过环境变量和 Web.config 文件设置主机和令牌
• Java 代理程序（版本 1.8.10000：
  • 性能改进
  • 支持 32 位 JRE 环境
  • 支持更多 Java 环境以实现自动连接
  • 检测 Spring 清理的新规则（减少 Spring FP）
• 将 env var 名称更改为 IAST_HOST 和 IAST_ACCESS_TOKEN
• 报告 attCookieNotSecureSSL 而不是 SessionManagement.Cookies
• 简化的报告
• 缺陷修复

• 各种 Java 库已更新为较新版本
• 代理服务器现在支持 TLS 连接
• 现在可以使用端口范围而不是特定端口（将使用该范围内的最低可用端口）启动记录代理
• 现在可以在 Settings.json 中设置代理服务器的端口
• 修复了将 JKS 证书导入代理服务器的错误

• 从“选择组织”对话框接受加入组织的邀请
• 已添加密码套件信息以发布详细信息

• 扫描标识已添加到 ScanExecution 模型
• CSV 格式的导出数据

• IAST：已添加附加信息表。
• 添加到安全报告的 CSV 格式的修订组表。

• 在分析完成时启用或禁用电子邮件通知。
• 将扫描作为个人扫描运行。

• 采用新排序和若干新菜单项的可折叠菜单栏。
• 使用痕迹导航在所有视图间导航。
• 应用程序页面：创建应用程序向导流程已更新。
• 单个应用程序页面：新的仪表板为您提供了应用程序状态的图形概述，包括风险分级和合规性状态、扫描状态、按严重性划分的问题、发现的最常见问题类型等。
• 策略：
  • “改进的策略”页面现在显示策略列表以及与每个策略相关联的应用程序，而不是相反。
  • 现在有许多新的预定义策略可用于与您的应用程序相关联。
  • 基线策略现在直接从应用程序页面设置，而不是从“策略”页面设置。
• 创建扫描向导：改进了流程，并且对于 DAST 扫描，现在有了单独的路径，用于通过上传的文件创建扫描。
• 现在，在新的“摘要”页面上设置了电子邮件和个人扫描首选项。
• 选择要在表格中显示的列、调整宽度和更改列顺序。
• 只需向其他授权用户发送特定页面的链接（标识），即可与他们共享页面。

• 许多问题的新增和更新内容。
• 如何修复：咨询和修复建议部分已合并为“如何修复”综合选项卡。
• 对于许多问题，可以使用针对特定代码语言的定制“如何修复”内容。
• 只需向其他授权用户发送应用程序中特定问题的链接（标识），即可与他们共享问题。

• 现在，缺省情况下，新应用程序的业务影响将指定为“中”，但之前缺省值为“未定义”的现有应用程序不会发生更改。“未定义”仍可以手动分配给应用程序。
• 如果应用程序包含已完成的扫描，即使没有任何活动问题，风险分级现在也设置为“低”（先前设置为“未知”）。

• 支持 Tomcat 10
• 改进的感染跟踪
• 修订了操作系统命令检测规则