HCL AppScan® Enterprise 的新功能

本节描述了此版本中新的 AppScan Enterprise 产品功能和增强功能,以及相关的弃用和预期更改。

HCL AppScan® Enterprise 的新功能10.10.0

  • 生成式 AI 驱动的错误页面检测:智能发现分析 (IFA) 现在利用 Azure OpenAI 来增强动态应用程序安全测试 (DAST) 中的错误页面检测。此集成使用生成式 AI 来确认错误并处理边缘情况,显著提高准确性,减少误报,并缩短扫描时间。
  • REST API 增强功能:此版本引入了多个新的和增强的 REST API 端点,以改进自动化和集成:
    • GET /applications/{appId}/scans:返回与应用程序 ID 关联的所有扫描列表,具有高级排序选项。
    • POST /jobs/{jobId}/dastconfig/openapi/specification/process:上传 OpenAPI 描述文件并提取附加参数以简化基于文件的扫描配置。
    • POST /jobs/{jobId}/dastconfig/openapi/configure:使用 OpenAPI 规范配置 DAST 作业。
    • GET /jobs/{jobId}/dastconfig/additionalParams:检索 DAST 扫描配置的扫描文件中存在的附加参数列表。
    • GET /issues/v2 增强功能:新的 showFullValues 参数允许 API 响应显示注释、位置和描述字段的完整、非截断值。
    • GET /issues/{jobId} 增强功能:此 API 现在支持直接将安全问题详情下载为 PDF 报告,并在响应中包含额外的相关 CWE,以提供更全面的漏洞上下文信息。
  • 合规报告中的修复详情:合规报告现在包含"如何修复"信息,直接在生成的报告中提供可操作的修复指导。
  • 大语言模型 (LLM) 问题导入:AppScan Enterprise 现在支持导入从 AppScan Standard 10.10.0 或更高版本扫描中识别的大语言模型 (LLM) 安全问题。
    Note:
    AppScan Enterprise 不支持 LLM 扫描,即使您在 AppScan Standard 中配置扫描并将其推送到 AppScan Enterprise。扫描将正常运行而不会失败,但不会对 LLM 进行扫描。
  • FIPS 合规加密流量支持:已添加对从 AppScan Activity Recorder 和 Traffic Recorder 生成的 FIPS 合规加密流量文件的支持。
  • 增强的安全报告(监控页面):假设某个应用程序同时存在 SAST 和 DAST 问题。在这种情况下,生成的安全报告中的问题计数(已修复问题、新问题、开放问题、逾期问题、总问题数和进行中工作)现在基于选择并导入到特定 DAST 和 SAST 报告中的问题数量。
  • 新增合规报告:
  • 更新的合规报告:
  • 系统和平台支持:
    • 已添加对 Microsoft Windows Server 2025 的官方支持
    • 已添加对 Microsoft OLE DB Driver 18 for SQL Server (MSOLEDBSQL18) 的支持)

IAST 代理更新

IAST 代理已升级到最新版本:
  • Java: 1.21.0
  • .NET: 1.15.0
  • Node.js: 1.13.0
  • PHP: 1.2.0

APAR 修复列表

以下授权程序分析报告 (APAR) 已修复:

APAR 编号. 描述
KB0123145 修复了配置向导中不正确的许可证文件路径。
KB0120549 修复了监控页面中具有许多问题的应用程序生成报告缓慢的问题。
KB0122105 修复了监控视图中具有长文本值的应用程序的问题详细信息重叠的问题。
KB0121711 修复了韩语语言下管理页面上活动日志屏幕空白的问题。
KB0111644 修复了在 LDAP 凭据权限不足时,AppScan Enterprise 安装期间默认设置向导中出现的错误消息。
KB0094517 修复了当语言设置为日语时,扫描选项卡上的PCI报告不显示合规性详细信息的问题。

修复和安全更新

此版本中的新安全规则包括:
  • COOP - 缺失或不安全的跨源开启策略(COOP)标头
  • CORP - 缺失或不安全的跨源资源策略(CORP)标头
  • COEP - 缺失或不安全的跨源嵌入策略(COEP)标头
  • attCSPAPI - CSP中缺失或不安全的"frame-ancestors"指令(用于API端点)
  • attApacheOFBizRCECVE202445195 - Apache OFBiz远程代码执行漏洞CVE-2024-45195
  • attApacheOFBizRCECVE202445507 - Apache OFBiz远程代码执行漏洞CVE-2024-45507
  • attSpringFrameworkPathTraversalCVE202438816 - Spring Framework路径遍历漏洞CVE-2024-38816和CVE-2024-38819
  • attWordpressPiePluginAuthenticationBypassCVE202534077 - WordPress Pie Register认证不足漏洞CVE-2025-34077
  • attWordPressKubioPathTraversalCVE20252294 - WordPress Kubio AI页面构建器插件路径遍历漏洞CVE-2025-2294
  • 易受攻击组件数据库已更新至版本1.8

此版本的完整修复、更新和RFE列表在此处列出。

此版本中的更改

  • WebSphere® Application Server (WAS) Liberty Core已升级至版本25.0.0.9。
  • Chromium浏览器引擎已升级至版本142.0.7444.59,以整合最新的安全修复。
  • Aspose库已升级至版本25.4。

此版本中移除的内容

  • 以下 OpenAPI 端点已弃用:
    • POST /jobs/{jobId}/dastconfig/openapi/add
    • POST /jobs/{jobId}/dastconfig/openapi/url/add

即将到来的变更

  • Developer Essentials 和 Vital Few 测试策略现已过时,将在未来版本中移除。我们建议使用推荐的替代测试策略