HCL AppScan® Enterprise 中的新功能

本节介绍此版本中新的 AppScan Enterprise 产品功能和增强功能,以及相关弃用和预期更改。

HCL AppScan® Enterprise 中的新功能

注:
10.6.0 及更早版本已停止支持,因此我们将其从文档中移除。

HCL AppScan® Enterprise 10.11.0 中的新功能

  • 损坏的访问控制:您现在可以通过上传流量文件进行比较,更轻松地识别损坏的访问控制漏洞。这项新功能专门通过 REST API 端点提供:POST /jobs/{jobId}/brokenaccesscontrol/add
  • CVSS 显示更新:对于新报告的漏洞,将显示 CVSS 4.0 向量和评分。但是,问题严重性继续基于 CVSS 3.1 标准进行计算。
  • DAST-IFA - 错误页面检测:DAST-IFA 错误页面检测现在支持 Azure OpenAI 5.x 模型。
  • IPv6 支持:AppScan Enterprise 现在支持现代的支持 IPv6 的网络基础架构。有关更多信息,请参阅知识库文章
  • 后量子加密安全检查:AppScan 现在会标记不符合后量子安全标准的旧加密协议,使团队能够在这些技术构成威胁之前主动迁移到抗量子加密。
  • OpenAPI 可见性:当发现 Swagger 或 OpenAPI 定义文件以确保 API 可见性时,现在会引发信息警报。
  • 自动登录改进:自动登录功能已得到改进,包括对 Vue.js 框架的新支持。
  • 新的合规性报告:添加了 OWASP Top 10 2025 报告。
  • 活动日志增强:活动日志已得到增强,以包含有关“修改”操作的详细信息。
  • 系统日志记录改进:整个 Security Updater 模块、配置向导和报告生成流程中的日志记录都得到了增强,可提供详细的错误和流程日志,以便更轻松地进行调试。
  • 许可证验证:AppScan 现在包括日期有效性检查,以确保您的至少一项许可证授权在当前日期(而不是未来日期)处于活动状态。
  • CVSS 3.1 向量增强:除现有的基本和时间指标外,CVSS 3.1 向量现在还包括环境指标。您可以在“监视器”选项卡(包括问题视图对话框)以及生成的安全性、行业标准和法规遵从性报告中查看完整的 CVSS 3.1 向量信息。也可以通过以下 REST API 端点访问此信息:
    • GET /issues/{issueId}/application/{appId}
    • POST /issues/reports/securitydetails
    • POST /issues/reports/industrystandard
    • POST /issues/reports/regulatorycompliance

IAST 代理更新

IAST 代理已升级到以下版本:
  • Java: 1.22.1
  • .NET: 1.16.0
  • Node.js: 1.14.2
  • PHP: 1.2.2

APAR 修复列表

修复了以下授权程序分析报告 (APAR):

APAR 编号 描述
KB0127901 修复了从 AppScan Standard 导入的问题的请求和响应内容显示未格式化的问题。
KB0093026 解决了安全报告和问题视图对话框中缺少用户定义问题类型的“如何修复”或建议信息的问题。
KB0094972 修复了如果“监视器”选项卡包含用户定义的测试,则无法从中导出问题或报告的问题。
KB0128370 解决了 AppScan Enterprise 和 AppScan Standard 报告之间同一易受攻击组件问题的推理文本不同的差异。
KB0128321 修复了通过 API 使用“columns”参数获取作业 ID 的问题详细信息时发生的错误。
KB0129448 解决了旧版 /ase/services/login API 的有效登录尝试失败的问题。
KB0128692 修复了扫描作业在启动后不久停止并返回“未将对象引用设置到对象的实例”错误的问题。

修复和安全更新

此版本中的新安全规则包括:

  • attWallosRCECVE202455371 - Wallos RCE CVE-2024-55371 和 CVE-2024-55372
  • attAPIOpenAPIFinding - 检测 OpenAPI/Swagger 端点的新规则
  • attJSONPathPlusRCECVE20251032 - CVE-2025-1032 的 JSONPath-Plus 远程代码执行
  • attNestRCECVE202554782 - Nest Framework for Node.js RCE CVE-2025-54782
  • NonQuantumResistantCiphers - "检测到非抗量子加密套件"
  • attWordPressFunnelKitAutomationplugincve20251562 - WordPress FunnelKit Automations 插件 cve-2025-1562
  • attGetSimpleCMSRCECVE202548492 - GetSimple CMS RCE CVE-2025-48492
  • FlaskWeakSecretKey - "Flask 弱密钥"
  • ExpressJsWeakSecretKey - "Express.js 弱会话密钥"
  • DjangoWeakSecretKey - "Django 弱密钥"
  • ViewStateWeakSecretKey - "ASP.NET ViewState 弱密钥"
  • LaravelWeakSecretKey - "Laravel (PHP) 弱密钥"
  • SymfonyWeakSecretKey - "Symfony (PHP) UriSigner 弱密钥"
  • attElysiaCVE202566456 - Elysia RCE CVE-2025-66456
  • 易受攻击组件数据库已更新至版本 1.10

此版本的完整修复、更新和 RFE 列表列在此处

此版本中的更改

  • Chromium 浏览器引擎已升级至版本 145.0.7632.45,以整合最新的安全修复。
  • 可访问性:进行了持续的增强以提高整体产品的可访问性。

此版本中已移除

  • Web 服务测试策略已移除。

即将到来的更改

  • 终止支持 (EOS):AppScan Enterprise 版本 10.7.0 将于 2027 年 3 月 31 日终止支持。请升级到最新可用版本。有关更多信息,请参阅公告博客文章
  • Developer Essentials 和 Vital Few 测试策略现在已过时,将在即将发布的版本中移除。建议使用建议的替代测试策略
  • 在将来的版本中将放弃对 GPT-4.x 模型的支持,因为 Azure OpenAI 正在淘汰这些模型。
  • 对 SSL 的支持将在未来的版本中被弃用。
  • 对在域 URL 中使用 IP 地址的支持将在将来的版本中移除。