AppScan简介

一种动态应用程序安全测试 (DAST)桌面工具，旨在帮助安全专家和渗透测试人员等。在应用程序运行时针对潜在漏洞测试应用程序和 API的漏洞扫描工具.

HCL AppScan（原名IBM Security AppScan）是原IBM的Rational软件部门的一组网络安全测试和监控工具，2019年被HCL技术公司收购。AppScan旨在在开发过程中对Web应用程序的安全漏洞进行测试。该产品学习每个应用程序的行为，无论是现成的或是内部开发的应用程序；该产品还开发了一个程序，用来测试应用程序所有功能的常见的和特定的安全漏洞。

AppScan历史

AppScan最初是由以色列软件公司Sanctum Ltd.（其最初命名为Perfecto Technologies）开发的，1998年首次发布。1999年Sanctum扩展了其网络安全解决方案，并推出了世界上第一个应用防火墙——AppShield。

AppScan的第2版发布于2001年2月，增加了策略识别引擎和知识库，自动及自定义的爬虫引擎和攻击模拟器。第3版发布于2002年4月，增加了协同测试功能——不同的任务可以分配给不同的测试者；改进了程序的扫描和报表部分的用户界面。到2003年，超过500家企业客户使用AppScan，营收达到了3000万美元。

2004年7月，马萨诸塞州的公司Watchfire收购了Sanctum，这是一家开发了名为WebXM的Web应用管理平台的公司。AppScan成为了Watchfire公司的主打产品，以色列赫兹利亚的Sanctum研发中心则成为Watchfire公司的主要研发地。

2007年6月，Watchfire公司被IBM收购，并纳入Rational软件产品线，使IBM能够覆盖更多的应用程序开发生命周期。Watchfire公司的研发中心被并入IBM在以色列的研发实验室。

2009年，IBM收购了Ounce Labs，为AppScan产品线增加了一个在开发过程中查找和纠正源代码中漏洞的工具，并改名为AppScan Source Edition。

2019年，IBM将AppScan卖给了印度的HCL技术公司。

AppScan重构图

HCL AppScan Standard 不断发展，提供更好的用户体验、新功能和同样出色的 DAST 扫描引擎。在过去两年中，我们的团队不知疲倦地重新构想 HCL AppScan 标准，并为您带来您喜爱的具有更好性能和新功能的产品。

在过去的 20 年中，AppScan 标准一直是市场领先的 DAST 解决方案，提供了大量的功能。现在是添加重新设计的主视图、操作和菜单的时候了。当我们过渡到 AppScan Standard 的最终更新版本时，一些屏幕将保留在当前布局中。但是，我们将在即将发布的版本中继续改进这一旅程。

为确保发布最佳版本，我们鼓励现有 HCL AppScan 客户参与我们新的 AppScan 标准技术预览。选定的现有 HCL AppScan 用户可以通过在这些新的实验性功能发布之前对其进行测试并提供宝贵的反馈，从而在应用程序的开发中发挥重要作用。现在就试试。

AppScan Standard 的新升级预览：

AppScan Standard现在提供全新的主屏幕体验！

新的欢迎屏幕将有助于：

• 开始新的扫描
• 继续之前保存的工作
• 包括使用完整配置开始扫描的向导选项
• 打开扫描演示
• 访问最近的扫描和模板
• 修复常用模板

2/3 的用户更喜欢深色模式。你的偏好是什么？

我们将可访问性和舒适性放在 AppScan 创新的最前沿。AppScan Standard 用户现在可以在暗模式和亮模式之间更改他们的 AppScan Standard 体验。要切换到暗模式，请点击查看菜单并选择…。

新导航提供多种查看选项

AppScan Standard 的改进导航使不同视图之间的切换更容易，并为每个视图提供更好的空间。要最大化每个查看选项的空间，请使用顶部的箭头按钮。

更好地支持问题分析

问题分析对于安全专业人员来说至关重要，我们希望确保您对调查结果有更好的理解。这就是为什么我们在“问题”视图中添加了新工具，例如搜索、排序和过滤器，以提高分类流程的效率。

如何启动技术预览版？

要启动 AppScan Standard Tech Preview，请打开安装目录（默认位置为：Program Files (x86)\HCL\AppScan Standard）并启动文件：AppScanGui.exe
希望您会喜欢它，期待您的反馈！

下一步是什么？

• 改进的配置视图——体验一种新的方式来最大程度地利用您的 DAST 配置。AppScan Standard 的新配置视图将提供搜索项目的选项，允许进行新分组以增强导航并提供配置历史记录以显示对原始配置文件所做的更改。
• 深入了解扫描 –扫描状态是一项新功能，可在探索和测试阶段提供信息。HCL AppScan 的新功能将提高透明度，让您深入了解幕后发生的事情以及在扫描过程中如何支持和管理问题。
• 使用扫描日志增强您的历史记录 –作为 HCL AppScan Standard 用户，了解和观察扫描过程以及可能出现的任何故障排除至关重要。这就是为什么新的日志体验会将所有日志输入放在一个可以排序和搜索日志数据的表中。

AppScan所有更新日志

2021 年 12 月 17 日新增

• DAST：添加了新的安全规则来测试 Log4j 漏洞。

2021 年 12 月 15 日新增

• 静态分析客户端更新至 8.0.1472。
• 支持扫描RPG。
• 支持包含和排除 .NET 命名空间以进行扫描。
• 支持在appscan-config.xml 中指定Java 并行处理缓存位置。
• 一般修复和功能改进。

2021 年 11 月 23 日新增

• 用户界面：
  • 计划扫描：您现在可以计划 DAST 扫描稍后运行，重复或不重复（创建扫描 > 计划步骤）。您可以编辑配置的计划（扫描操作菜单 > 编辑计划）。新图标指示扫描的“计划”和“重复”状态。
  • IAST：添加了更新 IAST 代理配置的功能。
  • 自动注销：如果 30 分钟内没有活动，用户现在将被注销。
  • 现在可以合并业务单位（仅限管理员：组织 > 设置）。
  • 单次扫描视图：现在可以点击列，并在问题选项卡中引导过滤列表。
• 应用程序接口：
  • 支持扫描计划（带有附加设置）。
  • 支持合并两个业务单位，并能够对组织中允许的业务单位数量添加限制。

2021 年 11 月 16 日新增

• DAST 引擎更新：动态分析引擎更新到 AppScan Standard 版本 10.0.6。请参阅AppScan 标准修复列表。

2021 年 10 月 24 日新增

• 用户界面：
  • 仅限管理员：添加了新设置视图（组织 > 设置），以创建和管理业务单位。
  • IAST：删除代理时，用户界面现在为您提供仅删除代理配置或代理配置以及代理发现的问题的选项 。
  • 添加了新的扫描状态：“正在初始化”（在扫描实际开始之前）。
• API：设置为固定的 SAST 和 IAST 问题如果再次发现将不会重新打开。

2021 年 10 月 18 日新增

IAST监测：

• Java 代理（版本 1.9.10100）：
  • 当内存消耗（阈值）过高时暂停执行
  • 用于指定要监控的应用程序名称的新配置文件参数
  • 内存和 GC 调试标志
  • 减少内存消耗
  • 新的安全功能：
    • 改进的 CSRF 规则（更少的 FP）
    • 改进了不安全登录规则的覆盖范围
  • 修正：Spring 上的 XSS 错误
• .NET 代理（版本 1.3.1）：
  • 当内存消耗（阈值）过高时暂停执行
  • 根据标头/cookie 名称过滤问题不被报告
  • 性能改进
  • IAST 问题的“问题信息”选项卡：
    • 新的附加信息部分
    • 包含更多问题的漏洞利用示例
  • 新的安全功能：
    • 路径遍历算法
    • 改进了不安全登录规则的覆盖范围
  • 已修复：将问题发送到 ASoC/ASE 时的错误
• Node.js 代理（版本 1.2.1）：
  • 当内存消耗（阈值）过高时暂停执行
  • 根据标头/cookie 名称过滤问题不被报告
  • IAST 问题的“问题信息”选项卡：
    • 新的附加信息部分
    • 包含更多问题的漏洞利用示例
  • 新的安全功能：
    • 路径遍历算法
    • 改进了不安全登录规则的覆盖范围
  • 修正：处理通信 EPIPE 错误

2021 年 10 月 12 日新增

AppScan Go！更新至 0.1.8 版，包括以下增强功能：

• 新的打开页面设计。
• 仅源代码扫描支持。
• 能够为仅开源扫描生成appscan-config.xml。
• 在appscan-config.xml 文件中合并目标和排除。
• 能够禁用自动更新 的AppScan的Go！在启动时。
• 能够手动更新 AppScan Go！.
• 更新了排除文件的逻辑并澄清了错误消息。
• 一般修复和改进。

2021 年 10 月 10 日新增

• 单次扫描视图：添加了“管理执行”选项按钮
• DAST：创建扫描时，您现在可以根据需要选择是全自动扫描还是由扫描支持团队协助
• SAST：添加了单次扫描视图，与 DAST 扫描一样
• IAST：
  • 会话现在显示在扫描视图中
  • 可以创建扫描报告
  • 如果您手动停止了 IAST 会话，即使代理断开连接，您现在也可以从 UI 重新启动它，并且当代理连接时监控将自动开始。以前，这只能通过 API 实现。

2021 年 9 月 30 日新增

• 静态分析客户端更新至 8.0.1461
• 支持扫描Dart。
• 支持使用仅源代码选项扫描Java源代码。
• 一般修复和功能改进。

2021 年 9 月 12 日新增

• DAST 扫描：您现在可以为单次扫描上传多个 DAST.CONFIG 文件（请参阅有指导的探索）。

2021 年 8 月 4 日新增

• 静态分析客户端更新至 8.0.1448 版。
• 一般修复和功能改进。

2021 年 8 月 2 日新增

• DAST扫描：
  • 新的单次扫描页面：
    • 通过三个选项卡，您可以访问有关扫描的详细数据：概览、问题、配置和扫描日志窗格（请参阅单一扫描视图。
    • 显示运行扫描的实时状态。
    • 现在可以在扫描运行时查看扫描日志。
    • 由扫描支持团队的启用程序处理的扫描的新指标，以查看其配置。
  • 扫描向导添加：
    • 选择自动探索或在指导下进行探索（请参阅了解动态 (DAST) 扫描和在指导下探索）。
    • 上传手动探索或多步文件
    • 配置请求速率限制。
  • 应用程序接口：
    • 创建包含多个文件的扫描。
    • 在自动探索和引导探索之间进行选择。
    • 添加了自动超时
    • 应用程序的新问题数量现在包含在扫描结果中。
• IAST 监控，Java 代理（版本 1.8.10110）：
  • 现在支持上传 CONFIG 文件。
  • 监控现在将反映您对本地服务器上的 CONFIG 文件所做的更改。
  • IAST 问题的“问题信息”选项卡：
    • 新的附加信息部分。
    • 包含更多问题的漏洞利用示例。
  • 安全规则更新：
    • 路径遍历高级算法
    • 反序列化 – Xtream、xmlDecode
    • 减少escapeHtml上的FP
  • Wildfly 服务器的修复和内存改进。
• 导出图标：允许您导出应用程序、扫描、单个应用程序扫描、修复组、修复组问题、单个扫描问题、用户、资产组。
• 现在所有用户都可以看到域列表。

2021 年 7 月 13 日新增

• DAST 引擎更新：动态分析引擎更新到 AppScan Standard 版本 10.0.5。请参阅AppScan 标准修复列表。

2021 年 6 月 29 日新增

• 静态分析客户端更新至 8.0.1445 版本
• 支持使用仅源代码选项扫描C++。
• 支持扫描Objective-C++。
• 用于从命令行界面 (CLI) 生成报告的新get_report命令。

2021 年 6 月 23 日新增

• 用户界面：
  • 添加了新的“咨询专家”功能
  • 导出到 CSV/JSON 添加到应用程序和问题页面
  • 创建扫描：添加超时和线程数配置
  • 修复添加到问题面板的组 ID {“Group ID”）
  • IAST：添加到问题面板的附加信息
  • 列配置和过滤器现在保存在会话之间
  • 示例应用程序 CSV：删除了描述和标签列
  • 新插件：Github
• 应用程序接口：
  • 添加了向 ScanExecution 添加评论的功能
  • DAST 配置：添加了配置线程数和通信超时的能力
• 一般错误修复

2021 年 5 月 27 日新增

• IAST扫描：
  • 除了 Java 和 .NET 之外，现在还支持Node.js 代理（版本 1.1.0）
  • .NET 代理（版本 1.2.2）：
    • 现在支持 .NET 4.6.2
    • 图书馆更新
    • 支持通过环境变量和Web.config文件设置host和token
  • Java 代理（版本 1.8.10000：
    • 性能改进
    • 支持 32 位 JRE 环境
    • 支持更多 Java 环境进行自动附加
    • 检测弹簧消毒的新规则（减少 Spring FP）
  • 将环境变量名称更改为 IAST_HOST 和 IAST_ACCESS_TOKEN
  • 报告 attCookieNotSecureSSL 而不是 SessionManagement.Cookies
  • 简化报告
  • Bug修复

2021 年 5 月 26 日新增

• 静态分析客户端更新到版本 8.0.1436。
• 支持VB.NET 的源代码扫描，这是由仅源代码选项启用的。

2021 年 5 月 23 日新增

• 资产组：新设计，并且能够将用户添加为组的联系人
• IAST：添加了 JavaScript 代理
• 报告：DISA 报告升级到第 5 版，第 1 版

2021 年 5 月 11 日新增

• DAST 自动化更新：
  • 各种 Java 库更新到较新版本
  • 代理服务器现在支持 TLS 连接
  • 您现在可以使用一系列端口而不是特定端口启动录制代理（将使用该范围中最低的可用端口）
  • 您现在可以在 Settings.json 中设置代理服务器的端口
  • 修复了将 JKS 证书导入代理服务器的错误

2021 年 4 月 28 日新增

• 静态分析客户端更新到版本 8.0.1433。
• 一般修复和功能改进。
• APAR 修复。
• 对Java 并行处理的改进。

2021 年 4 月 27 日新增

• 用户界面：
  • 从“选择组织”对话框接受加入组织的邀请
  • 添加密码套件信息以发布详细信息
• 报告：添加了密码套件信息
• 应用程序接口：
  • 扫描 ID 添加到 ScanExecution 模型
  • 以 CSV 格式导出数据
• 对新用户的邀请现在有效期为 30 天。

2021 年 4 月 12 日新增

• UI：现在可以使用 CSV 文件导入应用程序。
• 报告：
  • IAST：添加了附加信息表。
  • 修复组表添加到安全报告的 CSV 格式。

2021 年 4 月 7 日新增

• 静态分析客户端更新到版本 8.0.1431。
• 针对 C#、ASP.NET 和 C 的全新且更快的仅源代码扫描。
• queue_analysis适用于Windows和Linux的CLI 命令的 附加功能。这些参数是可选的：
  • 启用或禁用分析完成时的电子邮件通知。
  • 将扫描作为个人扫描运行。
• AppScan Go！现在支持在 Mac 上。

2021 年 3 月 21 日新增

• 改进和更新的用户界面，包括以下更改：
  • 带有新订单和几个新菜单项的可折叠菜单栏。
  • 使用面包屑在所有视图之间导航。
  • 应用程序页面：创建应用程序向导流程已更新。
  • 单一应用程序页面：新的仪表板为您提供应用程序状态的图形概览，包括风险评级和合规状态、扫描状态、严重性问题、发现的最常见问题类型等。
  • 政策：
    • 改进的策略页面现在显示策略列表以及与每个策略关联的应用程序，而不是相反。
    • 现在可以使用许多新的预定义策略与您的应用程序相关联。
    • 基线策略现在直接从应用程序页面设置，而不是从策略页面设置。
  • 创建扫描向导：改进了流程，对于 DAST 扫描，现在有一个单独的路径用于使用上传的文件创建扫描。
  • 电子邮件和个人扫描首选项现在设置在新的“摘要”页面上。
  • 选择要在表格中显示的列、调整宽度和更改列顺序。
  • 只需向其他授权用户发送特定页面的链接 (ID)，即可与他们共享页面。
• 问题：改进的内容和功能
  • 许多问题的新内容和更新内容。
  • 如何修复：建议和修复建议部分已合并到一个全面的“如何修复”选项卡中。
  • 对于许多问题，可以使用针对特定代码语言的自定义“如何修复”内容 。
  • 只需向其他授权用户发送指向应用程序中特定问题的链接 (ID)，即可与其他授权用户分享问题。
• 报告包括新的“如何修复”内容。
• API：您现在可以上传自己的 IAST 监控配置。

2021 年 3 月 4 日新增

• AppScan Go！除了 Linux 和 Windows 版本之外，Mac 版 0.1.7 版现已可用。

2021 年 2 月 22 日新增

• DAST 引擎更新：动态分析引擎更新到 AppScan Standard 版本 10.0.4。请参阅AppScan 标准修复列表。

2021 年 2 月 21 日新增

• API：现在可以使用 API（除了 UI）下载 IAST 代理（使用或不使用密钥）。

2021 年 2 月 3 日新增

• 静态分析客户端更新至 8.0.1422 版。
• 一般修复和功能改进。
• 围绕Java 应用程序的并行处理功能改进了性能和内存利用率。

2021 年 1 月 31 日新增

• UI：更新了应用程序“风险评级”的计算：
  • 新应用程序现在默认分配为业务影响“中”，但不会更改先前默认为“未定义”的现有应用程序。“未定义”仍然可以手动分配给应用程序。
  • 如果应用程序包含已完成的扫描，即使没有活动问题，风险等级现在也会设置为“低”（之前设置为“未知”）。
• API 和 UI：扫描文件现在下载速度更快。

2021 年 1 月 26 日新增

• IAST：
  • 支持 Tomcat 10
  • 改进的污点跟踪
  • 修订的操作系统命令检测规则

2020 年 12 月 28 日新增

• 用户界面：
  • 新仪表板页面
  • 新域页面和域验证对话框
  • 针对导入问题的 CSV 文件改进
• 应用程序接口：
  • 添加了修改现有自定义策略的功能： PUT /api/V2/Policies/{id}
  • 现在可以通过添加 locale 参数以不同的语言环境显示问题类型： GET /api/v2/Issues/{scope}/{scopeId}
  • IAST 代理现在支持多个身份验证密钥：当您为现有会话下载第二个 IAST 代理时，新旧代理密钥都将有效（除非您使用生成新密钥选项撤销旧密钥）。请参阅启动 IAST 会话
• 修复：
  • REST API：即使定义了 AssetGroupId，WebHooks POST 方法响应的 AssetGroupId 值为空
  • 导入问题：支持的字段

2020 年 12 月 16 日新增

• 静态分析客户端更新到版本 8.0.1419。
• 对基础设施即代码 (IaC) 扫描的新支持。
• 支持 Java 11。
• 支持包含和排除 Java 命名空间以进行扫描。

2020 年 12 月 7 日新增

• DAST 引擎更新：动态分析引擎更新到 AppScan Standard 版本 10.0.3。请参阅AppScan 标准修复列表
• 插件和 API 页面：添加了 HackEDU

2020 年 11 月 30 日新增

• CSV 文件更改：将问题导入 ASoC 时 CSV 文件中使用的列标题已更改，以使它们与 ASoC UI 保持一致：
  • 更名：
    • 状态 > 问题状态
    • 严重性值 > 严重性
    • 源文件 > 文件名
  • 添加：外部 ID 和 CVSS
  • 删除：协议
  注意：当前不支持 CWE 和扫描技术值。

2020 年 11 月 9 日新增

• 移动扫描现在支持高达 14.1 的 iOS 版本。

2020 年 11 月 3 日新增

• 对 Vue.js 的新语言支持。
• 升级的 Java 分析引擎可实现更快、更准确的扫描。升级后的 Java 引擎提供近乎增量的扫描，同时保持扫描深度和准确性。虽然引擎提供的结果与以前基本相同，但预计结果会发生一些变化。请参阅Java 应用程序的并行处理以了解有关新扫描技术的更多信息。

2020 年 11 月 2 日新增

• 添加了用于 SAST 和 DAST 演示扫描的可下载日志。
• 登录页面中更新的图表现在包括 API。
• APAR 修复：宽限期内过期订阅的用户无法生成扫描报告。

2020 年 10 月 19 日新增

• 报告：测试策略添加回 DAST 扫描报告。
• API：为策略添加了两个新值：创建者和关联应用程序的数量。

2020 年 10 月 11 日新增

• 文档的翻译版本已更新。

2020 年 10 月 7 日新增

• 对 ABAP 的新语言支持。
• 对 Android-Java 的新语言支持。
• 对 Objective-C 的新语言支持。
• ReactNative 的新语言支持。
• Xamarin 的新语言支持。
• 一般错误修复和改进。

2020 年 10 月 6 日新增

• UI：标题栏现在包含指向新插件和 API 页面的链接
• API：管理员现在可以更新组织详细信息（放置/api/V2/Account/TenantInfo）
• 报告：如果 PDF 报告创建失败，您现在会收到一个 HTML 报告
• APAR 修复：
  • 创建“NIST 特别出版物 800-53”应用报告，而不是创建“萨班斯-奥克斯利法案 (SOX)”报告
  • 尽管包含在应用程序策略中，但未显示为不合规的开源安全问题

2020 年 9 月 21 日新增

• 正如之前宣布的那样，所有超过 30 天的个人扫描都已被删除。今后，当前行为将继续：每个个人扫描将在 30 天后删除，除非在该时间内升级。有关详细信息，请参阅个人扫描。

2020 年 9 月 15 日新增

• 一般错误修复和改进。

2020 年 9 月 14 日新增

• IAST 监控现在支持 .NET Framework。
• SAST：添加了下载日志的功能（操作 > 日志文件）。
• CSV 报告：日期现在以 ISO 8601 格式显示。
• Bug修复：
  • 仅当在 UI 中选中元数据 > 覆盖率复选框或在 REST API 中使用覆盖率标志时，应用程序数据现在（按预期）包含在报告中。
  • PRB0067750：为扫描代理传输扫描作业时优化级别更改已修复。

2020 年 9 月 9 日新增

• DAST 引擎更新：动态分析引擎更新到 AppScan Standard 版本 10.0.2。请参阅AppScan 标准修复列表。

2020 年 9 月 6 日新增

• IP 范围：在系统要求中，ASoC 用于移动扫描的 IP 范围列表已更新，但这并不代表实践中的任何更改。我们将此范围：192.8.127.21/26 更改为更标准的表示法：192.8.127.0/26，但这两个范围实际上是相同的。

2020 年 8 月 24 日新增

• 更新了示例 DAST 扫描结果和报告
• 一般错误修复和改进

2020 年 8 月 5 日新增

• 支持 AngularJS 8 和 9。
• 支持离子框架。
• 对 TypeScript 的新语言支持。
• 一般错误修复和改进。

2020 年 8 月 4 日新增

• 移动设备：现在支持 Android 10
• DAST：现在可以从 UI 下载扫描日志
• SAST：更新了 SAST 发现的唯一性（哈希）计算以减少重复；现有的调查结果将自动转换到新的哈希版本
• 应用程序接口：
  • 实现了一个 API 函数，该函数返回每个状态的问题数量
  • 添加了域 API
  • Swagger 函数现在包括可能的错误响应代码
• 报告：参数、注释、Java 脚本、Cookie 和过滤的 URL 已添加到 DAST 扫描报告的“应用程序数据”部分

2020 年 7 月 19 日新增

• 导出的用户 CSV 文件现在包括邀请人姓名列。
• 修复组 ID 现在包含在 CSV 报告中（它已经包含在其他格式中）。
• API：新的“信息问题”字段添加到应用程序，显示它包含的活动信息问题的数量。注意：由于所有应用程序都包含此新字段，因此 UI 中的“上次更新”字段已更改为此更改的时间。

2020 年 7 月 12 日新增

• 用户界面：
  • 现在可以删除“审查中”的扫描件
  • 如果用户已登录，现在可以从 UI 设置页面自动打开 Swagger
• API：现在可以下载 DAST 扫描日志
• 文档：在线帮助菜单栏现在包含一个“更改语言”下拉列表，可让您在任何页面上的语言之间轻松切换。

2020 年 6 月 28 日新增

• IAST：
  • IAST 技术现在被称为“IAST 监控会话”或“IAST 会话”而不是“IAST 扫描”
  • 简化了启动 IAST 会话的向导
  • 代理下载现在总是包含代理密钥
• 报告： DISA 报告更新至 R4V10
• 应用程序接口：
  • 改进的错误通知
  • FlexNet LicenseKey 的最后几个字符现在显示在 GetTenantInfo 上

2020 年 6 月 24 日新增

• DAST 引擎更新：动态分析引擎更新到 AppScan Standard 版本 10.0.1。请参阅AppScan 标准修复列表。
• Groovy 的新语言支持。
• Symfony 的新语言支持。
• 一般错误修复和改进。

2020 年 6 月 22 日新增

• iOS：扫描报告中添加了不安全连接的 StackTrace。

2020 年 6 月 10 日新增

• IAST：附加安全规则（服务器和 x-powered-by 标头检测、密码泄漏）、错误修复和性能增强。

2020 年 6 月 7 日新增

• 报告：用户现在可以创建 CSV 格式的应用程序报告和过滤的问题报告。

2020 年 5 月 25 日新增

• 添加到扫描详细信息的执行日期和时间，因此持续时间代表扫描执行时间，不包括任何队列或挂起时间。
• 修复组选项卡上的快速过滤器更改为“不合规”（而不是“活动状态”）。
• 添加到“创建 IAST 扫描”对话框的 IAST 文档链接。
• 添加了新 API，用于按严重性获取问题计数。
• 添加到 API 的 Webhook 以接收有关 AppScan On Cloud 中发生的事件的通知。支持两种事件类型：完成扫描执行和更改应用程序计数器或状态。有关更多详细信息，请参阅 Webhooks。
• 改进了对 SAST 扫描重复问题的过滤：用于唯一标识 SAST 问题的哈希算法已得到改进，以减少重复问题。新问题将与新的内部散列一起存储。但是，现有问题的哈希值不会改变。
• 报告：修复组 ID 添加到报告的修复组部分。

预先通知：请参阅个人扫描：重要更改

2020 年 5 月 21 日新增

• 对 Scala 的新语言支持。
• ReactJS 的新语言支持。
• 支持 Visual Studio 2017 和 Visual Studio 2019 C++ 项目。

2020 年 5 月 10 日新增

• 重命名扫描：您现在可以在 UI 中重命名扫描。以前发现的问题仍列在旧的扫描名称下，但新的和重复的问题将以新名称列出。
• 报告：
  • 更改了 SAST 自定义咨询结构。
  • 所有报告的统一封面。
  • DAST XML 报告：DAST XML 报告中“URL 组”和“实体组”部分的顺序已更改。报告的其他版本不受影响。
• 仪表板：改进的性能。
• 扫描历史记录：改进了加载，特别是当列表中有很多扫描时。
• 一般错误修复。

预先通知：请参阅个人扫描：重要更改

2020 年 4 月 22 日新增

• 扫描报告：
  • SAST 修复组名称和内容现在与 UI 和应用程序报告中显示的内容相匹配。
  • SAST 扫描报告现在包括自定义建议，就像在应用程序报告中一样。
  • 更新了封面并添加了 TOC，以匹配应用报告。
  • 讨论和历史复选框添加到元数据选项。
• 用户界面：在“用户和角色”和“资产组”中添加了搜索功能。
• 改进的性能和错误修复。

2020 年 4 月 15 日新增

• 一般错误修复和改进。

2020 年 4 月 7 日新增

• 文档：文档的本地化版本（法语、日语、简体中文和繁体中文）已更新。

2020 年 4 月 6 日新增

• 用户界面改进：
  • 您现在可以通过单击列标题对“所有问题”选项卡中的“问题”和“AppScan Presences”列进行排序。
  • 创建动态扫描时向 URL 字段添加了自动完成功能。
• 一般改进和错误修复

2020 年 4 月 3 日新增

• DAST 引擎更新：动态分析引擎更新到 AppScan Standard 版本 10.0.0。请参阅AppScan 标准修复列表。

2020 年 3 月 27 日新增

• 对 Kotlin 和 Swift 的新语言支持。
• .NET 分析改进以减少误报。
• 改进的 PHP 支持。
• 一般错误修复和改进。

2020 年 3 月 25 日新增

• IAST 扫描：我们最新的扫描技术使用部署在被测试应用程序的 Web 服务器上的代理来监控运行时发送的流量，并报告发现的漏洞。与其他 ASoC 扫描不同，IAST 扫描不会生成自己的流量，但会监控您的系统测试或 DAST 扫描期间发送的流量。因此，您可以持续识别运行时问题，而无需发送专门的测试请求。请参阅交互式 (IAST) 监控。
• DAST 扫描的测试优化：DAST 扫描设置向导有一个新的测试优化滑块，可让您控制问题覆盖率和扫描速度之间的权衡程度。测试优化有选择地发送最有可能发现应用程序中重大问题的测试，因此在产品开发期间，您可以利用更快的扫描，而彻底性损失相对较小。您可以在四个优化级别之间进行选择，以满足各种需求，例如初始测试、DevSecOps、预发布、合规性等。最快的选项包括比非优化扫描快 10 倍的测试阶段，大约 70% 的漏洞覆盖率。看测试优化。
• DAST 扫描的测试策略： AppScan 标准默认测试策略现在应用于使用向导配置的所有 DAST 扫描。您可以通过在 AppScan Standard 中或通过 API 配置扫描来应用不同的测试策略。
• 一般改进和错误修复。

2020 年 3 月 17 日新增

• 使用自签名根证书改进了对 SSL (HTTPS) 的支持
• 一般改进和错误修复

2020 年 3 月 10 日新增

• 一般错误修复和改进。

2020 年 3 月 5 日新增

• 对 Visual Basic 的新语言支持。

• 一般错误修复和改进。
• AppScan的云文档现已在传统和简体中国，以及 法国和日本。

2020 年 2 月 26 日新增

• 增强了 SAST 问题的详细信息和指导。
• 具有稳定性错误修复的新 DAST 引擎。
• 一般改进和错误修复。

2020 年 2 月 18 日新增

• 一般改进和错误修复。

2020 年 2 月 10 日新增

• 对 ASP Classic 的新语言支持。
• NodeJS 扫描的改进：
  • 37篇新文章
  • 精炼29条规则
  • 这些改进最终应该会减少发现的总数。
  • 但是，更新可能会导致某些现有发现显示为新发现。

2020 年 2 月 5 日新增

• 一般改进和错误修复

2020 年 2 月 2 日新增

• 动态分析引擎更新到 AppScan Standard 版本 9.0.3.14 iFix001。请参阅此处的修复列表。

2020 年 1 月 21 日新增

• DAST Proxy 现在支持 DAST.CONFIG 文件加密
• ASoC现在支持扫描加密的 DAST.CONFIG 文件
• 代理服务器CLI 命令和REST API 命令的更改

2020 年 1 月 19 日新增

• 在应用程序 > 所有问题选项卡中：
  • 默认列表现在仅显示不合规的问题（新的、打开的、进行中的、重新打开的）
  • 新过滤器显示
  • SAST 扫描：“所有问题”列表中的每个问题都会添加一个“修复组”链接，以打开该问题的“修复组”选项卡
• 安全报告：
  • 即使没有问题或所有问题都合规，您现在也可以生成报告
  • SAST 扫描：“修复组问题”部分添加到应用程序安全报告中
• 一般改进和错误修复

2020 年 1 月 12 日新增

• 移动分析现在支持高达 13.3 的 iOS 版本。

2020 年 1 月 1 日新增

• 不再支持 IBMid。前 IBM 用户必须创建 HCL 软件 ID 才能继续使用ASoC。请参阅创建您的 HCL ID。
• 一般错误修复。
• ASoC使用的 IP 范围的更改，请参阅系统要求和版本支持。

2019 年 12 月 19 日新增

• 改进的 Golang 分析。
• 一般错误修复。

2019 年 12 月 17 日新增

• 对于 SAST Fix Groups，您现在可以：
  • 更改每个问题的状态
  • 为每个修复组添加注释
  • 按特定政策或政策的合规性过滤问题

2019 年 12 月 16 日新增

• 类似于AppScan Go！，使用命令行界面扫描的用户可以指定扫描速度。
• 当生成与一个CLI IRX文件，用户可以指定第三方和/或开源用扫描 <configuration>属性。
• 一般错误修复。

2019 年 12 月 5 日新增

• 动态分析引擎更新到 AppScan Standard 版本 9.0.3.14。请参阅此处的修复列表。

2019 年 11 月 18 日新增

• 新的 CIAM（客户身份访问管理）系统：用户现在需要创建 HCL 软件 ID 才能使用该产品。现有ASoC用户可以在 2019 年 12 月 18 日之前继续使用其 IBMid 登录，但我们鼓励您尽快创建 HCL 软件 ID ，以确保您的工作流程不会中断。这可以按组织或按用户完成。创建HCL 软件 ID 后，您只需登录并像往常一样继续使用ASoC。有关详细信息，请参阅创建您的 HCL ID。
• ASoC REST API 中添加了一个新功能：GET /api/v2/Issues/{scope}/{scopeId}此函数返回给定范围（应用程序、扫描或扫描执行）的问题。它接受常规的 odata 参数（过滤器和分页），并且还有一个参数来确定是否以及应应用哪些策略来过滤问题。这个新功能取代了以下所有功能（现在标记为过时）：GET /api/V2/Issues/CountGET /api/v2/Apps/{id}/NonCompliantCountGET /api/v2/Apps/{id}/NonCompliantIssuesGET /api/v2/Apps/{id}/IssuesGET /api/v2/Apps/{id}/IssuesAsPageGET /api/v2/Apps/{id}/IssuesCountGET /api/v2/Scans/Executions/{executionId}/IssuesGET /api/v2/Scans/{scanId}/Executions/{executionId}/IssuesGET /api/v2/Scans/{scanId}/NonCompliantIssuesGET /api/v2/Scans/{scanId}/NonCompliantCountGET /api/v2/Scans/{scanId}/Issues

2019 年 11 月 7 日新增

• AppScan on Cloud GUI的最新更新AppScan Go！，引入了指定“彻底”扫描速度的能力。彻底扫描可提供最全面的分析，以确定最大数量的漏洞。彻底扫描也需要最长的时间才能完成。要利用这种扫描速度，请下载并安装最新版本的 AppScan Go！注意：通过添加到命令，也可以通过命令行界面进行彻底扫描。例如，。-Dpreset_hint=thoroughappscan prepareappscan prepare -Dpreset_hint=thorough

2019 年 11 月 5 日新增

• 对 Go 编程语言 (Golang) 的新语言支持。
• 一般错误修复。

2019 年 10 月 30 日新增

• 修复组现在显示在 UI 中：在静态分析中发现的问题被分配到修复组，其中组中的所有问题共享一个公共修复点、API 或开源。有关详细信息，请参阅修复组。注意：仅当您运行静态分析扫描时，应用程序视图中的新修复组选项卡才会出现。该选项卡仅填充在新扫描中发现的问题。在添加功能之前运行的扫描不会分配给修复组。
• 动态分析引擎更新到 AppScan Standard 版本 9.0.3.13.001。请参阅此处的修复列表。
• 您的组织 ID 将添加到您的订阅页面，以在提出支持请求时使用。

2019 年 10 月 24 日新增

• PHP 分析现在通过优化的扫描器实现，从而使扫描更容易利用。有关更多信息，请参阅PHP 分析。
• 请升级到静态分析器命令行实用程序的8.x 版：
  • 插件在运行时会自动下载最新的静态分析器命令行实用程序。
  • 如果您尝试使用静态分析器命令行实用程序7.x 或更早版本准备用于扫描的代码，您会看到一条错误消息。根据您的操作系统（Windows、Linux、Mac）升级到最新的静态分析器命令行实用程序。
  • 如果您正在使用AppScan Go! , 接受并安装最新的更新（如果提供更新）。
• 一般错误修复。

2019 年 9 月 25 日新增

• 针对静态分析中发现的问题的新“修复组”API。现在每个问题都属于一个“修复组”，显示在扫描报告中。您可以使用 API 来：
  • 在应用程序或扫描级别列出或更新修复组中的问题。
  • 将修复组中所有问题的状态（新建、打开、噪音等）设置为：
    • StickyStatus=True：自动应用于在未来扫描中发现的该修复组中的任何其他问题），或
    • StickyStatus=False：如果发现来自此修复组的新问题，其状态保持为新，组状态更改为混合。
  目前此功能只能通过 API 使用，但很快就会添加到 UI 中。请参阅https://cloud.appscan.com/swagger/ui/index#!/FixGroups
• 动态分析：您现在可以配置扫描并将其保存以供稍后运行。
• 显示多个正在运行的扫描状态时的性能问题已得到修复。
• 一般错误修复。

2019 年 9 月 9 日新增

• 用于配置和运行静态扫描的新用户界面。
• 一般错误修复。

2019 年 8 月 6 日新增

• 改进的 DAST 引擎：
  • 识别由 JavaScript 创建的新 cookie；改进的 URL 过滤器；提高覆盖率
  • 改进的跨站脚本分析：更好地检测基于 DOM 的跨站脚本
  • 改进的服务器/应用程序关闭检测：服务器/应用程序关闭心跳现在测试扫描的完整起始 URL，而不仅仅是其根路径，从而提高扫描准确性。
• 一般错误修复。

2019 年 7 月 31 日新增

• 除了其他格式之外，现在还可以 CSV 格式下载扫描报告。
• 现在可以暂停和恢复 DAST 扫描。
• 新的 IP 范围已添加到 ASoC 使用的 IP 范围列表中。请确保没有被您的防火墙阻止（请参阅用户界面中新系统要求选项卡中的IP 列表）。

2019 年 7 月 18 日新增

• DAST 扫描：您现在可以将使用 AppScan 活动记录器（Chrome 扩展程序）记录的登录序列上传到 ASoC。
• Android：现在支持网络安全配置（Android API 级别 24 及更高版本）：通过 NSC 配置文件识别缺少证书锁定和其他安全漏洞。

2019 年 7 月 9 日新增

• 单击“新建扫描”时，新向导可简化所有扫描类型的设置。
• 现在可以在创建扫描之前完成域验证（菜单>设置>域验证）。
• 现在可以从 ASoC 下载 DAST 扫描文件，以在 AppScan Standard 中打开以进行高级审查。
• 删除扫描时，您可以选择从应用程序中删除仅在该扫描中发现的所有问题。

2019 年 7 月 1 日新增

重要提示：新域名和产品名称“IBM Application Security on Cloud”已移至新位置：https : //cloud.appscan.com，现在称为“HCL AppScan on Cloud”。

• 新域使用不同的 IP：108.168.255.173，因此请确认您可以访问它。如果您的组织阻止了未知 IP，请确保将新 IP 列入白名单。
• 如果您在工具或脚本中使用 ASoC REST API，则必须将所有 API 调用的域从 appscan.ibmcloud.com 更改为 cloud.appscan.com。
• 我们已经发布了与 ASoC 一起使用的所有工具和 DevOps 插件的新版本，这些都将使用新域。如果您通过其中一个工具或插件使用 ASoC，请更新到最新版本以实现此更改。

更改包括以下更新：

• 新的创建扫描对话框，并改进了创建扫描流程。
• 新的Create Presence对话框、改进的Create Presence流程和改进的AppScan Presences视图。
• 新的添加用户对话框和改进的添加用户 流程。
• 您可以在邀请新用户时设置用户角色。
• 更新了应用程序 > 扫描历史视图和扫描 视图。
• 如果您的角色允许，则可以选择在删除扫描本身时删除扫描中发现的所有问题。在其他扫描中也发现的问题不会被删除。
• 现在可以在扫描完成后下载 DAST 扫描 (.scan) 的扫描配置文件，以使用 AppScan Standard 进行查看和配置。该文件在扫描后 60 天内可供下载。
• DAST 扫描的扫描优化可用，默认情况下处于活动状态。
• 现在可以在开始扫描之前执行设置 > 域验证。
• API：API/V2/Account/IBMIdLogin已于 6 月 17 日弃用，现已移除。请改用API/V2/Account/ApiKeyLogin。

2019 年 6 月 17 日新增

• 改进的报告生成：对于大型扫描的静态分析 HTML 报告，速度提高了五倍。
• API 变更：API/V2/Account/IBMIdLogin已弃用，将在接下来的两周内移除。请改用API/V2/Account/ApiKeyLogin。
• ASoC 问题 ID（如 UI 中所示）现在包含在所有报告（XML、HTML、PDF）中。注意：（仅限 XML 报告）仅<issue><item id>出现在 XML 报告中的附加 ID<asoc-issue-id>与此处引用的不同。
• 一般改进和错误修复。

2019 年 6 月 13 日新增

• 一般错误修复。

2019 年 5 月 22 日新增

• 对 Perl、PL/SQL 和 TSQL 的新语言支持。
• Apex 支持VisualStudio 框架。
• 命令行界面(CLI)“试运行”选项，用于在全面扫描之前检查验证问题。
• 支持Weblogic 作为 JSP 编译器。
• 新的 Java 暂存功能：一种用于确定在 Java 项目中扫描哪些文件的新的、更快的方法，可以对用户代码进行更全面的分析。新的 Java stager 进程允许对 Java 项目进行更智能的处理，以确定将分析哪些文件以及将哪些文件视为依赖项。与确定要分析哪些文件之前解压缩所有 war 文件、jar 文件、子 jar 文件等并将所有未压缩文件保存到磁盘的耗时过程不同，stager 过程采用手术方法来评估 Java 项目.使用新的 Java stager 进程，检查ear、war、jar 和jar 文件的jar 比以前的进程快得多。在 lib 中带有 jar 文件的战争文件处理得更完整，但可能会表现出较慢的 IR 时间。然而，如果该过程以 jar 文件或类文件形式存在于 war 文件中的任何位置，则该发现更加完整，因为该过程可以更好地识别用户代码。
  • 发现对先前分析过的项目使用新的 Java stager 过程可能会产生类似的新发现，以及考虑到更全面的 war 文件分析的实际新发现。
  • 日志记录除了对 Java 项目更健壮的处理之外，新的 stager 进程还会生成额外的日志记录。此日志记录列出了当前分析的 Java 包，可用于发现缺失的 Java 排除条目。
  例如：-DSTAGE_INFO=true For example: D:\apps\app\appscan prepare -n app -DSTAGE_INFO=true Discovering targets... Target added: app Validating... Staging D:\apps\app\app.jar Evaluating Entry: app.jar.files/lib/tomcat-coyote-7.0.12.jar Java Packages To Be Analyzed For app: com.app.java.test No problems found during validation. Generating IRX file... IRX file generation successful.

2019 年 5 月 14 日新增

• 系统要求：新的 IP 地址已添加到使用的IP 范围列表中。这些不能被防火墙阻止。

2019 年 5 月 6 日新增

• 一般更新和错误修复。

2019 年 4 月 10 日新增

• APEX 支持
• Visual Studio 2019 插件和 CLI 支持
• JSP 编译参数可以在 appscan-config.xml 中使用。

2019 年 4 月 2 日新增

• 测试优化
  • DAST 扫描的这一新功能（默认情况下处于活动状态，并在扫描设置期间进行控制）可加快扫描速度，以便在快速结果对您比彻底、深入的扫描更重要的情况下进行。请参阅测试优化。
  • DAST 扫描报告的一般信息部分现在指示扫描是否已优化。

2019 年 3 月 28 日新增

• 系统要求：新的 IP 地址已添加到使用的IP 范围列表中。这些不能被防火墙阻止。

2019 年 3 月 18 日新增

• 新的测试状态行为（请参阅应用程序属性）：
  • 创建扫描时，应用程序的测试状态会更改为“进行中”。
  • 当您重置应用程序（UI：编辑 > 重置 > 全部删除… | API：应用程序/重置/删除问题）时，应用程序的测试状态将更改为“未启动”。
• 新的 API 选项：
  • 添加到 GET Presences API 函数的过滤器，例如：GET: ..Presences/?$select=PresenceName%2C%20Id返回所有 Presences 及其 ID 的列表
  • 使用以下命令下载 DAST Scan 文件：GET ..Scans/DynamicAnalyzerScanFile/{executionId}
• XML 扫描报告又回来了。为了与 AppScan Enterprise 保持一致，对其内容和结构进行了更改，包括一些主要部分的顺序。技术说明中详细说明了这些更改：http : //www.ibm.com/support/docview.wss? uid = ibm10876392
• 如果扫描发现超过 20,000 个问题，ASoC 现在会选择 20,000 个有代表性的问题，并且仅将它们包含在扫描结果中。

2019 年 3 月 6 日新增

• 在用户和角色视图中，新的导出用户列表按钮允许您将用户列表作为 CVS 文件下载到您的计算机。
• ColdFusion 支持。
• 扩展了Azure DevOps (VSTS) 和 Team Foundation Server (TFS)支持。
• 使用appscan-config.xml改进了 SAST 扫描的包含/排除行为 。

2019 年 2 月 26 日新增

• 一般更新和错误修复。

2019 年 2 月 20 日新增

• 开源报告现在包括相关条目的库版本。
• 个人扫描：现在可以创建仅具有创建个人扫描权限的用户（不是常规扫描）。

2019 年 2 月 14 日新增

• SAST 错误修复。

2019 年 2 月 13 日新增

• 支付卡行业数据安全标准 (PCI) 报告更新至 3.2.1 版
• DAST 引擎已更新到版本AppScan Standard 9.0.3.11 iFix002

2019 年 2 月 6 日新增

• 用户管理：创建或编辑用户角色时（用户管理 > 用户和角色 > 添加/编辑角色），管理员现在可以让他们“查看用户和角色”，而无需授予他们编辑权限。这提供了对用户管理视图的仅查看访问权限。

2019 年 1 月 24 日新增

• 监管合规报告：现在提供两个新报告：
  • 支付应用数据安全标准
  • 美国 DISA 的应用安全与开发 STIG。V4R3

注意：自 2019 年 1 月 29 日起，系统要求中将添加两个额外的 IP 范围。请确保它们未被防火墙阻止。

2019 年 1 月 16 日新增

• Javascript 扫描器增强功能。增强功能包括性能改进、第三方文件的自动排除、改进的规则分析和错误修复。

2019 年 1 月 15 日新增

• 行业标准报告：现在提供四份新报告：
  • 国际标准 – ISO 27001
  • 国际标准 – ISO 27002
  • NIST 特别出版物 800-53
  • WASC 威胁分类 v2.0
• 监管合规报告：现在提供四份新报告：
  • 加拿大信息自由和隐私保护法 (FIPPA)
  • 美国电子资金和转账法案 (EFTA)
  • 美国联邦信息安全管理。法案 (FISMA)
  • 美国萨班斯-奥克斯利法案 (SOX)
• 样例报告：样例报告已全部更新，并添加了新的开源许可证样例报告。
• 静态分析报告：导致静态分析报告中省略修复组的错误已得到修复。

2019 年 1 月 10 日新增

• 现在支持使用 iOS 12.1 版扫描 iOS 移动应用程序。

2019 年 1 月 8 日新增

• 私人网站扫描：
  • 您现在可以在 Linux 操作系统和 Windows 上将AppScan Presence作为服务运行。
  • 在 Windows 操作系统中，AppScan Presence现在使用 EXE 文件启动。
  有关详细信息，请参阅创建 AppScan Presence。
• 现在可以从“扫描报告”对话框为单个扫描运行行业标准和法规遵从性报告。
• 应用程序报告现在从一个对话框中运行，该对话框从屏幕顶部的“应用程序报告”按钮打开。选项不变。

2018 年 12 月 30 日新增

• 更新的安全扫描报告：安全扫描报告现在是根据请求生成的，而不是在扫描时生成，因此现在与其他报告一样，状态已更改（例如“已修复”）的问题现在将显示为他们在报告中的当前状态。（不适用于 2017 年 10 月之前运行的扫描。）
• 用于静态分析扫描的新开源许可报告（需要开源订阅）：生成一份扫描报告，列出在您的代码中找到的所有开源库。（仅适用于 2018 年 12 月 30 日之后运行的扫描。）
• 现在可以从用户界面提升个人扫描（除了 API，和以前一样）：个人扫描中的问题与应用程序中的问题合并，一条消息表明有多少问题是“新的”（以前没有发现的问题）在应用程序中）、“合并”（在个人扫描和应用程序中发现的问题）和“重新打开”（在个人扫描中发现的在应用程序中标记为已修复的问题重新打开）。
• 其他行业标准报告：OWASP Top 10 Mobile 2016。
• 扫描历史视图现在显示创建每次扫描的用户的姓名。

2018 年 12 月 3 日新增

• 支持 Visual Studio Team Services (VSTS) 插件。

2018 年 11 月 29 日新增

• 用于静态分析的增强型 JavaScript 扫描器。
• 支持 AngularJS。

2018 年 11 月 19 日新增

• 新的动态分析引擎
• 用于私人站点扫描的 IP 列表已在系统要求中更新。

2018 年 11 月 7 日新增

• 附加列表现在分为页面（默认情况下每页 10 个，可配置）：资产组列表、资产组用户列表（授予用户访问权限）、资产组应用程序列表（移动应用程序）、用户列表。
• 对于动态扫描：鼠标单击扫描旁边的信息图标现在会显示扫描 ID 和起始 URL。
• 起始 URL 字段现在会在您键入 URL 时对其进行验证。
• 对于私有站点扫描：现在在扫描期间显示AppScan Presence状态。

2018 年 10 月 28 日新增

• 对于私有站点扫描，使用 Windows 操作系统，AppScan Presence 现在可以作为服务运行，请参阅创建 AppScan Presence。

2018 年 10 月 17 日新增

• 我的扫描选项卡列表现在分为几页（默认情况下每页五页，可配置）。
• 修复了使用 PAC 文件进行私人站点扫描的缺陷。

2018 年 10 月 9 日新增

• Mobile Analysis 现在支持 7 到 12 之间的 iOS 版本，以及 Swift 4.2 及以下的所有版本。
• 动态分析现在支持需要 HTTP 身份验证的站点。
• Private Site Scanning 现在支持代理自动配置 (PAC) 文件，请参阅配置 PAC 文件。
• 重新设计的登陆页面。
• 修复了一个缺陷，如果问题超过 200 个，则无法正常进行个人扫描。
• 在应用程序报告中添加了 SAST 的缺失修复建议。
• 一般错误修复。

2018 年 9 月 20 日新增

云 静态分析器命令行实用程序上的 HCL AppScan仅在 64 位 Linux 上受支持。

2018 年 9 月 5 日新增

Application Security on Cloud 支持使用以下插件直接从集成开发环境 (IDE)或构建系统进行扫描：

• 蚀
• 智能
• 视觉工作室
• 詹金斯
• 摇篮
• 马文

注意： Maven ASoC 插件现在位于Maven Central Repository 中；它不再需要手动安装。

2018 年 8 月 29 日新增

• 语言支持：Application Security on Cloud 现在支持 Python 扫描。

动态分析引擎更新：

• 添加了对最新 Apache Struts 2 CVE-2018-11776 的检查，以发现关键的远程代码执行缺陷。可用于动态和开源分析。
• 添加了对“JSON 上的 XML 外部实体文件披露”和“支持旧 TLS 版本”的动态分析检查。
• 使用新变体改进了现有的“Apache Struts 2 远程命令执行”检查，以提高覆盖率和准确性。

2018 年 8 月 14 日新增

• 动态分析引擎更新，具有一般改进和错误修复。

2018 年 8 月 7 日新增

• 现在在应用程序的扫描列表中指示个人扫描。

2018 年 8 月 1 日新增

• 语言支持：Application Security on Cloud 现在支持 COBOL 扫描。
• 静态分析器报告改进：云上的应用程序安全改进了修复组分类，如报告和评估查看器中所见。
• 管道支持：Jenkins 插件已更新以包含对 Jenkins 管道的支持。

2018 年 7 月 10 日新增

• 具有高级自动探索功能的新动态分析引擎提高了速度和测试覆盖率。

2018 年 7 月 2 日新增

AppScan on Cloud IDE 插件对策略的支持包括对安全扫描的这些更改：

• 该扫描问题列替换了 结果在安全扫描视图列。单击后，扫描问题会显示扫描期间发现的所有不合规的静态安全问题。
• 该应用程序的问题列替换 报告的列。单击后， 应用程序问题会显示在扫描此应用程序期间发现的所有不合规的静态安全问题。

静态分析器的 IDE 插件现在可通过 IDE 市场获得特定插件风格。有关更多信息，请参阅在集成开发环境中扫描。

2018 年 6 月 27 日新增

• 订阅管理：新的订阅视图（主菜单 > 我的订阅）显示您组织的所有订阅的状态，包括剩余的应用程序或扫描数量，以及开始和结束日期。
• UI 中的新策略过滤器让您可以根据关联或不关联的策略轻松过滤问题。例如，您可以创建一个策略以仅包含在特定日期之后发现的高严重性问题，然后过滤问题以仅为这些问题创建合规报告。
• API：新的报告 API 允许您创建：针对选定问题的问题报告、安全报告和法规报告，并具有定义的范围。

2018 年 5 月 30 日新增

• Mobile Analysis 现在支持高达 8.0 的 Android 版本。

2018 年 5 月 9 日新增

• 新的政策功能：
  • 通过用户界面创建自定义策略。
  • 使用应用程序视图中的新策略选项卡快速启用或禁用关联的策略。
• 尝试使用问题管理 > 导入问题导入 CSV 文件时出错已得到修复。

2018 年 4 月 25 日新增

• 新的预定义 HIPAA 政策确定了不符合 1996 年健康保险流通与责任法案 (HIPAA) 的问题。请参阅政策。

2018 年 4 月 17 日新增

• 在某个问题的“咨询”选项卡中，某些指向外部参考站点的链接已损坏。这些都已修复。
• 应用程序表中新的合规列标题允许您根据应用程序的相关策略将问题分类为合规或不合规。
• AppScan on Cloud 仅支持在 Windows 上通过命令行界面 (CLI) 和 Visual Studio 2017 插件扫描 .NET Core 项目。有关详细信息，请参阅为 .NET Core 项目生成 IRX。注： AppScan on Cloud不支持可移植的 .pdb 格式。有关详细信息，请参阅.NET 扫描结果显示程序集文件而不是源文件。

2018 年 3 月 18 日新增

政策

您现在可以将一个或多个策略 与应用程序相关联，从而可以评估应用程序对这些策略的合规性，并将修复工作重点放在相关漏洞上。策略是通过用户界面应用的。随后，可以在报告中突出显示策略对扫描的影响以及应用程序对策略的遵从。在应用程序级别提供了一个新的应用程序报告功能。通过此功能，您可以运行安全和问题报告，以及以下新的合规性报告：

• CWE/SANS 前 25 名报告
• 欧盟通用数据保护条例 (GDPR) 报告
• OWASP Top 10 2017 报告
• PCI合规报告

注意：策略目前仅在 Web 上可用，并且与静态分析器工具（IDE、CLI 和 Jenkins）不兼容。

2018 年 3 月 8 日新增

• IDE 插件现在提示每次扫描应用程序关联，而不是每个工作区只扫描一次。
• PHP 应用程序在 IRX 生成期间不再遇到内存限制。
• 解决修复组后，不再在 Visual Studio 中重新激活“帮助我修复此”按钮。

2018 年 3 月 5 日新增

• 当 AppScan Standard 配置用于运行 ASoC 扫描时，测试被发送到专门从扫描中排除的域。此错误现已修复。

弃用通知：某些问题属性列将于 2018 年 3 月 19 日移除

处理扫描结果时，默认显示六个问题属性：状态、位置、CVSS、问题类型、严重性和扫描名称。可以使用列选择下拉列表添加（或删除）附加属性的 列。为简化 UI，以下列选项将于 2018 年 3 月 19 日移除：

访问复杂性、访问向量、应用程序名称、身份验证、可用性影响、分类、机密性影响、描述、发现方法、可利用性、修复建议、友好 ID、完整性影响、是否为第三方、Nessus 插件 ID、项目名称、协议、修复级别, 报告置信度, 严重性值, 重现步骤, 总结, WhiteHatSecVulnId

自 2018 年 3 月 19 日起，这些属性将不再作为选项出现在“列选择”下拉列表中，如果在之前的扫描中选择，将不再显示在扫描结果中。

2018 年 2 月 26 日新增

• 之前下载为 HTML 文件的应用程序报告现在下载为 PDF 文件。
• 报告中默认包含的数据现在是：目录、摘要和详细信息。生成报告时可以选择其他四个类别（讨论、历史、咨询和修复建议）以包含在内。

2018 年 1 月 30 日新增

• 对于以英语以外的语言创建的扫描，问题严重性在报告中正确显示，但在在线 UI 中错误地显示为“未确定”。现在已修复。
• 现在已修复 30 天后重新扫描时出现的错误消息。

2018 年 1 月 8 日新增

• 重置应用程序数据：作为编辑应用程序中的新选项添加​​，此功能永久删除应用程序中的所有扫描和问题，同时保留其名称和配置
• 动态分析新行为：如果您加载扫描文件，您可以选择完全扫描或仅测试：
  • 完全扫描：忽略扫描中保存的所有结果并运行具有相同配置的新扫描（以前扫描会保留现有结果并继续扫描直到完成）
  • 仅测试：忽略任何测试阶段结果并使用文件中的探索阶段结果运行新的测试阶段（以前测试阶段会保留现有的测试阶段结果并继续直到完成）
  请注意，在这两种情况下，保存在文件中的任何手动探索数据和多步操作都包含在新扫描中。

2017 年 12 月 31 日新增

• 新的动态分析代理。

2017 年 12 月 26 日新增

• 生成报告时，您现在可以：
  • 包括详细信息和讨论（评论）元数据。
  • 包括通过单击报告发现的所有问题而不选择任何问题。如果您确实选择了问题，报告将像以前一样仅包含这些问题。

2017 年 12 月 13 日新增

• 您现在可以向应用中发现的问题添加评论，这些评论在应用程序视图和问题视图中显示为新列。注意：现有用户首先需要将 Comments 列添加为 Issues Found 选项卡中显示的列之一。
• 属于多个组织成员的用户现在在用户管理中其姓名旁边有一个下拉列表，用于选择要显示哪个组织的仪表板。

2017 年 12 月 5 日新增

• AppScan on Cloud现在支持仅通过我们的开源扫描 -openSourceOnly选项appscan prepare
• 对 C/C++ 扫描和生成的 IRX 文件的改进
• 智能代码分析 (ICA) 和智能结果分析 (IFA) 的边缘情况稳定性改进

2017 年 11 月 22 日新增

• 策略：您现在可以使用 REST API 定义和使用“策略”，以仅显示在特定日期之后发现或具有指定最低严重性的问题。请参阅政策。
• DAST 和 Android 引擎更新了新版本，其中包括错误修复和改进的性能。

2017 年 11 月 14 日新增

• “问题”视图中的“新建历史记录”选项卡显示所选问题的审计跟踪。请注意，跟踪仅从此次更新的时间开始。
• DAST 和 Mobile 引擎更新了新版本，其中包括错误修复和改进的性能。

2017 年 10 月 23 日新增

• 您现在可以使用 API 删除问题、扫描或应用程序图表数据，而无需删除应用程序。
• 问题视图中的新讨论选项卡可让您在应用程序中为问题添加自己的评论。

2017 年 10 月 20 日新增

• 智能发现分析的改进以前，java.sql.Statement.executeBatch 和 InetAddress 返回嘈杂的结果。我们改进了智能结果分析 (IFA) 以过滤掉这些误报结果。

2017 年 10 月 10 日新增

• “更新问题状态”已添加到您可以控制的权限中。
• 分页现在可用于应用程序和问题。

2017 年 10 月 3 日新增

• 移动分析现在支持 iOS 11。
• Android 和 iOS 扫描中的新问题类型：凭据泄漏。
• 主工具栏现在在用户名旁边显示用户当前登录的组织。

2017 年 9 月 10 日新增

• 用户角色
• 自动生成的 AppID 已从整数更改为 GUID。这对用户是透明的，因为新 ID 会自动返回，并且用于提交 扫描的 API向后兼容。

2017 年 8 月 24 日新增

• 对开源分析器支持的改进：在同一会话中运行多个扫描时，改进了 Open Source Analyzer 和 Eclipse 的性能。
• 对 C/C++ 支持的改进：更好地发现 C++ 宏和编译器选项。
• 无踪迹的静态分析问题的识别已更改：我们改进了静态分析引擎，并因此改进了非跟踪结果的哈希算法。由于此更改，部署此最新更新后检测到的许多静态分析结果将在“问题”选项卡中复制一次。此更改主要影响 Node.js、Ruby 和 JavaScript 的发现，但也可能影响其他语言。

2017 年 8 月 14 日新增

• 已删除：已删除创建具有自定义属性的应用程序配置文件模板的功能。

2017 年 7 月 24 日新增

• 其他 iOS 支持：ASoC 现在支持扫描 iOS 移动应用程序，最高版本为 10.3。
• 新 IP 范围：ASoC使用的 IP 范围之一已更改。请参阅ASoC 使用哪些 IP？
• 新的 UI 功能：扫描结果表顶部的新复选框可让您选择所有扫描，新的删除按钮可删除复选框被选中的所有扫描。查看结果

2017 年 6 月 22 日新增

• AppScan on Cloud现在支持扫描需要授权的 iOS 应用程序。
• 更好地支持 C/C++，包括 Visual Studio 2015：C/C++ 扫描改进包括能够扫描面向 Visual Studio 2015 平台工具集的 64 位项目。
• 更好的 .NET 日志记录：改进了所有 .NET 相关项目的日志记录和稳定性。
• Javascript 改进：Javascript 跟踪稳定，以便不完整的跟踪不会导致返回结果的问题。

2017 年 6 月 15 日新增

• 扫描队列：如果您尝试在订阅的最大并发扫描数已经运行时开始扫描，则扫描现在会添加到队列中，并会尽快自动启动。
• OWASP 移动分析报告中的 10 大风险现在遵循“2016 年移动 10 大风险”：https : //www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
• 改进了对 NodeJS 和 Ruby 的支持：Node.js 和 Ruby 扫描与智能发现分析 (IFA) 完全集成，可显着缩短扫描时间。
• 客户端 Javascript 的改进：我们改进了 Javascript 引擎生成的跟踪和非跟踪结果的显示。

2017 年 3 月 26 日新增

• Application Security on Cloud 现在支持开源测试：
  1. 在您的代码中定位开源包
  2. 识别已知易受攻击的开源包
  3. 建议易受攻击包的替代方案
  结果显示在静态分析报告和您的 Application Security on Cloud 门户中。注意：开源测试需要额外订阅。订阅激活后，开源测试将自动包含在静态分析扫描中。
• 该AppScan的存在 现在包括一个可选的代理服务器进行合并扫描（仅适用于Web应用程序的）作为功能测试的一部分。

2017 年 2 月 3 日新增

• 使用Jenkins 插件时：
  • 现在支持动态分析。使用此功能，您可以对在浏览器中运行的应用程序进行分析。
  • 指定登录凭据时，现在需要使用生成的 API 密钥。
  注意：不支持从 Jenkins 插件连接到 Bluemix。

2017 年 1 月 25 日新增

• 现在在 C/C++静态分析扫描期间应用智能代码分析 (ICA) 。ICA 之前是为 Java、.NET 和 PHP 扫描引入的。借助这项技术，可以发现和评估新的应用程序编程接口 (API) 的安全影响。通过 ICA，所有第三方 API 和框架都经过审查并分配正确的安全影响。这允许更完整的扫描结果。

2016 年 12 月 21 日新增

• 将问题生成为报告
• 过滤应用中的问题
• 能够更改默认的用户角色现在支持。
• 能够使用AppScan Presence扫描连接到无法从 Internet 访问的后端服务器的移动应用程序（Android 和 iOS）。
• 新的应用程序和角色 REST API。
• 在HCL Cloud Marketplace 上使用该服务时，静态分析现在支持使用生成的 API 密钥登录。
  • 当从一个集成开发环境记录，使用生成的API，现在关键是必需的。
  • 从 CLI 登录时，发出appscan api_login 命令( Windows ™ )或命令（Linux ™和 macOS）。此命令与身份验证命令( Windows ™ )或身份验证命令（Linux ™和 macOS）主题中列出的选项一起使用。 appscan

2016 年 12 月 14 日新增

• 能够创建自定义用户角色。
• 生成 API 密钥以登录 Swagger REST API UI。
• 向 UI 添加了内联帮助，以在您需要的地方提供帮助。

2016 年 12 月 13 日新增

• 现在支持向 Jenkins 自动化服务器添加安全分析。该HCL AppScan的云 詹金斯插件可以让你安全扫描支持添加到您的詹金斯项目。该插件允许您在 HCL Cloud Marketplace上连接到HCL AppScan on Cloud。

2016 年 11 月 16 日新增

• 静态分析扫描 现在使用智能代码分析 (ICA)。ICA 自动发现新的应用程序编程接口 (API) 并评估它们的安全影响。通过 ICA，所有第三方 API 和框架都经过审查并分配正确的安全影响。这允许更完整的扫描结果。注意： ICA 目前仅适用于扫描 Java、C/C++、.NET 和 PHP。

2016 年 10 月 19 日新增

• 在更改用户管理页面：
  • 删除了用户和角色页面上的“管理用户”按钮。现在，主菜单中也提供了从横幅到 IBM Cloud Marketplace的 管理链接。
  • IBM Cloud Marketplace 横幅上的“邀请用户”链接也可从主菜单>用户管理>用户和角色 获得。

2016 年 10 月 12 日新增

• 创建应用程序配置文件模板。（此功能后来被删除。）
• 自定义风险评级公式。（此功能后来被删除。）
• 使用定制的公式确定风险。（此功能后来被删除。）

2016 年 10 月 5 日新增

• macOS 版本 10.11 及更高版本现在支持静态分析 CLI、Eclipse 插件和 Maven 插件。

2016 年 9 月 28 日新增

• 导入应用列表以帮助构建应用清单
• 查看问题详细信息、建议和修复建议
• 动态分析现在支持使用您自己的 AppScan 标准配置（SCAN 或 SCANT 文件）的扫描。

2016 年 9 月 14 日新增

• 扫描 iOS 移动应用程序现在支持 iOS 10。
• 静态分析现在支持在 Visual Studio 解决方案中扫描 C/C++。注意：请参阅Microsoft Visual Studio 支持（仅限 Windows）

2016 年 9 月 7 日新增

• 扫描 iOS 移动应用程序不再需要使用 IPAX 生成器来创建和上传 IPAX 文件。您现在可以创建和上传 IPA 文件。

2016 年 8 月 23 日新增

• 从静态分析器命令行实用程序登录服务时，您现在可以执行以下操作，让实用程序在登录令牌文件过期时自动尝试重新验证服务。：
  • 如果您从命令行界面 (CLI) 登录，请使用该 -persist选项，如身份验证命令 ( Windows ™ )和身份验证命令（Linux ™和 macOS）中所述。
  • 如果您从集成开发环境 (IDE) 登录，请选中保存凭据复选框。

2016 年 8 月 3 日新增

• 新用户功能。用户管理通过将敏感应用程序分配到资产组然后将特定用户添加到这些组来帮助您限制对敏感应用程序的访问。
• 新的用户管理 REST API。
• 支持扫描的过滤器和统计信息（成功完成、进行中或失败）。

2016 年 7 月 20 日新增

• 支持在应用程序中选择问题列
• 仅限HCL Cloud Marketplace：如果您在HCL Cloud Marketplace连接到AppScan on Cloud服务，静态分析扫描现在必须与现有的AppScan on Cloud应用程序相关联。通过将扫描与应用程序相关联，您可以利用AppScan on Cloud仪表板的报告和趋势分析功能。要了解在通过 CLI 提交扫描时如何关联应用程序，请参阅分析命令 ( Windows ™ )或 分析命令 （Linux ™和 macOS）。要了解在从 IDE 提交扫描时如何执行此操作，请参阅集成开发环境中的扫描。
• 静态分析扫描期间增强的客户端 JavaScript 发现。

2016 年 7 月 11 日新增

• IBM AppScan on Cloud已获得ISO/IEC 27001:2013 认证

2016 年 6 月 29 日新增

• 支持扫描需要登录的安卓手机应用

2016 年 6 月 22 日新增

• 向专家寻求帮助。您可以购买咨询服务参与单位作为订阅的附加组件。在订阅期间，您可以使用这些参与单位来请求和接收按需咨询服务的任意组合，具体取决于这些服务需要多少个单位。
• 静态分析现在包括对以下语言的支持：
  • 客户端 JavaScript
  • PHP
  • 红宝石
• 检测 iOS 和 Android 移动应用程序中的信息泄漏

2016 年 6 月 8 日新增

• 新的“我的扫描”页面包含一个简单的扫描列表，无论它们属于哪个应用程序
• 您现在可以在使用动态分析扫描时选择特定的测试集
• 支持使用动态分析扫描其他经过验证的域

2016 年 6 月 1 日新增

• 现在支持 Node.js 进行静态分析扫描。

2016 年 4 月 5 日新增

• 建立您的应用程序资产清单以了解您需要保护的内容
• 按业务影响对您的应用程序进行分类和排名，以找出最需要保护的内容
• 按应用程序组织您的分析仪扫描以获得完整的评估
• 获取每个应用程序的安全评级，以按风险对您的资产进行排名
• 优先考虑漏洞并管理其解决方案
• 查看仪表板以了解您的应用程序安全状况并查看您是否取得进展
• 使用 Mobile Analyzer 在 Android 6 模拟器上扫描 Android 应用程序以查找更多漏洞
• 从您的 IntelliJ IDE 中方便地使用静态分析器扫描和查看漏洞。

AppScan破解版|10.0.6.28111下载地址

云中转网盘:

https://yzzpan.com/#sharefile=IcqPfzEE_23449

解压密码:www.ddosi.org

文件校验值

AppScan_v10.0.6.28111_www.ddosi.org.rar
SHA256

c9cec37198c47549d4a99658f9cd2082f06cb74806929151fc49e66cc092027c

AppScan破解方法[正确打开方式]

①双击如下程序进行安装

HCL AppScan Standard @www.ddosi.org.msi

②复制如下两个文件到appscan安装目录下替换.

AppScanSDK.dll

HclLicenseProvider.dll

默认安装位置:

C:\Program Files (x86)\HCL\AppScan Standard

③运行AppScan.exe

转载请注明出处及链接