HCL AppScan® Enterprise 的新功能

本節描述此版本中新的 AppScan Enterprise 產品功能和增強功能,以及相關的棄用和預期變更。

HCL AppScan® Enterprise 的新功能10.10.0

  • 生成式 AI 驅動的錯誤頁面檢測:智慧發現分析 (IFA) 現在運用 Azure OpenAI 來增強動態應用程式安全測試 (DAST) 中的錯誤頁面檢測功能。此整合運用生成式 AI 來確認錯誤並處理邊緣案例,大幅提升準確性、減少誤報並縮短掃描時間。
  • REST API 增強功能:此版本推出了多個新的和增強的 REST API 端點,以改善自動化和整合能力:
    • GET /applications/{appId}/scans:傳回與應用程式 ID 相關聯的所有掃描清單,並提供進階排序選項。
    • POST /jobs/{jobId}/dastconfig/openapi/specification/process:上傳 OpenAPI 描述檔案並擷取額外參數,以簡化基於檔案的掃描組態設定。
    • POST /jobs/{jobId}/dastconfig/openapi/configure:使用 OpenAPI 規範來組態設定 DAST 作業。
    • GET /jobs/{jobId}/dastconfig/additionalParams:擷取 DAST 掃描組態設定的掃描檔案中現有的額外參數清單。
    • GET /issues/v2 增強功能:新的 showFullValues 參數可讓 API 回應顯示註解、位置和描述欄位的完整、未截斷數值。
    • GET /issues/{jobId} 增強功能:此 API 現在支援直接將安全問題詳細資料下載為 PDF 報告,並在回應中包含額外的相關 CWE,以提供更全面的漏洞背景資訊。
  • 合規報告中的修復詳細資料:合規報告現在包含「如何修復」資訊,直接在生成的報告中提供可操作的修復指導。
  • 大型語言模型 (LLM) 問題匯入:AppScan Enterprise 現在支援匯入從 AppScan Standard 10.10.0 或更新版本掃描中識別出的大型語言模型 (LLM) 安全問題。
    Note:
    AppScan Enterprise 不支援 LLM 掃描,即使您在 AppScan Standard 中設定掃描並將其推送至 AppScan Enterprise。掃描會正常執行且不會失敗,但不會掃描 LLM。
  • FIPS 合規加密流量支援:已新增對 AppScan Activity Recorder 和 Traffic Recorder 所生成之 FIPS 合規加密流量檔案的支援。
  • 增強的安全報告(監控頁面):假設應用程式同時具有 SAST 和 DAST 問題,則生成的安全報告中的問題計數(已修復問題、新問題、開放問題、逾期問題、總問題數和進行中工作)現在會基於選定並匯入至特定 DAST 和 SAST 報告中的問題數量。
  • 新的合規報告:
  • 更新的合規報告:
  • 系統和平台支援:
    • 已新增對 Microsoft Windows Server 2025 的官方支援
    • 已新增對 Microsoft OLE DB Driver 18 for SQL Server (MSOLEDBSQL18) 的支援)

IAST 代理程式更新

IAST 代理程式已升級至最新版本:
  • Java:1.21.0
  • .NET:1.15.0
  • Node.js:1.13.0
  • PHP:1.2.0

APAR 修復清單

已修復以下授權程式分析報告 (APAR):

APAR 編號. 說明
KB0123145 修復了組態精靈中不正確的授權檔案路徑。
KB0120549 修復了監控頁面中具有許多問題的應用程式產生報告緩慢的問題。
KB0122105 修復了監控檢視中具有長文字值的應用程式問題詳細資料重疊的問題。
KB0121711 修復了韓語語言下管理頁面上活動記錄畫面空白的問題。
KB0094517 修復了當 LDAP 憑證權限不足時,在 AppScan Enterprise 安裝期間預設設定精靈中出現的錯誤訊息。
KB0111644 修復了當語言設定為日語時,掃描標籤頁上的 PCI 報告未顯示合規詳細資訊的問題。

修復和安全更新

此版本中的新安全規則包括:
  • COOP - 缺少或不安全的跨來源開啟器政策 (COOP) 標頭
  • CORP - 缺少或不安全的跨來源資源政策 (CORP) 標頭
  • COEP - 缺少或不安全的跨來源嵌入器政策 (COEP) 標頭
  • attCSPAPI - CSP 中缺少或不安全的 "frame-ancestors" 指令(用於 API 端點)
  • attApacheOFBizRCECVE202445195 - Apache OFBiz RCE for CVE-2024-45195
  • attApacheOFBizRCECVE202445507 - Apache OFBiz RCE for CVE-2024-45507
  • attSpringFrameworkPathTraversalCVE202438816 - Spring Framework 路徑遍歷 CVE-2024-38816 和 CVE-2024-38819
  • attWordpressPiePluginAuthenticationBypassCVE202534077 - Wordpress Pie Register 認證不足 CVE-2025-34077
  • attWordPressKubioPathTraversalCVE20252294 - Wordpress Kubio AI Page Builder 外掛程式路徑遍歷 CVE-2025-2294
  • 易受攻擊元件資料庫已更新至版本 1.8

此版本的完整修復、更新和 RFE 清單列於此處

此版本中的變更

  • WebSphere® Application Server (WAS) Liberty Core 已升級至版本 25.0.0.9。
  • Chromium 瀏覽器引擎已升級至版本 142.0.7444.59,以納入最新的安全修復。
  • Aspose 程式庫已升級至版本 25.4。

此版本中移除的項目

  • 以下 OpenAPI 端點已過時:
    • POST /jobs/{jobId}/dastconfig/openapi/add
    • POST /jobs/{jobId}/dastconfig/openapi/url/add

即將進行的變更

  • Developer Essentials 和 Vital Few 測試政策現已過時,將在未來版本中移除。我們建議使用建議的替代測試政策