HCL AppScan® Enterprise 中的新功能

本節說明此版本中新的 AppScan Enterprise 產品功能與增強功能,以及相關的淘汰與預期變更。

HCL AppScan® Enterprise 中的新功能

註:
10.6.0 及更早版本已停止支援,因此我們將其從說明文件中移除。

HCL AppScan® Enterprise 10.11.0 中的新功能

  • 損壞的存取控制:您現在可以透過上傳流量檔案進行比較,更輕鬆地識別損壞的存取控制漏洞。這項新功能專門透過 REST API 端點提供:POST /jobs/{jobId}/brokenaccesscontrol/add
  • CVSS 顯示更新:對於新報告的漏洞,將顯示 CVSS 4.0 向量和評分。但是,問題嚴重性將繼續根據 CVSS 3.1 標準進行計算。
  • DAST-IFA - 錯誤頁面偵測:DAST-IFA 錯誤頁面偵測現在支援 Azure OpenAI 5.x 模型。
  • IPv6 支援:AppScan Enterprise 現在支援現代的 支援 IPv6 的網路基礎架構。如需詳細資訊,請參閱知識庫文章
  • 後量子加密安全檢查:AppScan 現在會標記不符合後量子安全標準的舊有加密協定,讓團隊能夠在這些技術構成威脅之前主動移轉至抗量子加密。
  • OpenAPI 可見性:當發現 Swagger 或 OpenAPI 定義檔案以確保 API 可見性時,現在會引發資訊警示。
  • 自動登入改善:自動登入功能已獲得改善,包含對 Vue.js 框架的全新支援。
  • 新的合規性報告:已新增 OWASP Top 10 2025 報告。
  • 活動日誌增強:活動日誌已獲得增強,以包含有關「修改」動作的詳細資訊。
  • 系統日誌記錄改善:整個 Security Updater 模組、配置精靈和報告生成流程中的日誌記錄皆獲得了增強,可提供詳細的錯誤和流程日誌,以便更輕鬆地進行除錯。
  • 授權驗證:AppScan 現在包含日期有效性檢查,以確保您的至少一項授權權利在當前日期 (而非未來日期) 處於活動狀態。
  • CVSS 3.1 向量增強:除了現有的基本和時間指標外,CVSS 3.1 向量現在還包含環境指標。您可以在「監視器」標籤 (包含問題視圖對話框) 以及生成的安全性、行業標準和法規遵從性報告中查看完整的 CVSS 3.1 向量資訊。也可以透過以下 REST API 端點存取此資訊:
    • GET /issues/{issueId}/application/{appId}
    • POST /issues/reports/securitydetails
    • POST /issues/reports/industrystandard
    • POST /issues/reports/regulatorycompliance

IAST 代理程式更新

IAST 代理程式已升級至以下版本:
  • Java: 1.22.1
  • .NET: 1.16.0
  • Node.js: 1.14.2
  • PHP: 1.2.2

APAR 修正清單

修正了以下授權程式分析報告 (APAR):

APAR 編號 描述
KB0127901 修正了從 AppScan Standard 匯入的問題,其請求和回應內容顯示未格式化的問題。
KB0093026 解決了安全報告和問題視圖對話框中缺少使用者定義問題類型的「如何修正」或建議資訊的問題。
KB0094972 修正了如果「監視器」標籤包含使用者定義的測試,則無法從中匯出問題或報告的問題。
KB0128370 解決了 AppScan Enterprise 和 AppScan Standard 報告之間同一易受攻擊組件問題的推理文字不同的差異。
KB0128321 修正了透過 API 使用 "columns" 參數獲取工作 ID 的問題詳細資訊時發生的錯誤。
KB0129448 解決了舊版 /ase/services/login API 的有效登入嘗試失敗的問題。
KB0128692 修正了掃描工作在啟動後不久停止並返回「未將物件參考設定為物件的執行個體」錯誤的問題。

修正與安全更新

此版本中的新安全規則包含:

  • attWallosRCECVE202455371 - Wallos RCE CVE-2024-55371 和 CVE-2024-55372
  • attAPIOpenAPIFinding - 偵測 OpenAPI/Swagger 端點的新規則
  • attJSONPathPlusRCECVE20251032 - CVE-2025-1032 的 JSONPath-Plus 遠端程式碼執行
  • attNestRCECVE202554782 - Nest Framework for Node.js RCE CVE-2025-54782
  • NonQuantumResistantCiphers - "偵測到非抗量子加密套件"
  • attWordPressFunnelKitAutomationplugincve20251562 - WordPress FunnelKit Automations 外掛程式 cve-2025-1562
  • attGetSimpleCMSRCECVE202548492 - GetSimple CMS RCE CVE-2025-48492
  • FlaskWeakSecretKey - "Flask 弱密鑰"
  • ExpressJsWeakSecretKey - "Express.js 弱會話密鑰"
  • DjangoWeakSecretKey - "Django 弱密鑰"
  • ViewStateWeakSecretKey - "ASP.NET ViewState 弱密鑰"
  • LaravelWeakSecretKey - "Laravel (PHP) 弱密鑰"
  • SymfonyWeakSecretKey - "Symfony (PHP) UriSigner 弱密鑰"
  • attElysiaCVE202566456 - Elysia RCE CVE-2025-66456
  • 易受攻擊的組件資料庫已更新至版本 1.10

此版本的完整修正、更新和 RFE 清單列於此處

此版本中的變更

  • Chromium 瀏覽器引擎已升級至版本 145.0.7632.45,以整合最新的安全修正。
  • 無障礙功能:進行了持續的增強以提高整體產品的無障礙程度。

此版本中已移除

  • Web 服務測試原則已移除。

即將發生的變更

  • 終止支援 (EOS):AppScan Enterprise 版本 10.7.0 將於 2027 年 3 月 31 日終止支援。請升級至最新可用版本。如需詳細資訊,請參閱公告部落格文章
  • Developer Essentials 和 Vital Few 測試原則現在已過時,將在即將發布的版本中移除。建議使用建議的替代測試原則
  • 在未來的版本中將放棄對 GPT-4.x 模型的支援,因為 Azure OpenAI 正在淘汰這些模型。
  • 對 SSL 的支援將在未來的版本中被棄用。
  • 對在網域 URL 中使用 IP 位址的支援將在未來的版本中移除。