Welcome
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 5：測量進度並展示相符性
進一步瞭解如何測量進度及展示相符性。
展示相符性
進一步瞭解如何示範相符性。
業界標準報告
進一步瞭解業界標準報告。
OWASP Top 10 2025 報告
OWASP Top 10 是開發人員和 Web 應用程式安全性的標準意識文件。它代表了關於 Web 應用程式面臨的最關鍵安全風險的廣泛共識。

歡迎
歡迎使用 HCL AppScan Enterprise 10.11.0 文檔，您可以在其中找到有關如何安裝、維護和使用 HCL AppScan Enterprise 的資訊。
企業的AppScan®無障礙功能
協助工具特性可協助有殘障 (例如，行動受限或視力受限) 的使用者順利地使用資訊技術產品。
產品概觀
正在安裝
學習如何安裝產品。
升級與移轉
學習如何升級產品。
整合
學習如何將產品與其他解決方案整合在一起。
DevOps
瞭解如何使用 REST API 和外掛程式來延伸產品。
最佳作法
學習最佳實務，以瞭解如何使用產品。
配置
學習如何配置產品。
管理
學習如何管理產品。
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。
  - 測量進度
    進一步瞭解如何追蹤您組合包含的應用程式的各種度量值和趨勢。
  - 展示相符性
    進一步瞭解如何示範相符性。
    - 將問題匯出成報告
      您可以針對問題產生自訂報告（HTML、PDF、Excel 或 XML），並將其發送給開發人員、內部稽核員、滲透測試人員、經理和 CISO。AppScan Enterprise 中的報告範本會將應用程式安全資料對映到主要政府法規與業界標準。使用報告記錄實現監管合規性目標的進展情況，例如顯示與合規性問題相關的應用程式漏洞數量的減少。
    - 限制安全報告的大小
      安全報告可能會很大。在產生報告期間，您可能會收到檔案長度有數百頁的警告訊息，或是建立報告程序可能逾時。請嘗試下列要訣來減少報告大小。
    - 相符性報告
      進一步瞭解「相符性」報告。
    - 業界標準報告
      進一步瞭解業界標準報告。
      - 國際標準 - ISO 27001:2022 報告
        國際標準 - ISO 27001:2022 合規報告幫助您根據 ISO 27001:2022 信息安全管理系統 (ISMS) 框架評估您的網絡應用程序的安全性。
      - International Standard - ISO 27002:2022 Report
        國際標準 - ISO 27002:2022 合規報告幫助您根據該標準的信息安全指南評估您的網頁應用程式的安全性。
      - NERC 網路安全標準報告
        這份報告顯示在您的網站上找到的「NERC 網路安全標準」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - NIST Special Publication 800-53 Revision 5.2.0 report
        NIST Special Publication 800-53 Revision 5.2.0 合規報告幫助您評估您的網頁應用程式的安全性，對照美國聯邦信息系統所需的安全和隱私控制。
      - OWASP 2021 年前 10 大報告
        OWASP Top 10 是開發人員和 Web 應用程式安全性的標準意識文件。它代表對於 Web 應用程式最重大安全性風險的廣泛共識。
      - OWASP Top 10 2025 報告
        OWASP Top 10 是開發人員和 Web 應用程式安全性的標準意識文件。它代表了關於 Web 應用程式面臨的最關鍵安全風險的廣泛共識。
      - OWASP 2019 年前 10 大 API 安全性報告
        API（或稱應用程式介面）對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API，且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要，因此必須發佈 API 安全性的重要性，以及相較於 Web 應用程式的特殊漏洞。OWASP 前 10 大 API 安全性報告可協助開發人員、測試人員和使用者（以及專案經理、安全性研究人員和教育人員）深入瞭解與 API 相關的最嚴重弱點，以及目前的安全性弱點。
      - 2023 年 OWASP API 安全 10 強報告
        API（或稱應用程式介面）對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API，且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要，因此必須發佈 API 安全性的重要性，以及相較於 Web 應用程式的特殊漏洞。
      - OWASP Cloud-Native Application Security 前 10 名報告
        這OWASP Cloud-Native Application Security Top 10 是識別與雲端原生應用程式相關的最關鍵安全風險的資源。它還詳細介紹了組織在保護這些應用程式時面臨的挑戰，並提供了減輕這些風險的指導。
      - OWASP 應用程式安全驗證標準報告
        應用程序安全驗證標準（ASVS）是一份應用程序安全要求或測試的清單，可以被架構師、開發人員、測試人員、安全專業人員、工具供應商和消費者用來定義、建立、測試和驗證安全的應用程序。
      - 2024年CWE最危險的25個軟體弱點報告
        本報告參考了2024年CWE最危險的25個軟體弱點清單。這份由CWE團隊發布的清單，根據對國家漏洞數據庫（NVD）中的常見漏洞和暴露（CVE®）記錄的分析，突出了最嚴重和最普遍的弱點。這些信息反映了2024年名單的整合到AppScan Enterprise中。
      - 「WASC 威脅分類 2.0 版」報告
        這份報告顯示在您網站上找到的 WASC 威脅分類問題。
      - OWASP Top 10 for LLM Applications 2025 報告
        OWASP Top 10 for LLM Applications 2025 行業標準合規報告幫助您評估應用程式在大型語言模型 (LLM) 應用程式中對常見漏洞的安全性。
疑難排解和支援
為了協助您瞭解、隔離及解析您的 HCL® 軟體的問題，疑難排解和支援資訊包含您的 HCL 產品所提供之問題判斷資源的使用指示。
參照
檢閱產品的參照資訊。
名詞解釋

OWASP Top 10 2025 報告

OWASP Top 10 是開發人員和 Web 應用程式安全性的標準意識文件。它代表了關於 Web 應用程式面臨的最關鍵安全風險的廣泛共識。

OWASP Top 10 報告旨在向開發人員、設計人員、架構師和管理人員傳授最關鍵的 Web 應用程式安全風險。該報告提供了有關如何緩解這些風險的基本指南。

AppScan Enterprise 版本 10.11.0 及更高版本支援 OWASP Top 10 2025 報告。

從 OWASP Top 10 2021 到 2025 的變更

2025 年的更新引入了一個新類別，合併了以前的漏洞，並調整了類別名稱以專注於根本原因。

表 1. OWASP Top 10 2025 報告中的漏洞
OWASP Top 10 2025 漏洞類別	說明和相較於 OWASP Top 10 2021 的變更
A01 損壞的存取控制	仍然是最關鍵的安全風險。該類別現在包含伺服器端請求偽造 (SSRF)。
A02 安全設定錯誤 ⇧	從第 5 位上升。這項變更反映了應用程式行為對設定的依賴性日益增加。
A03 軟體供應鏈故障 ⇧	擴展了以前的「易受攻擊和過時的元件」類別。它現在包括整個軟體相依生態系統、建置系統和分散式基礎架構中的妥協。
A04 加密故障 ⇩	從第 2 位下降。這些故障通常會導致敏感資料外洩和系統受損。
A05 注入 ⇩	從第 3 位下降。此類別包括從跨網站指令碼到 SQL 注入等漏洞。
A06 不安全的設計 ⇩	從第 4 位下降。這項下降反映了業界在威脅建模和安全設計方面的改進。
A07 身份驗證失敗	維持第 7 位。名稱從「識別和身份驗證失敗」更新為更好地反映其範圍。
A08 軟體或資料完整性故障	維持第 8 位。專注於無法驗證軟體、程式碼和資料工件的完整性，以及無法維護信任邊界的問題。
A09 安全日誌記錄和警報故障	維持第 9 位。名稱從「安全日誌記錄和監控故障」更新為強調警報功能的重要性。
A10 異常情況處理不當 (新增)	新增的類別。專注於錯誤處理不當、邏輯錯誤、失敗時保持開放以及異常系統情況。
⇧ ⇩ 表示相對於 2021 年報告的位置（A01–A10）變更。