先前更新：2016-2018 年

列出 2016-2018 年在 AppScan on Cloud 服務的先前更新項目中所新增的功能。

2018 年 12 月 30 日新增的功能

更新的安全掃描報告：安全掃描報告現在會在要求時產生，而不是在掃描時產生，因此現在與其他報告一樣，已變更狀態（例如變更為「已修正」）的問題現在會在報告中顯示出其目前狀態。（請勿套用到 2017 年 10 月之前執行的掃描。）
靜態分析掃描的新開放原始碼授權報告（需要開放原始碼訂閱）：針對掃描產生報告，列出在您的程式碼中找到的所有開放原始碼程式庫。（僅套用到 2018 年 12 月 30 日之後執行的掃描。）
個人掃描現在可以從使用者介面（除了以前的 API 之外）升級：「個人掃描」中的問題與應用程式中的問題合併，訊息會表示有多少問題是「新建」（先前在應用程式資料中未找到的問題）、「已合併」（同時在「個人掃描和應用程式中找到的問題」），以及「已重新開啟」（在「個人掃描」中找到的問題已在應用程式中標示為「已修正」，現在已重新開啟）。
其他業界標準報告：OWASP Top 10 Mobile 2016。
「掃描歷程記錄」視圖現在會顯示每個掃描的建立使用者名稱。

2018 年 12 月 3 日新增的功能

支援 Visual Studio Team Services (VSTS) 外掛程式。

2018 年 11 月 29 日新增的功能

針對靜態分析加強的 JavaScript 掃描器。
支援 AngularJS。

2018 年 11 月 19 日全新發佈

新的動態分析引擎
已更新系統需求中用於專用網站掃描的 IP 清單。

2018 年 11 月 7 日全新發佈

其他清單現在已區分為數頁（預設為每頁 10 項，可配置）：資產群組清單、資產群組使用者清單（授與使用者存取權）、資產群組應用程式清單（移動應用程式）、使用者清單。
對於動態掃描：在掃描旁邊的「資訊」圖示上按一下滑鼠按鍵，現在會顯示掃描 ID 和起始 URL。
現在當您輸入 URL 時，啟動 URL 欄位會驗證 URL。
對於專用網站掃描：AppScan Presence 狀態現在會於掃描期間顯示。

2018 年 10 月 28 日新增功能

針對透過 Windows 作業系統的「私有網站掃描」，AppScan Presence 現在可以以服務執行。

2018 年 10 月 17 日新增的功能

「我的掃描」標籤清單現在區分為數頁（預設為每頁 5 項，可配置）。
已修正使用 PAC 檔案的專用網站掃描問題。

2018 年 10 月 9 日新增的功能

行動式分析現在支援 iOS 7 和 12 （含）之間的版本，以及 4.2 以下（含）版本的所有 Swift。
動態分析現在支援需要 HTTP 鑑別的網站。
「私有網站掃描」現在支援 Proxy 自動配置 (PAC) 檔案。
全新設計的登入頁面。
已修正升級個人掃描在問題超過 200 筆時無法正常運作的問題。
已新增在應用程式報告中遺漏的 SAST 修正建議。
一般錯誤修正。

2018 年 9 月 20 日新增的功能

HCL AppScan on Cloud Static Analyzer 指令行公用程式僅在 64 位元 Linux 上受到支援。

2018 年 9 月 5 日新增的功能

Application Security on Cloud 支援使用下列外掛程式，直接從您的整合開發環境 (IDE) 或您的建置系統來進行掃描：

Eclipse
IntelliJ
Visual Studio
Jenkins
Gradle
Maven

註： Maven ASoC 外掛程式現在正用於 Maven 中央儲存庫中；不再需要手動安裝。

2018 年 8 月 29 日新增的功能

語言支援：Application Security on Cloud 現在支援 Python 掃描。

動態分析引擎更新：

已新增針對最新 Apache Struts 2 CVE-2018-11776 的檢查，以探索嚴重的遠端程式碼執行缺失。可在動態和開放原始碼分析中使用。
已新增針對「在 JSON 上揭露 XML 外部實體檔」和「支援較舊的 TLS 版本」的動態分析檢查。
改良的現有「Apache Struts 2 遠端指令執行」檢查，具有新的變式可以改善涵蓋範圍和正確性。

2018 年 8 月 14 日新增的功能

動態分析引擎更新，具有一般改善和錯誤修正。

2018 年 8 月 7 日新增的功能

個人掃描現在於應用程式的掃描清單中指出。

2018 年 8 月 1 日新增的功能

語言支援： AppScan on Cloud 現在支援 COBOL 掃描。
Static Analyzer 報告改善：Application Security on Cloud 已改善修正群組分類，如同報告和評量檢視器中所見。
管線支援：Jenkins 外掛程式已更新為包含對 Jenkins 管線的支援。

2018 年 7 月 10 日新增功能

新的動態分析引擎，具有進階自動探索功能，並改善速度和測試涵蓋範圍。

2018 年 7 月 2 日新增的功能

對原則的 AppScan on Cloud IDE 外掛程式支援，包括安全掃描的以下變更：

在「安全掃描」視圖中，Result 直欄置換為 Scan issues 直欄。
按一下時，Scan issues 會顯示在掃描期間探索到的所有不符規範靜態安全問題。
Report 直欄置換為 Application issues 直欄。
按一下時，Application issues 會顯示在掃描此應用程式期間探索到的所有不符規範靜態安全問題。

適用於 Static Analyzer 的 IDE 外掛程式，現在可以透過特定外掛程式特性的 IDE 市集取得。如需相關資訊，請參閱在整合開發環境中掃描。

2018 年 6 月 27 日新增的功能

訂閱管理：新的「訂閱」視圖（主功能表 > 我的訂閱）顯示貴組織所有訂閱的狀態，包含剩餘的應用程式或掃描數目，以及開始和結束日期。
UI 中新的原則過濾器可讓您輕鬆依關聯或不關聯的原則來過濾問題。例如，您可以建立原則，僅包含在特定日期之後找到的「高嚴重性問題」，然後過濾問題以建立僅適用於這些問題的「法規相符性報告」。
API：新的報告 API 可讓您建立：所選取問題的問題報告、安全報告和法規報告，具有定義的範圍。

2018 年 5 月 30 日新增的功能

行動式分析現在最高支援 Android 8.0 版。

2018 年 5 月 9 日新增的功能

新的原則功能：
- 透過使用者介面建立自訂原則。
- 使用「應用程式」視圖中新的「原則」標籤，快速啟用或停用相關聯的原則。
已修正使用「問題管理 > 匯入問題」匯入 CSV 檔案時發生的錯誤。

2018 年 4 月 25 日新增的功能

新的預先定義 HIPAA 原則會識別不符合 1996 年醫療保險轉移和責任法案 (HIPAA) 規範的問題。請參閱原則。

2018 年 4 月 17 日新增的功能

在問題的「諮詢」標籤中，某些外部參照網站的連結失效。這些問題已修正。
「應用程式」表格中新的「符合規範」直欄標頭可讓您使用應用程式相關聯的原則，將問題排序為「符合規範」或「不符規範」。
AppScan on Cloud 支援透過指令行介面 (CLI) 和透過 Visual Studio 2017 外掛程式（僅限 Windows）掃描 .NET Core 專案。如需相關資訊，請參閱產生 .NET Core 專案的 IRX 檔案。
註： AppScan on Cloud 不支援可攜式 .pdb 格式。如需相關資訊，請參閱.NET 掃描結果顯示組件檔案，而不是來源檔案。

2018 年 3 月 18 日新增的功能

個原則

您可以讓一或多個原則與應用程式產生關聯，讓您評估應用程式與這些原則的相符性，並且將補救工作著重在相關的漏洞。原則可透過使用者介面套用。

接著，原則對於掃描的影響和應用程式的原則相符性，可以在報告中強調顯示。在應用程式層次可使用新的「應用程式報告」函數。您可以用這個函數執行安全和問題報告，以及下列新的相符性報告：

CWE/SANS Top 25 報告
EU 一般資料保護法規 (GDPR) 報告
OWASP Top 10 2017 報告
PCI 相符性報告

註：原則目前僅適用於 Web 上，與 Static Analyzer 工具（IDE、CLI 和 Jenkins）不相容。

2018 年 3 月 8 日新增的功能

IDE 外掛程式現在會在每次掃描應用程式關聯時提示，而不是僅在每個工作區提示一次。
PHP 應用程式在產生 IRX 期間不會再遇到記憶體限制。
「協助我修正這個問題」按鈕在 Visual Studio 中不會再於解決修正程式群組之後重新啟動。

2018 年 3 月 5 日新增的功能

當使用 AppScan Standard 配置來執行 ASoC 掃描時，測試會傳送至已從掃描明確排除的網域。此錯誤現在已修正。

棄用通知：部分「問題內容」直欄於 2018 年 3 月 19 日移除。

當使用掃描結果時，預設會顯示六個「問題內容」：狀態、位置、CVSS、問題類型、嚴重性和掃描名稱。使用選取直欄下拉清單可以新增（或移除）其他內容的直欄。為了簡化 UI，下列直欄選項於 2018 年 3 月 19 日移除：

存取複雜度、存取向量、應用程式名稱、鑑別、可用性影響、分類、機密性影響、說明、探索方法、可利用性、修正建議、易記 ID、完整性影響、是協力廠商、Nessus·外掛程式·ID、專案名稱、通訊協定、補救層次、報告機密、嚴重性值、重現步驟、摘要、WhiteHatSecVulnId

自 2018 年 3 月 19 日起，「選取直欄」下拉清單中不再顯示這些內容選項，如果曾在上一個掃描中選取，則不會再顯示於掃描結果中。

2018 年 2 月 26 日新增的功能

先前下載為 HTML 檔案的「應用程式報告」，現在會下載為 PDF 檔案。
現在報告中預設包含的資料為：目錄、摘要和詳細資料。其他四個分類（討論、歷程記錄、諮詢和修正建議）可以在產生報告時選取以包含在內。

2018 年 1 月 30 日新增的功能

用英文以外的語言建立掃描時，問題嚴重性在報告中會正確顯示，但是在線上 UI 中會不正確的顯示為「未定」。此錯誤現在已修正。
在 30 天之後重新掃描的不正確訊息現在已修正。

2018 年 1 月 8 日新增的功能

重設應用程式資料：這個功能新增為「編輯應用程式」中的選項，可永久刪除應用程式的所有掃描和問題，同時保留應用程式的名稱和配置
動態分析新行為：如果您載入掃描檔案，系統會提供您「完整掃描」或「僅測試」的選項：
- 完整掃描：忽略掃描中儲存的所有結果，並且使用相同的配置執行新的掃描（先前掃描會保留現有結果並繼續掃描直到完成為止）
- 僅測試：忽略任何「測試」階段結果，並且使用檔案中的「探索」階段結果來執行新的「測試」階段（先前「測試」階段會保留現有「測試」階段結果並繼續直到完成為止）
請注意，在這兩種情況下，檔案中儲存的任何「手動探索」資料和「多步驟作業」都會包含在新掃描中。

2017 年 12 月 31 日新增的功能

新的動態分析代理程式。

2017 年 12 月 26 日新增的功能

現在產生報告時，您可以：
- 包含詳細資料和討論（註解）meta 資料。
- 不選取任何問題並按一下「報告」，藉此包含找到的所有問題。如果您有選取問題，報告會如同以往一般僅包含這些問題。

2017 年 12 月 13 日新增的功能

您現在可以將註解新增至應用程式中的「發現的問題」，顯示為「應用程式」視圖和「問題」視圖中的新直欄。
註：現有使用者需要先將「註解」直欄新增為「發現的問題」標籤中顯示的其中一個直欄。
身兼多個組織成員的使用者，現在可在「使用者管理」中，從自己名稱旁的下拉清單中選取要顯示哪個組織的儀表板。

2017 年 12 月 5 日新增的功能

AppScan on Cloud 現在支援「開放原始碼」僅透過使用含 appscan prepare 的 -openSourceOnly 選項進行掃描
對於 C/C++ 掃描及產生 IRX 檔案的增強功能
對於 Intelligent Code Analytics (ICA) 和 Intelligent Findings Analytics (IFA) 的邊緣案例穩定性強功能

2017 年 11 月 22 日新增的功能

原則：現在您可以使用 REST API 來定義並使用「原則」，以僅顯示在特定日期後發現的問題，或是指定最低嚴重性的問題。請參閱原則。
DAST 和 Android 引擎已更新為新版本，其中包含錯誤修正及效能增進。

2017 年 11 月 14 日新增的功能

「問題」視圖中新增「歷程記錄」標籤，用以顯示所選問題的「審核追蹤」。請注意，追蹤僅從此更新的時間開始。
DAST 和 Mobile 引擎已更新為新版本，其中包含錯誤修正及增進的效能。

2017 年 10 月 23 日新增的功能

現在您可使用 API 來刪除問題、掃描或應用程式圖表資料，不必刪除應用程式。
「問題」視圖中新的「討論」標籤可讓您將自己的註解新增至應用程式的問題中。

2017 年 10 月 20 日新增的功能

智慧型結果分析的增強
先前 java.sql.Statement.executeBatch 和 InetAddress 會傳回干擾的結果。我們改進了智慧型結果分析 (IFA) 來過濾出這些誤判結果。

2017 年 10 月 10 日新增的功能

「更新問題狀態」已新增至您可以控制的權限。
現在可以將應用程式及問題分頁。

2017 年 10 月 3 日新增的功能

「行動式分析」現在支援 iOS 11。
Android 和 iOS 掃描中的新問題類型：認證洩漏。
主工具列現在會在「使用者名稱」旁邊顯示使用者目前已登入的組織。

2017 年 9 月 10 日新增的功能

使用者角色
自動產生的 AppID 已從整數變更為 GUID。由於系統會自動傳回新的 ID，且用於提交掃描的 API 與舊版相容，因此對使用者而言更容易理解。

2017 年 8 月 24 日新增的功能

對於 Open Source Analyzer 支援的增強功能：
提升了在同一個階段作業中執行多個掃描時，Open Source Analyzer 和 Eclipse 的效能。
對於 C/C++ 支援的增強功能：
更佳的 C++ 巨集和編譯器選項探索。
已變更無追蹤的「靜態分析」問題識別：
我們改良了「靜態分析」引擎，並進而改良了非追蹤發現項目的雜湊演算法。由於此變更，在部署此最新更新後，偵測到許多靜態分析發現項目，這些項目會在「問題」標籤中複製一次。這項變更主要是影響 Node.js、Ruby 和 JavaScript 發現項目，但也可能影響到其他語言。

2017 年 8 月 14 日新增的功能

已移除：已移除能使用自訂屬性建立「應用程式設定檔範本」的功能。

2017 年 7 月 24 日新增的功能

其他 iOS 支援： ASoC 現在支援掃描最高到 10.3 版的 iOS 行動應用程式。
新的 IP 範圍：ASoC 所用的其中一個 IP 範圍已變更。請參閱 ASoC 使用哪些 IP？
新的 UI 功能：位於掃描結果表格頂端的新勾選框可讓您「選取所有」掃描，而在該處的新「刪除」按鈕則會刪除其勾選框已被選定的所有掃描。請參閱結果

2017 年 6 月 22 日新增的功能

AppScan on Cloud 現在支援掃描需要授權的 iOS 應用程式。
對於 C/C++（包括 Visual Studio 2015）的更佳支援：
C/C++ 掃描增強功能包括能夠掃描以 Visual Studio 2015 平台工具集為目標的 64 位元專案。
改善 .NET 記載：
改善所有 .NET 相關專案的記載和穩定化。
Javascript 增強功能：
Javascript 會追蹤穩定化，避免不完整的追蹤在傳回結果時造成問題。

2017 年 6 月 15 日新增的功能

掃描佇列：在執行訂閱的最大數目的並行掃描時，如果您嘗試啟動掃描，現在會將該掃描新增至佇列，並且會盡快自動啟動。
OWASP「行動式分析中的前 10 名風險」報告現在遵循「2016 年行動式前 10 名」： https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
增強支援 NodeJS 和 Ruby：
Node.js 和 Ruby 掃描與 Intelligent Findings Analytics (IFA) 完全整合，可大幅加快掃描時間。
對於 Client Side Javascript 的增強功能：
我們改善了 Javascript 引擎所產生的追蹤及非追蹤發現項目的顯示。

2017 年 3 月 26 日新增功能

Application Security on Cloud 現在支援開放原始碼測試：
1. 在程式碼中尋找「開放原始碼」套件
2. 識別已知為有漏洞的「開放原始碼」套件
3. 針對有漏洞的套件建議替代方案
結果會出現在「靜態分析」報告及 Application Security on Cloud 入口網站中。
註：「開放原始碼」測試需要附加訂閱。在該訂閱作用中之後，「靜態分析」掃描中就會自動包含「開放原始碼」測試。
現在 AppScan Presence 包含選用的 Proxy Server，用於在功能測試的程序中納入掃描（僅限於 Web 應用程式的掃描）。

2017 年 2 月 3 日新增的功能

使用 Jenkins 外掛程式時：
- 現在支援動態分析。利用這項功能，可以對執行於瀏覽器中的應用程式執行分析。
- 現在指定登入認證時，必須使用產生的 API 金鑰。
註：不支援從 Jenkins 外掛程式連接到 Bluemix。

2017 年 1 月 25 日新增的功能

現在，在 C/C++ 靜態分析掃描期間會套用「智慧型程式碼分析 (ICA)」。
先前已引入 ICA 進行 Java、.NET 和 PHP 掃描。透過這項技術，您可以探索並評量新應用程式設計介面 (API) 的安全影響。透過 ICA，所有第三方 API 和架構都會受到檢閱，並指派正確的安全影響。這可以獲得更多完整的掃描結果。

2016 年 12 月 21 日新增的功能

將問題產生為報告
在應用程式中過濾問題
現在支援變更預設使用者角色的能力。
可使用 AppScan Presence 掃描所連接後端伺服器無法從網際網路存取的行動式應用程式（Android 和 iOS）。
新增應用程式和角色 REST API。
現在，在 HCL Cloud Marketplace 上使用此服務時，靜態分析支援使用產生的 API 金鑰登入。
- 現在從整合開發環境登入時，必須使用產生的 API 金鑰。
- 從 CLI 登入時，請發出 appscan api_login 指令 (Windows™)，或 appscan.sh api_login 指令（Linux™ 及 macOS）。這個指令需搭配鑑別指令 (Windows™) 或鑑別指令（Linux™ 及 macOS）主題所列出的選項使用。

2016 年 12 月 14 日新增的功能

建立自訂使用者角色的功能。
產生 API 金鑰以登入 Swagger REST API 使用者介面。
在使用者介面新增行內說明，直接在所需位置提供說明。

2016 年 12 月 13 日新增的功能

將安全分析新增至 Jenkins 自動化伺服器現已支援。HCL AppScan on Cloud Jenkins 外掛程式可讓您將安全掃描支援新增至 Jenkins 專案。此外掛程式可讓您連接到 HCL Cloud Marketplace 上的 HCL AppScan on Cloud。

2016 年 11 月 16 日新增的功能

靜態分析掃描現在採用「智慧型程式碼分析 (ICA)」。ICA 會自動探索新的應用程式設計介面 (API) 並評估其安全影響。透過 ICA，所有第三方 API 和架構都會受到檢閱，並指派正確的安全影響。這可以獲得更多完整的掃描結果。
註： ICA 目前僅適用於掃描 Java、C/C++、.NET 和 PHP。

2016 年 10 月 19 日新增的功能

使用者管理頁面中的變更：
- 已移除「使用者及角色」頁面上的「管理使用者」按鈕。現在，在主功能表中也有橫幅到 IBM Cloud Marketplace 的「管理」連結可用。
- 在「主功能表 > 使用者管理 > 使用者及角色」中也可使用橫幅到 IBM Cloud Marketplace 的「邀請使用者」連結。

2016 年 10 月 12 日新增的功能

建立應用程式設定檔範本。（後來已移除此功能。）
自訂風險評級公式。（後來已移除此功能。）
使用自訂公式來判定風險。（後來已移除此功能。）

2016 年 10 月 5 日新增的功能

macOS 10.11 版或更新版本現在支援靜態分析 CLI、Eclipse 外掛程式和 Maven 外掛程式。

2016 年 9 月 28 日新增的功能

匯入應用程式的清單以幫助建置您的應用程式庫存
檢視問題詳細資料、諮詢和修正建議
動態分析現在支援使用您自己的 AppScan Standard 配置（SCAN 或 SCANT）的掃描。

2016 年 9 月 14 日新增的功能

掃描 iOS 行動式應用程式現在支援 iOS 10。
「靜態分析」現在支援在 Visual Studio 解決方案中掃描 C/C++。
註：請參閱 Microsoft Visual Studio 支援（僅限 Windows）

2016 年 9 月 7 日新增的功能

掃描 iOS 行動式應用程式時，不再需要使用「IPAX 產生器」來建立和上傳 IPAX 檔案。現在您可以建立和上傳 IPA 檔案。

2016 年 8 月 23 日新增的功能

當您從 Static Analyzer 指令行公用程式登入服務時，現在您可以執行這些動作，以便在登入記號檔到期時，使公用程式自動嘗試重新接受服務的鑑別：
- 如果您是從指令行介面 (CLI) 登入，請使用 -persist 選項，如鑑別指令 (Windows™) 和鑑別指令（Linux™ 及 macOS）中所述。
- 如果您是從整合開發環境 (IDE) 登入，請選取「儲存認證」勾選框。

2016 年 8 月 3 日新增的功能

新增使用者功能。使用者管理有助您限制對機密應用程式的存取權，作法是將它們指派給資產群組，然後新增特定使用者至那些群組。
新增使用者管理 REST API。
支援掃描上的過濾器和統計資料（順利完成、進行中或失敗）。

2016 年 7 月 20 日新增的功能

支援在應用程式中選取問題直欄
只限 HCL Cloud Marketplace：如果您連接至位於 AppScan on Cloud 的 HCL Cloud Marketplace 服務，如今靜態分析掃描必須與現有的 AppScan on Cloud 應用程式相關聯。將掃描與應用程式相關聯可讓您運用 AppScan on Cloud 儀表板的報告與趨勢功能。
如果要學習如何在透過 CLI 提交掃描時關聯應用程式，請參閱分析指令 (Windows™) 或分析指令（Linux™ 及 macOS）。如果要學習如何在從 IDE 提交掃描時執行此動作，請參閱在整合開發環境中掃描。
在靜態分析掃描期間，進行加強型用戶端 JavaScript 探索。

2016 年 7 月 11 日新增的功能

IBM AppScan on Cloud 已達到 ISO/IEC 27001:2013 認證

2016 年 6 月 29 日新增的功能

支援掃描需要登入的 Android 行動式應用程式

2016 年 6 月 22 日新增的功能

請求專家協助。您可以購買「諮詢服務參與單位」作為訂閱的附加功能。在訂閱期間，您可以使用這些「參與單位」來要求及接收任何的「隨需應變諮詢」服務組合，視這些服務需要多少單元而定。
「靜態分析」現在支援以下語言：
- 用戶端 JavaScript
- PHP
- Ruby
偵測 iOS 及 Android 行動式應用程式中的資訊洩漏

2016 年 6 月 8 日新增的功能

全新的「我的掃描」頁面包含一份純掃描清單（無論其屬於什麼應用程式）
在使用 Dynamic Analysis 進行掃描時，您現在可以選取特定的「測試集」
支援使用 Dynamic Analysis 掃描更多已驗證的網域

2016 年 6 月 1 日新增的功能

現在支援 Node.js 進行靜態分析掃描。

2016 年 4 月 5 日新增功能

建置應用程式資產的庫存，以瞭解您需要保護的項目
依業務衝擊來分類和評等應用程式，以瞭解需要保護的最重要項目
依應用程式來組織 Analyzer 掃描，以得到完整的評量
取得每一個應用程式的安全評級，以按照風險來評等資產
設定漏洞的優先順序及管理其解決方案
檢視儀表板以瞭解應用程式安全狀態並查看是否有改善
在 Android 6 模擬器上使用 Mobile Analyzer 來掃描 Android 應用程式以找出更多漏洞
從您的 IntelliJ IDE 輕鬆使用 Static Analyzer 掃描和檢視漏洞。