新增功能 AppScan on Cloud
探索即將推出和最近新增的功能。
更新: 您可以在 AppScan 新聞上找到 AppScan on Cloud 公告,包括計畫變更的預先通知,以及可能影響工作流程的排程維護。如果要在有公告時收到通知,您可以訂閱 AppScan 新聞。
翻譯: 如果您正在閱讀此頁面的翻譯版本,請注意,此頁面可能不包含最新的新增內容。如需檢視此頁面的最新版本,請使用功能表列右上方的「變更語言」選項,以切換至英語版本。
2023 年 12 月 3 日新增功能
- IAST 現在支援 PHP:
- 除了 Java、Node.js 和 .NET 之外,還支援 PHP 代理程式(1.0.0 版)
- 使用者體驗 (UX) 改進:
- 新的法規相符性報告:[南非] 保護個人資訊法案 (PoPIA),2013 年。
- 已更新法規相符性報告:
- [美國] 聯邦政府風險與授權管理計畫 (FedRAMP),修訂 5。
- [美國] DISA 的應用程式安全性與開發 STIG,V5R2
- [美國] 聯邦政府資訊安全現代化法案 (FISMA),2014 年。
- AWS 整合已新增至外掛程式與 API 頁面:
- AWS CodeBuild 和 CodePipeline 外掛程式可透過 AppScan on Cloud 輕鬆執行「動態應用程式安全測試」(DAST) 掃描,確保無縫整合到您的 DevOps 週期中。
2023 年 11 月 1 日新增功能
- 新的 IAST Java 代理程式(版本 1.15.1):
- 指定 Proxy 到代理程式以存取 ASoC 的新方法:
- 環境變數:IAST_PROXY_HOST 與 IAST_PROXY_PORT。
- 自訂 Java 內容:Iast.proxyHost 與 Iast.proxyPort
這是透過標準 Java 內容 https.proxyHost 和 https.proxyPort 定義 Proxy 現有方法之外的方法。
- 指定 Proxy 到代理程式以存取 ASoC 的新方法:
2023 年 10 月 29 日新增功能
- 軟體組成分析 (SCA) 和靜態分析現在是 AppScan on Cloud 內不同的工作流程。
這個將靜態和開放原始碼掃描技術分開的方法為測試策略提供更大的彈性。您僅能使用 SCA 掃描開放原始碼程式庫,並在 SCA 特定的單一掃描檢視畫面中處理問題,或是為檔案執行靜態和開放原始碼掃描,視組織需求而定。
- 傳送測試到登入和登出頁面成為動態分析的一部分。
DAST 精靈測試選項可讓您指定是否傳送測試到登入和登出頁面。
- 已更新「建立及管理資產群組」的使用者介面。
資產群組是管理使用者資料存取權的實用方法。使用此更新的使用者介面,您可以輕鬆定義及管理資產群組,改善管理哪些團隊成員處理特定的資料。
2023 年 10 月 16 日新增功能
- 靜態分析用戶端已更新至 8.0.1546 版。
- 支援掃描階式樣式表(CSS 檔案)。
AppScan on Cloud 會以階式樣式表列出安全漏洞,包括跨網站、注入和驗證。
- 支援 IBM WebSphere Application Server 9.x
可設定 Static Analyzer 指令行公用程式 以利用 WebSphere 環境來使用 WebSphere 隨附的 JSP 編譯器。
- 已改善 PHP 掃描的準確度。
AppScan on Cloud 已改善在 HTML 檔案中 PHP 內容的驗證。
- 一般修正。
AppScan 開發團隊會持續地定期檢閱功能性和程式碼、進行修改和調整,以提供最佳掃描功能性。
2023 年 9 月 28 日新增功能
- 新的 IAST Java 代理程式(版本 1.14.3):
- 已更正使用者設定 Proxy 不正確時顯示的訊息。
- 已更新 IAST 日誌,納入日期和時間。
- 先前發佈的 IAST Java 代理程式(版本 1.14.2):
- 對於會回報應用程式 API 完整清單的問題,使用新的問題類型「偵測到的 API」來取代「雜項」問題類型。
- 改進部署程序:Java 第 9 版及更新版本不再需要設定
BC_SB
環境變數。 - Java 的其他架構支援:Spring 6。
- OWASP 測試:改進日誌記錄以供示範之用。如需相關資訊,請參閱使用 IAST 代理程式執行 OWASP Benchmark。
2023 年 9 月 10 日新增功能
- DAST:
- 支援增量掃描,藉由識別應用程式中的新區域和變更,並將掃描焦點放在這些區域和變更上,大幅縮短 DAST 重新掃描的時間。
-
更新:如 2023 年 9 月 5 日新增內容所述,只有透過 AppScan Standard Connect 上傳至 AppScan on Cloud 的 AppScan Standard 結果才會包含有漏洞的元件結果。目前 ASoC 上的 DAST 掃描不支援此功能。
- SAST: AppScan on Cloud 允許上傳封存檔以進行掃描,而不用先產生 IRX 檔案。如此可將檔案準備工作轉移到 ASoC,為使用者節省時間。
- ServiceNow 外掛程式:現在可以使用 ServiceNow 外掛程式,將漏洞資料從 AppScan on Cloud(DAST 或 SAST 結果)匯入 ServiceNow 漏洞回應平台,在 ServiceNow 中對問題進行分類。
- 使用者體驗 (UX) 改進:
- 單一掃描檢視畫面:除了問題總數和新問題之外,現在還加入顯示作用中問題的選項。作用中問題是指狀態為「新建(已刪除)」、「待解決」、「處理中」或「已重新開啟」的問題。此外,也對「問題嚴重性程度」圖表加以改進。
- 您現在可以指定最多三個唯一的存在,並將應用程式的掃描限制在這些存在。
2023 年 9 月 5 日新增功能
- 2023 年 7 月 31 日新增功能的更正:DAST 引擎更新:動態分析引擎已於 2023 年 7 月 31 日更新至 AppScan Standard 10.3.0 版。請參閱 AppScan Standard 修正清單。註:
- 雖然第三方元件識別為 AppScan Standard 10.3.0 中的新功能,但在 ASoC 中執行的掃描不支援此功能。
- 2023 年 7 月 31 日發佈的版本指出,透過 AppScan Standard 中的「掃描」或「scant」檔案啟動的掃描會包括偵測有漏洞的元件。不過,此支援將在即將到來的部署中停用。
- 透過 AppScan Connect 從 AppScan Standard 匯入至 ASoC 的掃描結果仍將包含由 AppScan Standard 偵測到之有漏洞的元件。
2023 年 8 月 22 日新增功能
- 靜態分析用戶端已更新至 8.0.1542 版。
- 其他針對原始碼掃描器的效能改善。
- 一般錯誤修正。
2023 年 8 月 16 日新增功能
- 靜態分析用戶端已更新至 8.0.1537 版。
- 依預設,密碼掃描已停用。
可使用
--enableSecrets
和--secretsOnly
選項來掃描機密。 - 改善原始碼掃描器的效能。
- 一般錯誤修正。
2023 年 7 月 31 日新增功能
- DAST 引擎更新:動態分析引擎更新至 AppScan Standard 10.3.0 版。請參閱 AppScan Standard 修正清單。小心: 有關 ASoC 第三方元件支援的最新資訊,請參閱 2023 年 9 月 5 日新增功能。下列註釋不再有效。只有透過 AppScan Connect 上傳至 ASoC 的掃描結果,才會包含被偵測到的有漏洞的元件。註: 雖然識別第三方元件為 AppScan Standard 10.3.0 中的新功能,但在 ASoC 中並不支援。然而,從 AppScan Standard 匯入的掃描或範本(如果在 AppScan Standard 中選取此選項)就會包含第三方元件。
2023 年 7 月 20 日新增功能
- 靜態分析用戶端已更新至 8.0.1535 版。
- 一般錯誤修正。
2023 年 7 月 16 日新增功能
- 更新「建立與編輯應用程式」對話框。
- 建立應用程式:新的快速設定可讓您僅透過指派名稱和資產群組來建立應用程式。您可以稍後使用編輯應用程式新增其他參數。
- 擁有權限的使用者現在可以在「建立和編輯應用程式」對話框中建立新的資產群組。
- 外掛程式:新增 VS 2022 外掛程式。
- 開放原始碼問題現在納入程式庫位置。
- 業界標準報告「NIST Special Publication 800-53」已更新至第 5 版。
2023 年 6 月 30 日新增功能
- 靜態分析用戶端已更新至 8.0.1533 版。
- 擴充對機密掃描的支援。
2023 年 6 月 20 日新增功能
- 靜態分析用戶端已更新至 8.0.1531 版。
- 支援機密掃描。
2023 年 6 月 11 日新增功能
- DAST:
- 掃描配置精靈現在支援向掃描新增其他網域。
- 儀表板:「具有最活躍問題的應用程式」圖表取代了「常見問題類型」圖表。
- 由於新增了自動表單填入等新的配置選項,因此已移除選取暫置或正式作業環境的選項。如需詳細資料,請參閱 為什麼我無法再將環境指定為「暫置」或「正式作業」?
- API:
- 建立掃描 API:目前 DAST 執行緒數最多可支援 20 個執行緒。
- 現在開放原始碼資訊在程式庫層級(而非檔案層級)顯示更加整合且準確的資料。
2023 年 5 月 31 日新增功能
- AppScan Go! 升級至 1.0.2 版。
- 更新圖示和標誌
- 一般錯誤修正
2023 年 5 月 18 日新增功能
2023 年 5 月 15 日新增功能
- 靜態分析用戶端已更新至 8.0.1530 版。
- Rust 的新語言支援。
- 已改善 JAVA 和 Ruby 的精確度。
- 適用於修正程式群組、Jenkins 外掛程式設定、Azure 外掛程式設定以及 CodeSweep 動作的行內指導教學。
- 一般錯誤修正。
2023 年 4 月 23 日新增功能
- 當您刪除掃描時,現在也會刪除只屬於該掃描的 SCA 程式庫,就像問題一樣。
- SAST/SCA:改進問題詳細資料窗格中的資料流程顯示。
- 訂閱頁面:新增「AppScan for You」服務詳細資料。
2023 年 4 月 18 日新增功能
- 新的 IAST .NET 代理程式(1.7.3 版)
2023 年 3 月 29 日新增功能
- DAST 引擎更新:動態分析引擎更新至 AppScan Standard 10.2.0 版。請參閱 AppScan Standard 修正清單。
2023 年 3 月 26 日新增功能
2023 年 3 月 21 日新增功能
- 靜態分析用戶端已更新至 8.0.1524 版。
- 一般錯誤修正。
2018 年 3 月 13 日新增功能
- 新的 IAST .NET 代理程式(1.7.2 版)錯誤修正
2023 年 3 月 5 日新增功能
- 新的 IAST .NET 代理程式(1.7.1 版)
- 錯誤修正與效能改善
- 支援 .NET 核心中的 WebSocket
- 新的漏洞類型遺漏「Content-Security-Policy」標頭 (CWE 1032),遺漏「Referrer policy」安全性標頭 (CWE 200)
- 為使用 System.Net.WebClient 的客戶提供基本支援
2023 年 2 月 19 日新增功能
- 問題狀態「新建」已淘汰,發現的新問題現在分類為「待解決」。除非在新的掃描中也發現相同問題,否則先前掃描中標記為「新建」的問題不會受到影響(請參閱 問題狀態)。
- 建立 DAST 掃描時,預設環境(API 中的「ScanType」)已從正式作業變更為暫置(請參閱建立 DAST 掃描。小心: 如果您正在掃描即時正式作業環境,在建立掃描時請務必變更此設定。
- 新的法規相符性政策與報告:[美國] 加州消費者隱私權法案 (CCPA) - AB-375。
- 在組織的「掃描和階段作業」視圖中,現在會以圖形方式向管理員顯示掃描統計資料。
- 新增「自動清理」配置到組織與應用程式設定(請參閱清理)。
- 新增相關性資料到關聯性群組視圖。
- 角色 API:新增「IsAssignable」到角色模型,表示使用者可以邀請具有此角色的使用者,或將另一位使用者的角色變更為此角色。
2023 年 2 月 6 日新增功能
- 靜態分析用戶端已更新至 8.0.1521 版。
- 針對軟體組成分析 (SCA) 探索與報告的改善。
- 已改善 C、C++ 和 Python 掃描的準確度。
- 一般錯誤修正。
2023 年 1 月 23 日新增功能
- 新增「上次發現」到問題的日期過濾器。
- 問題狀態「新建」已淘汰:UI 現已公告,原本會標示為「新建」的問題,從 2 月起會改標示為「待解決」。除非在新掃描中找到,否則現有「新的」問題不會變更,此情況下問題會設為「開啟」。您能夠將「新的」問題狀態變更為任何其他狀態,但無法將問題狀態設為「新的」。請參閱問題狀態。
2023 年 1 月 26 日新增功能
- IAST Java 代理程式(版本 1.12.10400): 各種修正和加強功能。
2023 年 1 月 15 日新增功能
- 「問題」清單中新的「上次發現」欄會顯示發現問題的最新日期。註: 這僅適用於此更新之後執行掃描中發現的問題。對於更早之前的掃描,「上次發現」欄位將為空白。