Nouveautés

Cette section présente les dernières fonctionnalités, améliorations, correctifs, modifications importantes à venir ainsi que les dépréciations sur les versions récentes de AppScan Standard. Restez informé des avancées qui vous aident à maintenir une position de sécurité solide.

Nouveautés dans HCL AppScan Standard

Nouveautés dans HCL AppScan Standard 10.10.0

Novembre 2025

  • Scanner DAST LLM : Expose les faiblesses du LLM avant que les attaquants ne s'en chargent ! Protégez vos grands modèles linguistiques (LLMS) avec les tests dynamiques de sécurité des applications (DAST) d'AppScan, spécialement conçus pour identifier les vulnérabilités critiques telles que la divulgation d'informations sensibles, l'injection d'invite, les informations erronées, etc.
  • Scripts personnalisés : Les améliorations apportées à l'éditeur incluent des fonctions de saisie semi-automatique améliorées. Ces améliorations fournissent des méthodes et des types JavaScript supplémentaires, ainsi que davantage de déclencheurs d'activation, tels que le démarrage d'un nouveau mot ou la saisie d'un point (« . »).
  • Améliorations en plusieurs étapes : L'interface utilisateur a été repensée pour offrir une expérience utilisateur améliorée. Options de résolution des problèmes ajoutées pour afficher les requêtes relues (données brutes et navigateur) et comparer les requêtes enregistrées et relues, disponibles uniquement après la validation de la séquence.
  • Rapports de conformité
    • Nouveaux rapports :
      • Top 10 OWASP pour les applications LLM 2025
      • [Canada] - Rapport sur les normes de l'industrie ITSG-33
    • Rapports mis à jour :
      • Norme internationale - ISO 27001:2022
      • Norme internationale - ISO 27002:2022
      • The Payment Card Industry Data Security Standard (PCI DSS) – V4.0.1
      • Publication spéciale NIST 800-53 - 5.2.0
      • [UE] Réglementation 2016/679 du Parlement européen et du comité (RGPD)
      • [US] Healthcare Services (HIPAA)
    • Les rapports de conformité incluent désormais les détails des recommandations de corrections.
  • Améliorations du masquage : Masquage amélioré sur AppScan pour une protection plus cohérente des informations sensibles.
  • Améliorations de la connexion automatique : AppScan analyse désormais les applications Angular de manière plus fiable, corrige les rares échecs d'enregistrement de connexion et ajoute un délai entre les actions lors de la deuxième tentative après un échec de lecture, améliorant ainsi le taux de réussite global.
  • Amélioration de la prise en charge des analyses SPA (Single Page Applications) qui utilisent la structure AngularJS.

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :

  • COOP - En-tête COOP (Stratégie d'ouvreur d'origine croisée) manquant ou non sécurisé
  • CORP - En-tête CORP (Stratégie de ressource d'origine croisée) manquant ou non sécurisé
  • COEP - En-tête COEP (Stratégie d'intégrateur d'origine croisée) manquant ou non sécurisé
  • attCSPAPI - Directive « frame-ancestors » manquante ou non sécurisée dans CSP (pour les nœuds finaux API)
  • attApacheOFBizRCECVE202445195 - Apache OFBiz RCE pour CVE-2024-45195
  • attApacheOFBizRCECVE202445507 - Apache OFBiz RCE pour CVE-2024-45507
  • attSpringFrameworkPathTraversalCVE202438816 - Traversée de répertoires Spring Framework CVE-2024-38816 et CVE-2024-38819
  • attWordpressPiePluginAuthenticationBypassCVE202534077 - Authentification insuffisante pour Wordpress Pie Register CVE-2025-34077
  • attWordPressKubioPathTraversalCVE20252294 - Traversée de répertoires dans le plug-in Wordpress Kubio AI Page Builder CVE-2025-2294
  • Base de données des composants vulnérables mise à jour vers la version 1.8

Pour obtenir la liste complète des correctifs, des règles de sécurité nouvelles et mises à jour et des RFE dans cette version, reportez-vous à la Liste de correctifs AppScan Standard.

Modifié dans cette édition

  • La configuration de l'IA a été déplacée de Options de test vers Outils > Options > Paramètres IA.
  • Pour améliorer la sécurité, les configurations suivantes sont supprimées :
  • L'enregistrement de la connexion et de l'enregistrement en plusieurs étapes avec un navigateur externe prend désormais en charge l'enregistrement basé sur les actions.
  • AppScan connect : Les utilisateurs de l'ASOC peuvent désormais publier les problèmes avec le fichier de numérisation dans l'ASOC, ce qui permet de relancer l'exemen au lieu d'en créer un nouveau, et donc d'économiser du temps et des ressources.
  • La limite d'URL est passée de 1 024 caractères à 4096.
  • L'extension de l'assistant d'API Web (OpenAPI) a été supprimée.
  • A partir du 30 juin 2025, les versions AppScan Standard 10.6.0 et antérieures cesseront d'être prises en charge (EOS). La documentation de ces versions n'est plus disponible sur le site de documentation public.
  • La prise en charge de Microsoft® Windows® 10 a été supprimée.
  • Prise en charge de Windows 2025.

Modification à venir

  • Le composant de rapport sera uniquement disponible au niveau du produit (UI/AppScanCMD) et non au niveau du SDK.

Nouveautés dans HCL AppScan Standard 10.9.0

Juillet 2025

Attention : Une nouvelle version d'HCL AppScan Standard 10.9.1 est disponible. Cette mise à jour inclut des correctifs de sécurité pour plusieurs vulnérabilités de Chromium, ainsi que d'autres améliorations. Il est recommandé de mettre à niveau vers cette version. Pour plus d'informations, reportez-vous à la Liste de correctifs et à la documentation 10.9.0.

Juin 2025

  • Scripts personnalisés améliorés avec les mises à jour suivantes :
    • Éditeur de code : Vérification de la syntaxe et fonctions de saisie semi-automatique améliorées pour une meilleure convivialité.
    • Opérations en plusieurs étapes : Ajout de la prise en charge de l'ajustement dynamique des paramètres à l'aide de scripts personnalisés.
    • Paramètres de remplissage dynamique : Ajout de la prise en charge des paramètres dynamiques dans les outils de remplissage de formulaires.
  • Prise en charge du protocole WebSocket qui utilise des messages JSON ou XML pour l'échange de données.
  • Mises à jour des rapports de conformité :
    • [US] DISA's Application Security and Development STIG V6R3
    • Rapport CWE : Les 25 vulnérabilités logicielles les plus dangereuses en 2024
  • Améliorations de la connexion automatique : AppScan peut désormais effectuer des connexions automatiques avec plus de précision, ce qui améliore le taux de réussite global.
  • AppScan Unit-level DAST Intelligence Tester (AUDIT) : Une approche DAST axée sur les développeurs permet aux développeurs d'exécuter efficacement des examens ciblés sur des nœuds finaux spécifiques et de détecter les vulnérabilités dès le début du cycle de vie du développement logiciel (SDLC), en s'intégrant de manière transparente à leur IDE. Pour plus d'informations, voir l'article AppScan Unit-level DAST Intelligence Tester (AUDIT).
Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :

  • attWordpressGalleryPluginPathTraversalCVE20233279 - Traversée de répertoires du plug-in WordPress Gallery CVE-2023-3279
  • attWordPressBackupMigrationplugincve20235737 - Problème d'accès dans le plug-in WordPress Backup and Migration CVE-2023-5737
  • attMobileMouseRCECVE202331902 - Exécution de commande à distance de Mobile Mouse CVE-2023-31902
  • attOpenWireApacheServerRCECVE202346604 - OpenWire Apache Server RCE pour CVE-2023-46604
  • attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE pour CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
  • attLMSBlindSqlInjectionTimeoutCVE20248529 - Injection SQL dans le plug-in WordPress LearnPress CVE-2024-8529
  • attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE pour CVE-2024-56278
  • JwtWeakSecretKey : détecte les clés secrètes JWT faibles
  • Base de données des composants vulnérables mise à jour vers la version 1.7

Pour obtenir la liste complète des correctifs, des règles de sécurité nouvelles et mises à jour et des RFE dans cette version, reportez-vous à la Liste de correctifs AppScan Standard.

Modifié dans cette édition
Accessibilité: améliorations significatives pour améliorer l'accessibilité de notre produit. Les principales mises à jour comprennent :
  • Navigation au clavier : Fonctionnalité améliorée pour faciliter la navigation à l'aide des raccourcis clavier et du clavier.
  • Prise en charge du lecteur d'écran : Compatibilité améliorée pour garantir l'accès aux éléments de l'interface utilisateur.
  • Contraste des couleurs : Rapports de contraste accrus pour une meilleure visibilité.
  • Taille de la police : Accessibilité améliorée avec possibilité de zoomer jusqu'à 200 % maximum.
  • Une évaluation VPAT complète a été réalisée pour documenter la conformité aux normes d'accessibilité telles que la Section 508 et WCAG. Pour plus d'informations, voir Accessibilité.

Modification à venir

  • Dès le mois de juin 2025, les versions AppScan Standard 10.6.0 et antérieures cesseront d’être prises en charge. Installez la dernière version du produit avant cette date.
  • La prise en charge de Microsoft® Windows® 10 et Microsoft® Windows® Server 2019 sera supprimée dans une future version d'AppScan, car ils ont atteint la fin de leur période de support principale.
  • L'extension Assistant de l'API Web (OpenAPI) sera supprimée dans une future version d'AppScan.
  • Le composant de rapport sera uniquement disponible au niveau du produit (UI/AppScanCMD) et non au niveau du SDK.

Nouveautés dans HCL AppScan Standard 10.8.0

Avril 2025

Attention : Une nouvelle version d'HCL AppScan Standard 10.8.1 est disponible. Cette mise à jour inclut des correctifs pour la vulnérabilité « zero day » CVE-2025-2783, ainsi que d'autres améliorations. Il est recommandé de mettre à niveau vers cette version. Pour plus d'informations, reportez-vous à la Liste de correctifs et à la documentation 10.8.0, car il n'existe aucune nouvelle mise à jour de la documentation pour 10.8.1.

Février 2025

  • Mise à jour automatique : nouvelle fonction permettant d'appliquer automatiquement de nouvelles mises à jour à AppScan en configurant la clé API pour se connecter à My HCLSoftware (MHS). Pour plus d'informations, voir Mises à jour automatiques.
  • Scripts personnalisés : ajoutez un comportement dynamique à votre examen DAST avec le moteur d'exécution JavaScript intégré d'AppScan. AppScan peut exécuter des scripts personnalisés avant l'envoi d'une requête ou après la réception d'une réponse pendant l'examen. Le script est exécuté pour chaque requête et réponse HTTP.
  • Redéfinition de la boîte de dialogue Expression régulière dans la configuration de l'examen afin d'améliorer la convivialité.
  • Restauration de l'option d'accès à la section Certificat SSL AppScan via Outils > Options > Enregistrement du proxy.
  • Lors de la configuration d'un examen pour une collection Postman à l'aide d'une URL, le nouvel examen récupère désormais le contenu Postman mis à jour à partir de cette URL.
  • Lors de l'utilisation de l'option Modifier hôte/schéma/port, les problèmes marqués comme Bruit restent désormais en tant que Bruit et ne réapparaissent pas dans les résultats de l'examen.
  • Détection de connexion automatique améliorée dans le moteur DAST.

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :

  • attAppMetricsDataExposed - Nœud final des métriques d'application exposé
  • attWordPressPluginXSSCVE20237246 - Attaque par script intersite dans le plug-in WordPress CVE20237246
  • attAtlassianConfluenceBrokenAccessCVE202322515 - Accès rompu à Atlassian Confluence CVE 2023 22515
  • SriValidation - Validation du contrôle d'intégrité SRI
  • Règles CSP - Evaluation CSP repensée, avec la détection de 17 nouveaux problèmes liés à la stratégie de sécurité du contenu
  • Base de données des composants vulnérables mise à jour vers la version 1.6

Pour obtenir la liste complète des correctifs, des règles de sécurité nouvelles et mises à jour et des RFE dans cette version, reportez-vous à la Liste de correctifs AppScan Standard.

Modifié dans cette édition

  • FlexNet Operations Portal (FNO) a été mis hors service et ne sera pas pris en charge.

Modification à venir

  • Dès le mois de juin 2025, les versions AppScan Standard 10.6.0 et antérieures cesseront d’être prises en charge. Installez la dernière version du produit avant cette date.
  • L'extension Assistant de l'API Web (OpenAPI) sera supprimée dans une future version d'AppScan.

Nouveautés dans HCL AppScan Standard 10.7.0

Octobre 2024

  • La configuration d'Azure OpenAI améliore la précision en implémentant des filtres supplémentaires pour affiner les résultats.
  • Le flux de travaux d'examen d'API a été repensé pour offrir une meilleure expérience utilisateur, avec une prise en charge de la connexion automatique.
  • Nouveaux rapports de conformité :
    • [UE] Digital Operational Resilience Act (DORA)
    • Norme de vérification de la sécurité des applications OWASP
  • Rapports sur la conformité mis à jour :
    • [US] DISA's Application Security and Development STIG V6, version 1
  • La création de rapports désormais disponible à partir de la barre d'outils principale a été repensée pour une meilleure accessibilité et une plus grande facilité d'utilisation. Les rapports sur la conformité réglementaire et les normes de l'industrie sont fusionnés en tant que rapports de conformité.
  • Les téléchargements d'AppScan Standard sont disponibles via FlexNet Operations Portal (FNO) et My HCL Software (MHS). Vous pouvez essayer le nouveau portail MHS, car il sera utilisé pour les futures versions.
  • Une série d'améliorations et de reconceptions visant à améliorer l'utilisation de plusieurs boîtes de dialogue de configuration d'examen comme suit :
  • Prédéfinitions de configuration
  • Gestion de connexion
  • Modifier les paramètres personnalisés
  • API

Correctifs et mises à jour de sécurité

Les nouvelles règles de sécurité de cette version sont les suivantes :

  • attJiraCVE202014179 - Détection pour CVE-2020-14179
  • Base de données des composants vulnérables mise à jour vers la version 1.5
  • De plus, de nombreuses règles ont été modifiées à l'aide de l'IA pour améliorer la précision.

Pour obtenir la liste complète des correctifs, des règles de sécurité nouvelles et mises à jour et des RFE dans cette version, reportez-vous à la Liste de correctifs AppScan Standard.

Modifié dans cette édition

  • Les produits HCLSoftware subissent des modifications concernant l'acquisition et la gestion des licences. Pour plus d'informations, reportez-vous à l'article de blog sur l'annonce des modifications de licence.
  • Suppression de l'option d'installation du certificat SSL AppScan, qui était précédemment utilisé pour enregistrer le trafic des sites SSL.

Modification à venir

  • Dès le mois de juin 2025, les versions AppScan Standard 10.6.0 et antérieures cesseront d’être prises en charge. Installez la dernière version du produit avant cette date.
  • L'extension Assistant de l'API Web (OpenAPI) sera supprimée dans une future version d'AppScan.