Welcome
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 5：測量進度並展示相符性
進一步瞭解如何測量進度及展示相符性。
展示相符性
進一步瞭解如何示範相符性。
業界標準報告
進一步瞭解業界標準報告。
OWASP Top 10 for LLM Applications 2025 報告
OWASP Top 10 for LLM Applications 2025 行業標準合規報告幫助您評估應用程式在大型語言模型 (LLM) 應用程式中對常見漏洞的安全性。

歡迎
歡迎使用 HCL AppScan Enterprise 10.10.0 文檔，您可以在其中找到有關如何安裝、維護和使用 HCL AppScan Enterprise 的資訊。
企業的AppScan®無障礙功能
協助工具特性可協助有殘障 (例如，行動受限或視力受限) 的使用者順利地使用資訊技術產品。
產品概觀
正在安裝
學習如何安裝產品。
升級與移轉
學習如何升級產品。
整合
學習如何將產品與其他解決方案整合在一起。
DevOps
瞭解如何使用 REST API 和外掛程式來延伸產品。
最佳作法
學習最佳實務，以瞭解如何使用產品。
配置
學習如何配置產品。
管理
學習如何管理產品。
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。
  - 測量進度
    進一步瞭解如何追蹤您組合包含的應用程式的各種度量值和趨勢。
  - 展示相符性
    進一步瞭解如何示範相符性。
    - 將問題匯出成報告
      您可以針對問題產生自訂報告（HTML、PDF、Excel 或 XML），並將其發送給開發人員、內部稽核員、滲透測試人員、經理和 CISO。AppScan Enterprise 中的報告範本會將應用程式安全資料對映到主要政府法規與業界標準。使用報告記錄實現監管合規性目標的進展情況，例如顯示與合規性問題相關的應用程式漏洞數量的減少。
    - 限制安全報告的大小
      安全報告可能會很大。在產生報告期間，您可能會收到檔案長度有數百頁的警告訊息，或是建立報告程序可能逾時。請嘗試下列要訣來減少報告大小。
    - 相符性報告
      進一步瞭解「相符性」報告。
    - 業界標準報告
      進一步瞭解業界標準報告。
      - 國際標準 - ISO 27001:2022 報告
        國際標準 - ISO 27001:2022 合規報告幫助您根據 ISO 27001:2022 信息安全管理系統 (ISMS) 框架評估您的網絡應用程序的安全性。
      - International Standard - ISO 27002:2022 Report
        國際標準 - ISO 27002:2022 合規報告幫助您根據該標準的信息安全指南評估您的網頁應用程式的安全性。
      - NERC 網路安全標準報告
        這份報告顯示在您的網站上找到的「NERC 網路安全標準」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - NIST Special Publication 800-53 Revision 5.2.0 report
        NIST Special Publication 800-53 Revision 5.2.0 合規報告幫助您評估您的網頁應用程式的安全性，對照美國聯邦信息系統所需的安全和隱私控制。
      - OWASP 2121 年前 10 大報告
        OWASP Top 10 是開發人員和 Web 應用程式安全性的標準意識文件。它代表對於 Web 應用程式最重大安全性風險的廣泛共識。
      - OWASP 2019 年前 10 大 API 安全性報告
        API（或稱應用程式介面）對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API，且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要，因此必須發佈 API 安全性的重要性，以及相較於 Web 應用程式的特殊漏洞。OWASP 前 10 大 API 安全性報告可協助開發人員、測試人員和使用者（以及專案經理、安全性研究人員和教育人員）深入瞭解與 API 相關的最嚴重弱點，以及目前的安全性弱點。
      - 2023 年 OWASP API 安全 10 強報告
        API（或稱應用程式介面）對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API，且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要，因此必須發佈 API 安全性的重要性，以及相較於 Web 應用程式的特殊漏洞。
      - OWASP Cloud-Native Application Security 前 10 名報告
        這OWASP Cloud-Native Application Security Top 10 是識別與雲端原生應用程式相關的最關鍵安全風險的資源。它還詳細介紹了組織在保護這些應用程式時面臨的挑戰，並提供了減輕這些風險的指導。
      - OWASP 應用程式安全驗證標準報告
        應用程序安全驗證標準（ASVS）是一份應用程序安全要求或測試的清單，可以被架構師、開發人員、測試人員、安全專業人員、工具供應商和消費者用來定義、建立、測試和驗證安全的應用程序。
      - 2024年CWE最危險的25個軟體弱點報告
        本報告參考了2024年CWE最危險的25個軟體弱點清單。這份由CWE團隊發布的清單，根據對國家漏洞數據庫（NVD）中的常見漏洞和暴露（CVE®）記錄的分析，突出了最嚴重和最普遍的弱點。這些信息反映了2024年名單的整合到AppScan Enterprise中。
      - 「WASC 威脅分類 2.0 版」報告
        這份報告顯示在您網站上找到的 WASC 威脅分類問題。
      - OWASP Top 10 for LLM Applications 2025 報告
        OWASP Top 10 for LLM Applications 2025 行業標準合規報告幫助您評估應用程式在大型語言模型 (LLM) 應用程式中對常見漏洞的安全性。
疑難排解和支援
為了協助您瞭解、隔離及解析您的 HCL® 軟體的問題，疑難排解和支援資訊包含您的 HCL 產品所提供之問題判斷資源的使用指示。
參照
檢閱產品的參照資訊。
名詞解釋

OWASP Top 10 for LLM Applications 2025 報告

OWASP Top 10 for LLM Applications 2025 行業標準合規報告幫助您評估應用程式在大型語言模型 (LLM) 應用程式中對常見漏洞的安全性。

關於 OWASP Top 10 for LLM Applications 2025

OWASP Top 10 for Large Language Model Applications 始於 2023 年，作為一個社區驅動的專案，旨在突出和解決特定於 AI 應用程式的安全問題。

隨著 LLM 技術在各行業的持續擴展，相關風險也在演變。2025 年的清單反映了對現有風險的更新理解，並根據實際應用程式漏洞引入了關鍵更新。

此報告顯示您的應用程式如何符合開發和安全運行 LLM 應用程式的關鍵安全控制。

涵蓋的實體

OWASP Top 10 for LLM Applications 為希望安全採用 LLM 應用程式的組織提供指導和教育。

OWASP Top 10 for LLM Applications 2025 報告漏洞

下表列出了 AppScan Enterprise 評估的特定 OWASP Top 10 for LLM Applications 2025 漏洞。在您的應用程式中發現的漏洞將映射到這些類別。

表 1. 法規的部分
ID	名稱
LLM01	Prompt Injection
LLM02	Sensitive Information Disclosure
LLM03	Supply Chain
LLM04	Data and Model Poisoning
LLM05	不當輸出處理
LLM06	Excessive Agency
LLM07	System Prompt Leakage
LLM08	Vector and Embedding Weaknesses
LLM09	錯誤信息
LLM10	無限制消費