新增功能 AppScan on Cloud

這個將靜態和開放原始碼掃描技術分開的方法為測試策略提供更大的彈性。您僅能使用 SCA 掃描開放原始碼程式庫，並在 SCA 特定的單一掃描檢視畫面中處理問題，或是為檔案執行靜態和開放原始碼掃描，視組織需求而定。

DAST 精靈測試選項可讓您指定是否傳送測試到登入和登出頁面。

資產群組是管理使用者資料存取權的實用方法。使用此更新的使用者介面，您可以輕鬆定義及管理資產群組，改善管理哪些團隊成員處理特定的資料。

AppScan on Cloud 會以階式樣式表列出安全漏洞，包括跨網站、注入和驗證。

可設定 Static Analyzer 指令行公用程式 以利用 WebSphere 環境來使用 WebSphere 隨附的 JSP 編譯器。

AppScan on Cloud 已改善在 HTML 檔案中 PHP 內容的驗證。

AppScan 開發團隊會持續地定期檢閱功能性和程式碼、進行修改和調整，以提供最佳掃描功能性。

• 已更正使用者設定 Proxy 不正確時顯示的訊息。
• 已更新 IAST 日誌，納入日期和時間。

• 對於會回報應用程式 API 完整清單的問題，使用新的問題類型「偵測到的 API」來取代「雜項」問題類型。
• 改進部署程序：Java 第 9 版及更新版本不再需要設定 BC_SB 環境變數。
• Java 的其他架構支援：Spring 6。
• OWASP 測試：改進日誌記錄以供示範之用。如需相關資訊，請參閱使用 IAST 代理程式執行 OWASP Benchmark。

• 支援增量掃描，藉由識別應用程式中的新區域和變更，並將掃描焦點放在這些區域和變更上，大幅縮短 DAST 重新掃描的時間。

• 更新：如 2023 年 9 月 5 日新增內容所述，只有透過 AppScan Standard Connect 上傳至 AppScan on Cloud 的 AppScan Standard 結果才會包含有漏洞的元件結果。目前 ASoC 上的 DAST 掃描不支援此功能。

• 單一掃描檢視畫面：除了問題總數和新問題之外，現在還加入顯示作用中問題的選項。作用中問題是指狀態為「新建（已刪除）」、「待解決」、「處理中」或「已重新開啟」的問題。此外，也對「問題嚴重性程度」圖表加以改進。
• 您現在可以指定最多三個唯一的存在，並將應用程式的掃描限制在這些存在。

可使用 --enableSecrets 和 --secretsOnly 選項來掃描機密。

• 建立應用程式：新的快速設定可讓您僅透過指派名稱和資產群組來建立應用程式。您可以稍後使用編輯應用程式新增其他參數。
• 擁有權限的使用者現在可以在「建立和編輯應用程式」對話框中建立新的資產群組。

• 掃描配置精靈現在支援向掃描新增其他網域。
• 儀表板：「具有最活躍問題的應用程式」圖表取代了「常見問題類型」圖表。
• 由於新增了自動表單填入等新的配置選項，因此已移除選取暫置或正式作業環境的選項。如需詳細資料，請參閱 為什麼我無法再將環境指定為「暫置」或「正式作業」？

• 建立掃描 API：目前 DAST 執行緒數最多可支援 20 個執行緒。
• 現在開放原始碼資訊在程式庫層級（而非檔案層級）顯示更加整合且準確的資料。

• 更新圖示和標誌
• 一般錯誤修正

• 效能的改善
• 新增新漏洞：
  • 敏感 API 需要日誌記錄 – CWE 778，（A09:2021 – OWASP top10 2021 清單中的安全記錄與監視）。支援使用 log4j 的應用程式。
  • Regex 注入 (CWE 624)。
• API 偵測：新問題會回報應用程式中所有偵測到的 API。支援 Spring 應用程式。

• 錯誤修正與效能改善
• 支援 .NET 核心中的 WebSocket
• 新的漏洞類型遺漏「Content-Security-Policy」標頭 (CWE 1032)，遺漏「Referrer policy」安全性標頭 (CWE 200)
• 為使用 System.Net.WebClient 的客戶提供基本支援