Welcome
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 5：度量进度并获得合规性证明
了解如何度量进度和获得合规性证明。
获得合规性证明
如何获得合规性证明。
行业标准报告
了解行业标准报告。
OWASP Top 10 2025 报告
OWASP Top 10 是一份针对开发人员和 Web 应用程序安全性的标准意识文档。它代表了关于 Web 应用程序面临的最关键安全风险的广泛共识。

欢迎
欢迎使用 HCL AppScan Enterprise 10.11.0 文档，您可以在其中找到有关如何安装、维护和使用 HCL AppScan Enterprise 的信息。
企业的AppScan®无障碍功能
辅助功能选项可帮助残障人士（例如行动不便或视力不佳）顺利使用信息技术内容。
产品概述
正在安装
了解如何安装该产品。
升级和迁移
了解如何对产品进行升级。
集成
了解如何将产品与其他解决方案集成。
DevOps
了解如何通过 REST API 和插件扩展产品。
最佳实践
了解使用产品的最佳做法。
配置
了解如何配置该产品。
管理
了解如何管理该产品。
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。
  - 度量进度
    了解如何跟踪组成产品服务组合的应用程序的各种度量值和趋势。
  - 获得合规性证明
    如何获得合规性证明。
    - 以报告的形式导出问题
      您可以针对问题生成自定义报告（HTML、PDF、Excel 或 XML），并将其发送给开发人员、内部审计员、渗透测试人员、经理和 CISO。AppScan Enterprise 的报告模板可将应用程序安全性数据映射到关键政府法规和行业标准。使用报告记录实现监管合规性目标的进展情况，例如显示与合规性问题相关的应用程序漏洞数量的减少。
    - 限制安全报告的大小
      安全报告可能很大。报告生成期间，可能接收到文件有数百页长或者报告创建过程可能超时的警告消息。请尝试以下提示来减小报告大小。
    - 一致性报告
      了解合规性报告。
    - 行业标准报告
      了解行业标准报告。
      - 国际标准 - ISO 27001:2022 报告
        国际标准 - ISO 27001:2022 合规报告帮助您根据 ISO 27001:2022 信息安全管理体系 (ISMS) 框架评估您的 Web 应用程序的安全性。
      - 国际标准 - ISO 27002:2022 报告
        国际标准 - ISO 27002:2022 合规报告帮助您根据该标准的信息安全指南评估您的网络应用程序的安全性。
      - “NERC 网络安全标准”报告
        此报告显示在您站点上发现的 NERC 网络安全标准问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - NIST Special Publication 800-53 Revision 5.2.0 report
        NIST Special Publication 800-53 Revision 5.2.0 合规报告帮助您评估您的网络应用程序的安全性，以符合美国联邦信息系统所需的安全和隐私控制。
      - OWASP Top 10 2021 报告
        OWASP Top 10 是面向开发者和 Web 应用程序安全性的标准认知文档。它代表了对 Web 应用程序的最关键安全风险的广泛共识。
      - OWASP Top 10 2025 报告
        OWASP Top 10 是一份针对开发人员和 Web 应用程序安全性的标准意识文档。它代表了关于 Web 应用程序面临的最关键安全风险的广泛共识。
      - OWASP API Security Top 10 2019 报告
        对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。
      - 2023 年 OWASP API 安全 10 强报告
        对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。
      - OWASP Cloud-Native Application Security 前 10 名报告
        这OWASP Cloud-Native Application Security Top 10 是一种资源，可识别与云原生应用程序相关的最关键的安全风险。它还详细介绍了组织在保护这些应用程序时面临的挑战，并提供了减轻这些风险的指导。
      - OWASP应用程序安全验证标准报告
        应用程序安全验证标准（ASVS）是一份应用程序安全需求或测试的清单，可以被架构师、开发者、测试人员、安全专业人员、工具供应商和消费者用来定义、构建、测试和验证安全的应用程序。
      - 2024年CWE最危险软件弱点前25名报告
        本报告参考了2024年CWE最危险软件弱点前25名列表。这份由CWE团队发布的列表，基于对国家漏洞数据库（NVD）中的常见漏洞和暴露（CVE®）记录的分析，突出了最严重和最普遍的弱点。此信息反映了2024年名单的整合到AppScan Enterprise中。
      - WASC 威胁分类 V2.0 报告
        该报告会显示站点上找到的 WASC 威胁分类问题。
      - OWASP Top 10 for LLM Applications 2025 报告
        OWASP Top 10 for LLM Applications 2025 行业标准合规报告帮助您评估您的应用程序在大型语言模型 (LLM) 应用程序中针对常见漏洞的安全性。
故障诊断和技术支持
为了帮助您理解、隔离并解决有关 HCL® 软件的问题，故障诊断和技术支持信息中包含了关于使用 HCL 产品随带的问题确定资源的指示信息。
参考
查看该产品的参考信息。
词汇表

OWASP Top 10 2025 报告

OWASP Top 10 是一份针对开发人员和 Web 应用程序安全性的标准意识文档。它代表了关于 Web 应用程序面临的最关键安全风险的广泛共识。

OWASP Top 10 报告旨在向开发人员、设计人员、架构师和管理人员普及最关键的 Web 应用程序安全风险。该报告提供了有关如何缓解这些风险的基本指导。

AppScan Enterprise 版本 10.11.0 及更高版本支持 OWASP Top 10 2025 报告。

从 OWASP Top 10 2021 到 2025 的变化

2025 年的更新引入了一个新类别，合并了以前的漏洞，并调整了类别名称以侧重于根本原因。

表 1. OWASP Top 10 2025 报告中的漏洞
OWASP Top 10 2025 漏洞类别	说明和相较于 OWASP Top 10 2021 的更改
A01 损坏的访问控制	仍然是最关键的安全风险。该类别现在包括服务器端请求伪造 (SSRF)。
A02 安全配置错误 ⇧	从第 5 位上升。这一变化反映了应用程序行为对配置的依赖性日益增加。
A03 软件供应链故障 ⇧	扩展了以前的“易受攻击和过时的组件”类别。它现在包括整个软件依赖生态系统、构建系统和分发基础架构中的妥协。
A04 加密故障 ⇩	从第 2 位下降。这些故障通常会导致敏感数据泄露和系统受损。
A05 注入 ⇩	从第 3 位下降。此类别包括从跨站点脚本到 SQL 注入等漏洞。
A06 不安全的设计 ⇩	从第 4 位下降。这一下降反映了行业在威胁建模和安全设计方面的改进。
A07 身份验证失败	保持第 7 位。名称从“标识和身份验证失败”更新为更好地反映其范围。
A08 软件或数据完整性故障	保持第 8 位。侧重于无法验证软件、代码和数据工件的完整性，以及无法维护信任边界的问题。
A09 安全日志记录和警报故障	保持第 9 位。名称从“安全日志记录和监控故障”更新为强调警报功能的重要性。
A10 异常情况处理不当（新增）	新增加的类别。侧重于错误处理不当、逻辑错误、失败时保持开放以及异常系统情况。
⇧ ⇩ 表示相对于 2021 年报告的位置（A01–A10）变化。