Welcome
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 5：度量进度并获得合规性证明
了解如何度量进度和获得合规性证明。
获得合规性证明
如何获得合规性证明。
行业标准报告
了解行业标准报告。
OWASP Top 10 for LLM Applications 2025 报告
OWASP Top 10 for LLM Applications 2025 行业标准合规报告帮助您评估您的应用程序在大型语言模型 (LLM) 应用程序中针对常见漏洞的安全性。

欢迎
欢迎使用 HCL AppScan Enterprise 10.10.0 文档，您可以在其中找到有关如何安装、维护和使用 HCL AppScan Enterprise 的信息。
企业的AppScan®无障碍功能
辅助功能选项可帮助残障人士（例如行动不便或视力不佳）顺利使用信息技术内容。
产品概述
正在安装
了解如何安装该产品。
升级和迁移
了解如何对产品进行升级。
集成
了解如何将产品与其他解决方案集成。
DevOps
了解如何通过 REST API 和插件扩展产品。
最佳实践
了解使用产品的最佳做法。
配置
了解如何配置该产品。
管理
了解如何管理该产品。
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。
  - 度量进度
    了解如何跟踪组成产品服务组合的应用程序的各种度量值和趋势。
  - 获得合规性证明
    如何获得合规性证明。
    - 以报告的形式导出问题
      您可以针对问题生成自定义报告（HTML、PDF、Excel 或 XML），并将其发送给开发人员、内部审计员、渗透测试人员、经理和 CISO。AppScan Enterprise 的报告模板可将应用程序安全性数据映射到关键政府法规和行业标准。使用报告记录实现监管合规性目标的进展情况，例如显示与合规性问题相关的应用程序漏洞数量的减少。
    - 限制安全报告的大小
      安全报告可能很大。报告生成期间，可能接收到文件有数百页长或者报告创建过程可能超时的警告消息。请尝试以下提示来减小报告大小。
    - 一致性报告
      了解合规性报告。
    - 行业标准报告
      了解行业标准报告。
      - 国际标准 - ISO 27001:2022 报告
        国际标准 - ISO 27001:2022 合规报告帮助您根据 ISO 27001:2022 信息安全管理体系 (ISMS) 框架评估您的 Web 应用程序的安全性。
      - 国际标准 - ISO 27002:2022 报告
        国际标准 - ISO 27002:2022 合规报告帮助您根据该标准的信息安全指南评估您的网络应用程序的安全性。
      - “NERC 网络安全标准”报告
        此报告显示在您站点上发现的 NERC 网络安全标准问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - NIST Special Publication 800-53 Revision 5.2.0 report
        NIST Special Publication 800-53 Revision 5.2.0 合规报告帮助您评估您的网络应用程序的安全性，以符合美国联邦信息系统所需的安全和隐私控制。
      - OWASP Top 10 2021 报告
        OWASP Top 10 是面向开发者和 Web 应用程序安全性的标准认知文档。它代表了对 Web 应用程序的最关键安全风险的广泛共识。
      - OWASP API Security Top 10 2019 报告
        对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。
      - 2023 年 OWASP API 安全 10 强报告
        对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。
      - OWASP Cloud-Native Application Security 前 10 名报告
        这OWASP Cloud-Native Application Security Top 10 是一种资源，可识别与云原生应用程序相关的最关键的安全风险。它还详细介绍了组织在保护这些应用程序时面临的挑战，并提供了减轻这些风险的指导。
      - OWASP应用程序安全验证标准报告
        应用程序安全验证标准（ASVS）是一份应用程序安全需求或测试的清单，可以被架构师、开发者、测试人员、安全专业人员、工具供应商和消费者用来定义、构建、测试和验证安全的应用程序。
      - 2024年CWE最危险软件弱点前25名报告
        本报告参考了2024年CWE最危险软件弱点前25名列表。这份由CWE团队发布的列表，基于对国家漏洞数据库（NVD）中的常见漏洞和暴露（CVE®）记录的分析，突出了最严重和最普遍的弱点。此信息反映了2024年名单的整合到AppScan Enterprise中。
      - WASC 威胁分类 V2.0 报告
        该报告会显示站点上找到的 WASC 威胁分类问题。
      - OWASP Top 10 for LLM Applications 2025 报告
        OWASP Top 10 for LLM Applications 2025 行业标准合规报告帮助您评估您的应用程序在大型语言模型 (LLM) 应用程序中针对常见漏洞的安全性。
故障诊断和技术支持
为了帮助您理解、隔离并解决有关 HCL® 软件的问题，故障诊断和技术支持信息中包含了关于使用 HCL 产品随带的问题确定资源的指示信息。
参考
查看该产品的参考信息。
词汇表

OWASP Top 10 for LLM Applications 2025 报告

OWASP Top 10 for LLM Applications 2025 行业标准合规报告帮助您评估您的应用程序在大型语言模型 (LLM) 应用程序中针对常见漏洞的安全性。

关于 OWASP Top 10 for LLM Applications 2025

OWASP Top 10 for Large Language Model Applications 于 2023 年作为一个社区驱动的项目开始，旨在突出和解决特定于 AI 应用程序的安全问题。

随着 LLM 技术在各个行业的不断普及，相关风险也在不断演变。2025 年的列表反映了对现有风险的更新理解，并根据实际应用漏洞引入了关键更新。

本报告显示了您的应用程序如何符合开发和安全操作 LLM 应用程序的关键安全控制。

涵盖的实体

OWASP Top 10 for LLM Applications 为希望安全采用 LLM 应用程序的组织提供指导和教育。

OWASP Top 10 for LLM Applications 2025 报告漏洞

下表列出了 AppScan Enterprise 评估的 OWASP Top 10 for LLM Applications 2025 的具体漏洞。在您的应用程序中发现的漏洞将映射到这些类别。

表 1. 法规部分
ID	名称
LLM01	提示注入
LLM02	敏感信息泄露
LLM03	供应链
LLM04	数据和模型中毒
LLM05	输出处理不当
LLM06	过度代理
LLM07	系统提示泄漏
LLM08	向量和嵌入弱点
LLM09	错误信息
LLM10	无限消费