先前更新：2021-2022 年

• 支援使用 JSON 的 com.fasterxml.jackson 程式庫來追蹤客戶污染。
• 支援使用 org.glassfish.jersey 架構來追蹤客戶污染。
• 內部最佳化。

• 將 Apache commons-text 從 1.9 更新為 1.10.0，以減緩已知的 CVE (CVE-2022-42889)。
• 將 Apache httpClient 更新為 apache HttpClient5，以彌補舊版 httpClient 的漏洞。
• 支援使用 org.owasp.encoder.Encode 程式庫來追蹤客戶污染。
• 已改善使用 Gson 程式庫來追蹤客戶污染的支援，其中也包含對 Gson htmlSafe 功能的支援。

• 靜態分析用戶端已更新至 8.0.1514 版。
• 已改善 JAVA 和 Kotlin 掃描器的精確度。
• 一般錯誤修正。

• 效能改善。
• 請參閱這裡，了解隱藏密碼的新配置選項。

如前所述，為了掃描專用網站，AppScan Presence 第 1 版現已由 2022 年 3 月發行的第 2 版 AppScan Presence 取代。若要掃描專用網站，您須先安裝第 2 版 Presence。請參閱AppScan Presence。

• 現在支援 TOTP（時間型一次性密碼）。請參閱 DAST 掃描。
• 單一掃描視圖現在包含探索資料計數器（已找到 Cookie 數、標頭等）。

• SARIF 格式選項已新增至「匯出問題」對話框。
• 單一掃描視圖現在包含找到的語言清單，以及（若訂閱包含 SCA）已找到開放程式碼程式庫和授權的計數器。

• 支援追蹤透過 WebSockets 傳送的資料。
• Spring REST API的延伸支援：支援以 REST 路徑變數 做為來源。
• 支援使用 Gson 程式庫來追蹤客戶污染。
• 使用 JAVA 9 及更新版本時，您必須在 java 內容中設定旗標 (BC_SB)，以順利追蹤污染。若未設定此旗標，使用者會收到警示。

• 應用程式視圖：依風險評級、資產群組、業務影響、業務單位、測試狀態、嚴重性上限來過濾。選取開始日期及結束日期。
• 掃描視圖：依技術和狀態過濾（未變更）。
• 所有問題視圖：依嚴重性、狀態、掃描技術、啟用原則、問題類型來過濾。選取開始日期及結束日期。
• 掃描問題視圖：依嚴重性、狀態、第一個找到的項目、已啟用的原則過濾。選取開始日期及結束日期。

• 掃描 > 配置標籤中新的喜好設定區段會顯示如何配置掃描的通知電子郵件（傳送/不傳送）和掃描啟用（允許/不允許）
• 更新後的重新掃描對話框讓您能在重新掃描時變更這兩項設定。

請注意，使用 AppScan Standard 10.0.8 支援的匯入 Postman 集合檔案進行自動 API 掃描時，不支援將 Postman 集合掃描上傳至 ASoC 。

• 您現在可以同時變更多個問題的嚴重性層次（請參閱 編輯問題嚴重性）。
• 新指示是標示「已完成」但造訪過的頁面少於 100% 和/或 100% 測試元素的掃描。用來檢視/隱藏這些掃描的新「局部掃描」過濾器（請參閱 部分掃描）。
• 管理員：現在，已在角色指派中區隔「建立掃描」和「重新掃描」許可權，因此，使用者可獲授權執行這兩項操作。

• 支援 JBoss EAP（企業應用程式平台）第 6、7 版
• 改良的報告可讀性：
  • 列印陣列/對映內容
  • 根據目前的使用者輸入，動態產生惡意探索的例子
• 改良的 XSS 演算法

• 已新增 2019 年 OWASP 開放式 API Top 10 原則
• 已將高度嚴重性新增至掃描卡和單一掃描問題圖形

• 已將 SAST 開放程式碼解析和說明欄新增至 CSV 報告
• 已將高度嚴重性計數器新增至安全報告

• 現在，可在 ASoC 外掛程式及 API 頁面上使用新的 HCL AppScan 資料流量記錄器（前身稱為 DAST Proxy）。請參閱HCL AppScan 資料流量記錄器。
• 已新增三個新的 JetBrains 外掛程式：CLion、GoLand 和 RubyMine。

這表示從 API 或外掛程式啟動的 DAST 掃描不會傳送至掃描啟用團隊進行檢閱（請參閱 掃描狀態：檢閱中）除非使用者特別將參數設為 false。

針對透過使用者介面啟動的掃描，預設設定（「容許介入」）保持不變。

• 新的支援環境：Jetty 伺服器、Qukus（JVM 節點）、Resteasy 架構
• 安全更新項目：
  • 新的漏洞：不安全的反射 (CWE 470)。參照： https://cwe.mitre.org/data/definitions/470.html
  • 新的漏洞：開啟重新導向 (CWE 601)。參照： https://cwe.mitre.org/data/definitions/601.html
  • 改善注入分析演算法的精確度 - 影響 CWE 78：OS 指令注入）
  • 刪除找不到頁面時的潛在誤判 - 影響 CWE 352 (CSRF) 和 523（未受保護的認證傳輸）
  • 新增到 CWE 352 (CSRF) 和 CWE 523（未受保護的認證傳輸）問題的其他資訊

• CLion
• GoLand
• RubyMine

• 針對所有漏洞改良的呼叫追蹤資訊
• 接收槽 URL 現在是主要問題 URL

• 注意：目前仍支援舊版 Presence (V1)，直到 2022 年 10 月 1 日。
• 注意：新版 Presence (V2) 不包含 DAST Proxy。若您需要，可下載並使用舊版 Presence (V1)。

• 已改善 DAST 掃描的「建立掃描」流程
• 從檔案建立 DAST 掃描時新增引導式探索和排程器
• 新增在應用程式層次建立開放程式碼授權報告的能力
• 已新增為多個問題添加註解的功能

• ASREG 中的 CWE/SANS 前 25 大報告 ASREG 已替換為 CWE 前 25 大最危險的軟體弱點 2021
• 新增至開放程式碼報告摘要的程式庫表格

• 已新增為多個問題添加註解的功能

• 請選取排程的掃描將在週間哪幾天執行
• 將排程新增至現有的掃描
• 從排定的掃描中移除排程
• 循環結束日期（排程執行掃描的最後一天）現在顯示在掃描項目中

• JaxB 類別上的 XXE (CWE 661)。這個 OWASP XXE 說明文件中，提到此潛在漏洞類別： https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html#jaxb-unmarshaller
• JSON XSS 參考問題 (CWE 79)，這是以 JSON 寫入回應的漏洞資料 XSS 變式

• 掃描卡已重新設計，現在會在掃描中包含每個嚴重性的問題連結。
• Rider 外掛程式已新增至「外掛程式與 API」頁面。

• 新增從後置 DAST 掃描 API 定義「重複執行結束日期」的功能。
• 新增支援來檢視在應用程式中第一次找到的問題。
• 新增至新 SAST 問題的語言內容。

• 排程的掃描：您現在可以將 DAST 掃描排定在稍後執行，且可選擇是否要重複執行（建立掃描 > 排程步驟）。您可以編輯已配置的排程（掃描動作功能表 > 編輯排程）。新的圖示會表示掃描的「已排程」和「重複」狀態。
• IAST：新增更新 IAST 代理程式配置的功能。
• 自動登出：如果 30 分鐘沒有執行任何活動，系統會將使用者登出。
• 現在可以合併業務單位（僅限管理員：組織 > 設定）。
• 單一掃描檢視畫面：按一下直欄後，會前往問題分頁中已過濾的清單。

• 支援掃描排程（使用其他設定）。
• 支援合併兩個業務單位，以及對組織中允許的業務單位數目新增限制的功能。

• 僅限管理員：新增「新設定」檢視畫面（組織 > 設定），以建立及管理業務單位。
• IAST：刪除代理程式時，使用者介面現在會提供僅刪除代理程式配置的選項，也可以一併刪除代理程式配置以及代理程式找到的問題。
• 新增新掃描狀態：「正在起始設定」（掃描實際開始之前）。

• 記憶體耗用量（臨界值）太高時暫停執行
• 新的配置檔參數，用來指定要監控的應用程式名稱
• 記憶體和 GC 除錯旗標
• 降低記憶體耗用量
• 新的安全功能：
  • 改善 CSRF 規則（FP 較少）
  • 改善不安全登入規則的涵蓋範圍
• 已修正：Spring 上的 XSS 錯誤

• 記憶體耗用量（臨界值）太高時暫停執行
• 根據標頭/Cookie 名稱過濾要報告的問題
• 效能的改善
• IAST 問題的「問題資訊」標籤：
  • 新建「其他資訊」區段
  • 許多其他問題的惡意探索範例
• 新的安全功能：
  • 路徑遍訪演算法
  • 改善不安全登入規則的涵蓋範圍
• 已修正：將問題傳送至 ASoC/ASE 時發生錯誤

• 記憶體耗用量（臨界值）太高時暫停執行
• 根據標頭/Cookie 名稱過濾要報告的問題
• IAST 問題的「問題資訊」標籤：
  • 新建「其他資訊」區段
  • 許多其他問題的惡意探索範例
• 新的安全功能：
  • 路徑遍訪演算法
  • 改善不安全登入規則的涵蓋範圍
• 已修正：處理通訊 EPIPE 錯誤

• 階段作業現在會顯示在「掃描」檢視畫面中
• 可以建立掃描報告
• 如果您以手動方式停止 IAST 階段作業，現在可以從使用者介面重新啟動。即使代理程式已中斷連線仍可執行，當代理程式成功連線時，系統將自動開始監控。先前只能透過 API 來執行這個動作。

• 新的單一掃描頁面：
  • 可讓您使用三個標籤來存取掃描的詳細資料：概觀、問題、配置及掃描日誌窗格（請參閱 單一掃描檢視畫面）。
  • 顯示執行掃描的即時狀態。
  • 現在可以在掃描執行時檢視掃描日誌。
  • 掃描支援團隊的啟用者為了檢閱其配置而處理的掃描新指示器。
• 掃描精靈新增項目：
  • 選擇自動探索，或使用指引（請參閱 關於動態分析 (DAST) 和 利用指引進行探索）。
  • 上傳手動探索或多步驟檔案
  • 配置要求率限制。
• API：
  • 使用多個檔案建立掃描。
  • 在自動探索和使用指引探索之間選擇。
  • 已新增自動逾時
  • 應用程式的新問題數現在已併入掃描結果中。

• 現在支援 CONFIG 檔案的上傳。
• 現在，監視會反映您在本機伺服器上對 CONFIG 檔案所做的變更。
• IAST 問題的「問題資訊」標籤：
  • 新建「其他資訊」區段。
  • 包含許多其他問題的惡意探索範例。
• 安全規則更新：
  • 路徑遍訪進階演算法
  • 解除序列化 - Xtream、xmlDecode
  • 減少 escapeHtml 上的 FP
• wildfly 伺服器的修正程式和記憶體改進功能。

• 新增新的「詢問專家」特性
• 將「匯出至 CSV/JSON」新增至應用程式和問題頁面
• 建立掃描：新增逾時和執行緒數目配置
• 將修正群組 ID（「群組 ID」）新增至問題畫面
• IAST：將其他資訊新增至問題畫面
• 現在會在階段作業之間儲存直欄配置和過濾器
• 範例應用程式 CSV：移除說明和標籤直欄
• 新外掛程式：Github

• 新增對 ScanExecution 新增註解的能力
• DAST 配置：新增配置執行緒數目及通訊逾時的能力

• 除了 Java 和 .NET 之外，現在還支援 Node.js 代理程式（1.1.0 版）
• .NET 代理程式（1.2.2 版）：
  • 現在支援 .NET 4.6.2
  • 程式庫更新
  • 支援透過環境變數及透過 Web.config 檔案來設定主機及記號
• Java 代理程式（1.8.10000 版：
  • 效能的改善
  • 支援 32 位元 JRE 環境
  • 支援自動連接更多 Java 環境
  • 用來偵測 Spring 消毒的新規則（減少 Spring FP）
• 將環境變數名稱變更為 IAST_HOST 和 IAST_ACCESS_TOKEN
• 報告 attCookieNotSecureSSL 而不是 SessionManagement.Cookies
• 簡化報告
• 錯誤修正

• 各種 Java 程式庫已更新為更新版本
• Proxy 伺服器現在支援 TLS 連線
• 您現在可以使用某範圍的埠而非一個特定埠來開始「記錄 Proxy」（將使用範圍內最低可用的埠）
• 您現在可以在 Settings.json 中為 Proxy 伺服器設定埠
• 修正將 JKS 憑證匯入 Proxy 伺服器的錯誤

• 從「選擇組織」對話框接受加入組織的邀請
• 已新增密碼組合資訊至問題詳細資料

• 已新增掃描 ID 至 ScanExecution 模型
• 以 CSV 格式匯出資料

• IAST：已新增其他資訊表格。
• 修正群組表格已新增至安全報告的 CSV 格式。

• 在分析完成時啟用或停用電子郵件通知。
• 以個人掃描形式執行掃描。

• 具有新順序和數個新功能表項目的可收合功能表列。
• 使用瀏覽途徑在所有視圖之間導覽。
• 應用程式頁面：已更新建立應用程式精靈流程。
• 單一應用程式頁面：新的儀表板提供您應用程式狀態的圖形概觀，包括風險評級和相符性狀態、掃描狀態、依嚴重性的問題、最常出現的問題類型等等。
• 原則：
  • 改善的「原則」頁面現在會顯示原則清單，以及與每一個原則相關聯的應用程式，而非反向原則。
  • 現在有許多新的預先定義原則可與您的應用程式產生關聯。
  • 現在，基準線原則可直接從應用程式頁面設定，而不是從「原則」頁面設定。
• 建立掃描精靈：改善流程，而針對 DAST 掃描，現在有一個個別的路徑，可用來對上傳的檔案建立掃描。
• 電子郵件和個人掃描喜好設定現在會在新的「摘要」頁面上設定。
• 選取要在表格中顯示的直欄、調整寬度及變更直欄順序。
• 將特定頁面的連結 (ID) 傳送給其他獲授權的使用者，即可與其分享頁面。

• 新增和更新許多問題的內容。
• 如何修正：諮詢和修正建議區段已合併至綜合性的「如何修正」標籤。
• 針對許多問題，可以取得特定程式碼語言的自訂「如何修正」內容。
• 將應用程式中的特定問題的連結 (ID) 傳送給其他獲授權的使用者，即可與其分享問題。

• 現在會預設為新應用程式指派「中」業務衝擊，但不會變更先前預設為「未定義」的現有應用程式。仍可手動將「未定義」指派給應用程式。
• 如果應用程式包含已完成的掃描，即使沒有作用中的問題，風險評級現在會設為「低」（先前設為「不明」）。

• 支援 Tomcat 10
• 改善污染追蹤
• 修訂 OS 接管偵測規則