HCL AppScan Standard 10.9.0 新增功能简介

HCL AppScan Standard 10.9.0 新增功能简介

HCL AppScan Standard 10 (Windows) - Web 应用程序安全测试

HCL AppScan Standard v10 for Windows Multilingual

请访问原文链接：https://sysin.org/blog/appscan-10/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

市场领先的应用程序安全解决方案（SAST、DAST、IAST、SCA、API）

市场领先的应用程序安全解决方案

HCL AppScan 为开发人员、DevOps 和安全团队提供了一套技术来查明应用程序漏洞，以便在软件开发生命周期的每个阶段进行快速修复。

通过使用一流的测试工具、集中的可见性和监督以及多种部署选项（包括本地、云端和云原生）来保护您的应用程序，从而保护您的业务和客户。

解决方案

Dynamic Analysis 动态分析（DAST）

• 在应用程序运行时测试应用程序和 API 是否存在潜在漏洞。

Static Analysis 静态分析（SAST）

• 在开发过程的早期分析应用程序和 API 中的源代码是否存在潜在漏洞。

Interactive Analysis 交互式分析（IAST）

• 监控应用程序和 API，以帮助查找和修复漏洞，而不会减慢开发速度。

Software Composition Analysis 软件成分分析（SCA）

• 识别开源软件组件引入的漏洞。

ESG 技术评论：使用 HCL AppScan 实现持续的应用程序安全

“AppScan 通过直接集成到软件开发生命周期来支持 DevSecOps，包括在自动化构建和部署管道期间的内联执行，以及集成开发环境中的反馈和补救” —— Jack Poller，ESG 高级分析师

新增功能

本部分介绍此版本中的新增AppScan Standard产品功能和增强功能，以及相关弃用和预期变更。

HCL AppScan Standard 10.9.0 中的新增功能

• 定制脚本

  通过以下更新得到了增强：

  • 代码编辑器：改进了语法检查功能，增强了自动完成功能，从而提升了可用性。
  • 多步骤操作：新增支持使用自定义脚本动态调整参数 (sysin)。
  • 动态表单填充参数：在表单填充器中引入了对动态参数的支持。

• 支持使用 JSON 或 XML 消息进行数据交换的 WebSocket 协议。

• 合规性报告

  更新：

  • [US] DISA’s Application Security and Development STIG。V6R3
  • 2024 年 CWE 最危险的 25 个软件漏洞

• 自动登录改进：现在，AppScan 可以更准确地执行自动登录，从而提高整体登录成功率。

• AppScan 单元级 DAST 智能测试器 (AUDIT)： 一种以开发人员为中心的 DAST 方法，使开发人员能够高效地对特定端点运行有针对性的扫描，并在软件开发生命周期 (SDLC) 的早期检测漏洞，完美地集成在他们的集成开发环境 (IDE) 中。

修复和安全更新

此发行版中的新安全规则包括：

• attWordpressGalleryPluginPathTraversalCVE20233279 - Wordpress Gallery Plugin Path Traversal CVE-2023-3279
• attWordPressBackupMigrationplugincve20235737 - WordPress Backup and Migration plugin Broken Access CVE-2023-5737
• attMobileMouseRCECVE202331902 - Mobile Mouse Remote Command Execution CVE-2023-31902
• attOpenWireApacheServerRCECVE202346604 - OpenWire Apache Server RCE for CVE-2023-46604
• attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE for CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
• attLMSBlindSqlInjectionTimeoutCVE20248529 - Wordpress Learnpress Plugin SQL Injection CVE-2024-8529
• attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE for CVE-2024-56278
• JwtWeakSecretKey - 检测弱 JWT 密钥
• 易受攻击的组件数据库已更新到版本 1.7

已在此发行版中更改

• 可访问性：

  对产品的无障碍支持进行了显著增强。主要更新包括：

  • 键盘导航：改进了功能，方便使用键盘快捷键和键盘进行导航。
  • 屏幕阅读器支持：增强的兼容性可确保用户界面元素可访问。
  • 颜色对比度：增强的对比度可提供更好的可见性。
  • 字号：增强的可访问性，支持将页面放大至最多 200%。
  • 已完成全面的 VPAT 评估，用于记录其符合第 508 条和 WCAG 等无障碍标准的情况。

即将推出的变更

• AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月终止支持 (EOS)。建议在该时间之前升级至最新可用版本。
• 由于 Microsoft® Windows® 10 和 Microsoft® Windows® Server 2019 的主要支持期已结束，AppScan 的未来版本将不再支持这两个操作系统。
• Web API 向导 (OpenAPI) 扩展将在 AppScan 的将来版本中被除去。
• 报告组件将仅在产品级别 (UI/AppScanCMD) 提供，不适用于 SDK 级别。

下载地址

HCL AppScan Standard v10 Multilingual for Windows

请访问：https://sysin.org/blog/appscan-10/

更多：HTTP 协议与安全