HCL AppScan Standard 10.10 发布,新增功能简介
HCL AppScan Standard 10 (Windows) - Web 应用程序安全测试
HCL AppScan Standard v10 for Windows Multilingual
请访问原文链接:https://sysin.org/blog/appscan-10/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
市场领先的应用程序安全解决方案(SAST、DAST、IAST、SCA、API)
市场领先的应用程序安全解决方案
HCL AppScan 为开发人员、DevOps 和安全团队提供了一套技术来查明应用程序漏洞,以便在软件开发生命周期的每个阶段进行快速修复。
通过使用一流的测试工具、集中的可见性和监督以及多种部署选项(包括本地、云端和云原生)来保护您的应用程序,从而保护您的业务和客户。
解决方案
Dynamic Analysis 动态分析(DAST)
- 在应用程序运行时测试应用程序和 API 是否存在潜在漏洞。
Static Analysis 静态分析(SAST)
- 在开发过程的早期分析应用程序和 API 中的源代码是否存在潜在漏洞。
Interactive Analysis 交互式分析(IAST)
- 监控应用程序和 API,以帮助查找和修复漏洞 (sysin),而不会减慢开发速度。
Software Composition Analysis 软件成分分析(SCA)
- 识别开源软件组件引入的漏洞。
ESG 技术评论:使用 HCL AppScan 实现持续的应用程序安全
“AppScan 通过直接集成到软件开发生命周期来支持 DevSecOps,包括在自动化构建和部署管道期间的内联执行,以及集成开发环境中的反馈和补救” —— Jack Poller,ESG 高级分析师
新增功能
HCL AppScan Standard 10.10.0 中的新增功能:
2025 年 11 月
- DAST LLM 扫描程序:在攻击者利用 LLM 的弱点之前,先将其暴露出来!使用 AppScan 动态应用程序安全性 (DAST) 保护您的大语言模型 (LLM),该工具专门设计用于识别关键漏洞,如敏感信息泄露、提示注入、错误信息等。
- 定制脚本:编辑器增强功能包括改进的自动完成功能 (sysin)。这些增强功能提供了额外的 JavaScript 方法和类型,以及更多的激活触发器,例如开始一个新单词或输入句点(“.”)。
- 多步骤增强功能:用户界面经过了重新设计,以提供更出色的用户体验。新增了故障诊断选项,可查看回放的请求(原始数据和浏览器)并比较录制的请求与回放的请求,这些选项仅在序列验证后可用。
- 合规性报告
- 新增报告:
- 2025 年 LLM 应用 OWASP 前 10 大漏洞
- [加拿大] - ITSG-33 行业标准报告
- 更新报告:
- 国际标准 - ISO 27001:2022
- 国际标准 - ISO 27002:2022
- 支付卡行业数据安全标准 (PCI DSS) - V4.0.1
- NIST 特刊 800-53 - 5.2.0
- [EU] Regulation 2016/679 Of The European Parliament And Of The Council (GDPR)
- [US] Healthcare Services (HIPAA)
- 合规性报告现在包括修复建议详细信息。
- 新增报告:
- 屏蔽改进:增强了 AppScan 的屏蔽功能,可更一致地保护敏感信息。
- 自动登录改进:AppScan 现在可以更可靠地遍历 Angular 应用程序 (sysin),修复罕见的登录录制错误,并在播放失败后的第二次尝试操作之间增加延迟,从而提高总体成功率。
- 改进了对使用 AngularJS 框架的单页应用程序 (SPA) 扫描的支持。
修复和安全更新:
此发行版中的新安全规则包括:
- COOP - Cross-Origin-Opener-Policy (COOP) 标头缺失或不安全
- CORP - Cross-Origin-Resource-Policy (CORP) 标头缺失或不安全
- COEP - Cross-Origin-Embedder-Policy (COEP) 标头缺失或不安全
- attCSPAPI - CSP(适用于 API 端点)中的“frame-ancestors”指令标头缺失或不安全
- attApacheOFBizRCECVE202445195 - Apache OFBiz RCE for CVE-2024-45195
- attApacheOFBizRCECVE202445507 - Apache OFBiz RCE for CVE-2024-45507
- attSpringFrameworkPathTraversalCVE202438816 - Spring Framework 路径遍历 CVE-2024-38816 和 CVE-2024-38819
- attWordpressPiePluginAuthenticationBypassCVE202534077 - Wordpress Pie Register 身份验证不充分 CVE-2025-34077
- attWordPressKubioPathTraversalCVE20252294 - Wordpress Kubio AI Page Builder 插件路径遍历 CVE-2025-2294
- 易受攻击的组件数据库已更新到版本 1.8
已在此发行版中更改:
- AI 配置已从“测试选项”移至“工具”>“选项”>“AI 设置”。
- 为了提高安全性,将移除以下配置:
- 高级扫描配置
- 审查日志
- 审查报告
- 加密敏感数据
- 工具选项
- EncryptPdfReportData
- 高级扫描配置
- 使用外部浏览器录制登录和多步骤操作现在支持基于操作的录制。
- AppScan Connect:现在,ASoC 用户可以将问题与扫描文件一起发布到 ASoC,这有助于重新扫描而不是创建新扫描,从而节省时间和资源 (sysin)。
- URL 限制从 1024 个字符更改为 4096 个字符。
- Web API 向导 (OpenAPI) 扩展已移除。
- AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月 30 日终止支持 (EOS)。这些版本的文档不再在公共文档网站上提供。
- 对 Microsoft® Windows® 10 的支持已终止。
- Windows 2025 支持。
即将推出的变更:
- 报告组件将仅在产品级别 (UI/AppScanCMD) 提供,不适用于 SDK 级别。
下载地址
HCL AppScan Standard v10 Multilingual for Windows
请访问:https://sysin.org/blog/appscan-10/
更多:HTTP 协议与安全
