HCL AppScan Standard 10.10 发布，新增功能简介

HCL AppScan Standard 10.10 发布，新增功能简介

HCL AppScan Standard 10 (Windows) - Web 应用程序安全测试

HCL AppScan Standard v10 for Windows Multilingual

请访问原文链接：https://sysin.org/blog/appscan-10/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

---

市场领先的应用程序安全解决方案（SAST、DAST、IAST、SCA、API）

市场领先的应用程序安全解决方案

HCL AppScan 为开发人员、DevOps 和安全团队提供了一套技术来查明应用程序漏洞，以便在软件开发生命周期的每个阶段进行快速修复。

通过使用一流的测试工具、集中的可见性和监督以及多种部署选项（包括本地、云端和云原生）来保护您的应用程序，从而保护您的业务和客户。

解决方案

Dynamic Analysis 动态分析（DAST）

• 在应用程序运行时测试应用程序和 API 是否存在潜在漏洞。

Static Analysis 静态分析（SAST）

• 在开发过程的早期分析应用程序和 API 中的源代码是否存在潜在漏洞。

Interactive Analysis 交互式分析（IAST）

• 监控应用程序和 API，以帮助查找和修复漏洞 (sysin)，而不会减慢开发速度。

Software Composition Analysis 软件成分分析（SCA）

• 识别开源软件组件引入的漏洞。

ESG 技术评论：使用 HCL AppScan 实现持续的应用程序安全

“AppScan 通过直接集成到软件开发生命周期来支持 DevSecOps，包括在自动化构建和部署管道期间的内联执行，以及集成开发环境中的反馈和补救” —— Jack Poller，ESG 高级分析师

新增功能

HCL AppScan Standard 10.10.0 中的新增功能：

2025 年 11 月

• DAST LLM 扫描程序：**在攻击者利用 LLM 的弱点之前，先将其暴露出来！**使用 AppScan 动态应用程序安全性 (DAST) 保护您的大语言模型 (LLM)，该工具专门设计用于识别关键漏洞，如敏感信息泄露、提示注入、错误信息等。
• 定制脚本：编辑器增强功能包括改进的自动完成功能 (sysin)。这些增强功能提供了额外的 JavaScript 方法和类型，以及更多的激活触发器，例如开始一个新单词或输入句点（“.”）。
• 多步骤增强功能：用户界面经过了重新设计，以提供更出色的用户体验。新增了故障诊断选项，可查看回放的请求（原始数据和浏览器）并比较录制的请求与回放的请求，这些选项仅在序列验证后可用。
• 合规性报告
  • 新增报告：
    • 2025 年 LLM 应用 OWASP 前 10 大漏洞
    • [加拿大] - ITSG-33 行业标准报告
  • 更新报告：
    • 国际标准 - ISO 27001:2022
    • 国际标准 - ISO 27002:2022
    • 支付卡行业数据安全标准 (PCI DSS) - V4.0.1
    • NIST 特刊 800-53 - 5.2.0
    • [EU] Regulation 2016/679 Of The European Parliament And Of The Council (GDPR)
    • [US] Healthcare Services (HIPAA)
  • 合规性报告现在包括修复建议详细信息。
• 屏蔽改进：增强了 AppScan 的屏蔽功能，可更一致地保护敏感信息。
• 自动登录改进：AppScan 现在可以更可靠地遍历 Angular 应用程序 (sysin)，修复罕见的登录录制错误，并在播放失败后的第二次尝试操作之间增加延迟，从而提高总体成功率。
• 改进了对使用 AngularJS 框架的单页应用程序 (SPA) 扫描的支持。

修复和安全更新：

此发行版中的新安全规则包括：

• COOP - Cross-Origin-Opener-Policy (COOP) 标头缺失或不安全
• CORP - Cross-Origin-Resource-Policy (CORP) 标头缺失或不安全
• COEP - Cross-Origin-Embedder-Policy (COEP) 标头缺失或不安全
• attCSPAPI - CSP（适用于 API 端点）中的“frame-ancestors”指令标头缺失或不安全
• attApacheOFBizRCECVE202445195 - Apache OFBiz RCE for CVE-2024-45195
• attApacheOFBizRCECVE202445507 - Apache OFBiz RCE for CVE-2024-45507
• attSpringFrameworkPathTraversalCVE202438816 - Spring Framework 路径遍历 CVE-2024-38816 和 CVE-2024-38819
• attWordpressPiePluginAuthenticationBypassCVE202534077 - Wordpress Pie Register 身份验证不充分 CVE-2025-34077
• attWordPressKubioPathTraversalCVE20252294 - Wordpress Kubio AI Page Builder 插件路径遍历 CVE-2025-2294
• 易受攻击的组件数据库已更新到版本 1.8

已在此发行版中更改：

• AI 配置已从“测试选项”移至“工具”>“选项”>“AI 设置”。
• 为了提高安全性，将移除以下配置：
  • 高级扫描配置
    • 审查日志
    • 审查报告
    • 加密敏感数据
  • 工具选项
    • EncryptPdfReportData
• 使用外部浏览器录制登录和多步骤操作现在支持基于操作的录制。
• AppScan Connect：现在，ASoC 用户可以将问题与扫描文件一起发布到 ASoC，这有助于重新扫描而不是创建新扫描，从而节省时间和资源 (sysin)。
• URL 限制从 1024 个字符更改为 4096 个字符。
• Web API 向导 (OpenAPI) 扩展已移除。
• AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月 30 日终止支持 (EOS)。这些版本的文档不再在公共文档网站上提供。
• 对 Microsoft® Windows® 10 的支持已终止。
• Windows 2025 支持。

即将推出的变更：

• 报告组件将仅在产品级别 (UI/AppScanCMD) 提供，不适用于 SDK 级别。

下载地址

HCL AppScan Standard v10 Multilingual for Windows

请访问：https://sysin.org/blog/appscan-10/

更多：HTTP 协议与安全