新增功能
本节概述 AppScan Standard 最新版本中的新增功能、增强功能、修复内容、即将发生的重要变化以及弃用情况。请随时了解这些改进,以帮助您维持强大的安全态势。
HCL AppScan Standard 中的新增功能
- HCL AppScan Standard 10.10.0 的新增功能
- HCL AppScan Standard 10.9.0 的新增功能
- HCL AppScan Standard 10.8.0 的新增功能
- HCL AppScan Standard 10.7.0 的新增功能注: 对版本 10.6.0 和更早版本的支持已终止 (EOS),因此将其从文档中移除。
HCL AppScan Standard 10.10.0 中的新增功能
2025 年 11 月
- DAST LLM 扫描程序:在攻击者利用 LLM 的弱点之前,先将其暴露出来!使用 AppScan 动态应用程序安全性 (DAST) 保护您的大语言模型 (LLM),该工具专门设计用于识别关键漏洞,如敏感信息泄露、提示注入、错误信息等。
- 定制脚本:编辑器增强功能包括改进的自动完成功能。这些增强功能提供了额外的 JavaScript 方法和类型,以及更多的激活触发器,例如开始一个新单词或输入句点(“.”)。
- 多步骤增强功能:用户界面经过了重新设计,以提供更出色的用户体验。新增了故障诊断选项,可查看回放的请求(原始数据和浏览器)并比较录制的请求与回放的请求,这些选项仅在序列验证后可用。
- 合规性报告
- 新增报告:
- 2025 年 LLM 应用 OWASP 前 10 大漏洞
- [加拿大] - ITSG-33 行业标准报告
- 更新报告:
- 国际标准 - ISO 27001:2022
- 国际标准 - ISO 27002:2022
- 支付卡行业数据安全标准 (PCI DSS) - V4.0.1
- NIST 特刊 800-53 - 5.2.0
- [EU] Regulation 2016/679 Of The European Parliament And Of The Council (GDPR)
- [US] Healthcare Services (HIPAA)
- 合规性报告现在包括修复建议详细信息。
- 新增报告:
- 屏蔽改进:增强了 AppScan 的屏蔽功能,可更一致地保护敏感信息。
- 自动登录改进:AppScan 现在可以更可靠地遍历 Angular 应用程序,修复罕见的登录录制错误,并在播放失败后的第二次尝试操作之间增加延迟,从而提高总体成功率。
- 改进了对使用 AngularJS 框架的单页应用程序 (SPA) 扫描的支持。
修复和安全更新
此发行版中的新安全规则包括:
- COOP - Cross-Origin-Opener-Policy (COOP) 标头缺失或不安全
- CORP - Cross-Origin-Resource-Policy (CORP) 标头缺失或不安全
- COEP - Cross-Origin-Embedder-Policy (COEP) 标头缺失或不安全
- attCSPAPI - CSP(适用于 API 端点)中的“frame-ancestors”指令标头缺失或不安全
- attApacheOFBizRCECVE202445195 - Apache OFBiz RCE for CVE-2024-45195
- attApacheOFBizRCECVE202445507 - Apache OFBiz RCE for CVE-2024-45507
- attSpringFrameworkPathTraversalCVE202438816 - Spring Framework 路径遍历 CVE-2024-38816 和 CVE-2024-38819
- attWordpressPiePluginAuthenticationBypassCVE202534077 - Wordpress Pie Register 身份验证不充分 CVE-2025-34077
- attWordPressKubioPathTraversalCVE20252294 - Wordpress Kubio AI Page Builder 插件路径遍历 CVE-2025-2294
- 易受攻击的组件数据库已更新到版本 1.8
有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表,请参阅 AppScan Standard 修复列表。
已在此发行版中更改
- AI 配置已从“测试选项”移至“工具”>“选项”>“AI 设置”。
- 为了提高安全性,将移除以下配置:
- 使用外部浏览器录制登录和多步骤操作现在支持基于操作的录制。
- AppScan Connect:现在,ASoC 用户可以将问题与扫描文件一起发布到 ASoC,这有助于重新扫描而不是创建新扫描,从而节省时间和资源。
- URL 限制从 1024 个字符更改为 4096 个字符。
- Web API 向导 (OpenAPI) 扩展已移除。
- AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月 30 日终止支持 (EOS)。这些版本的文档不再在公共文档网站上提供。
- 对 Microsoft® Windows® 10 的支持已终止。
- Windows 2025 支持。
即将推出的变更
- 报告组件将仅在产品级别 (UI/AppScanCMD) 提供,不适用于 SDK 级别。
HCL AppScan Standard 10.9.0 中的新增功能
2025 年 7 月
注意:现已推出新版本 HCL AppScan Standard 10.9.1。此更新包括多个 Chromium 漏洞的安全修复以及其他改进。建议升级到此版本。有关更多信息,请参阅修复列表并参考 10.9.0 文档。
2025 年 6 月
- 定制脚本通过以下更新得到了增强:
- 代码编辑器:改进了语法检查功能,增强了自动完成功能,从而提升了可用性。
- 多步骤操作:现在支持使用定制脚本动态调整参数。
- 动态表单填充参数:在表单填充器中引入了对动态参数的支持。
- 支持使用 JSON 或 XML 消息进行数据交换的 WebSocket 协议。
- 合规性报告更新:
- [US] DISA's Application Security and Development STIG。V6R3
- 2024 年 CWE 最危险的 25 个软件漏洞
- 自动登录改进:现在,AppScan 可以更准确地执行自动登录,从而提高整体登录成功率。
- AppScan 单元级 DAST 智能测试仪 (AUDIT):以开发人员为中心的 DAST 方法能让开发人员在 SDLC 的早期高效地对特定端点执行针对性扫描、检测漏洞,并无缝集成到其 IDE 中。有关更多信息,请参阅 AppScan 单元级 DAST 智能测试程序 (AUDIT) 一文。
此发行版中的新安全规则包括:
- attWordpressGalleryPluginPathTraversalCVE20233279 - Wordpress Gallery Plugin Path Traversal CVE-2023-3279
- attWordPressBackupMigrationplugincve20235737 - WordPress Backup and Migration plugin Broken Access CVE-2023-5737
- attMobileMouseRCECVE202331902 - Mobile Mouse Remote Command Execution CVE-2023-31902
- attOpenWireApacheServerRCECVE202346604 - OpenWire Apache Server RCE for CVE-2023-46604
- attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE for CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
- attLMSBlindSqlInjectionTimeoutCVE20248529 - Wordpress Learnpress Plugin SQL Injection CVE-2024-8529
- attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE for CVE-2024-56278
- JwtWeakSecretKey - 检测弱 JWT 密钥
- 易受攻击的组件数据库已更新到版本 1.7
有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表,请参阅 AppScan Standard 修复列表。
已在此发行版中更改
可访问性:对产品的无障碍支持进行了显著增强。主要更新包括:
- 键盘导航:改进了功能,方便使用键盘快捷键和键盘进行导航。
- 屏幕阅读器支持:增强的兼容性可确保用户界面元素可访问。
- 颜色对比度:增强的对比度可提供更好的可见性。
- 字号:增强的可访问性,支持将页面放大至最多 200%。
- 已完成全面的 VPAT 评估,用于记录其符合第 508 条和 WCAG 等无障碍标准的情况。如需了解详情,请参阅可访问性。
即将推出的变更
- AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月终止支持 (EOS)。建议在该时间之前升级至最新可用版本。
- 由于 Microsoft® Windows® 10 和 Microsoft® Windows® Server 2019 的主要支持期已结束,AppScan 的未来版本将不再支持这两个操作系统。
- Web API 向导 (OpenAPI) 扩展将在 AppScan 的将来版本中被移除。
- 报告组件将仅在产品级别 (UI/AppScanCMD) 提供,不适用于 SDK 级别。
HCL AppScan Standard 10.8.0 中的新增功能
2025 年 4 月
注意:现已推出新版本 HCL AppScan Standard 10.8.1。此更新包括对零日漏洞 CVE-2025-2783 的修复,以及其他改进。建议升级到此版本。有关更多信息,请参阅修复列表并参考 10.8.0 文档,因为 10.8.1 没有新的文档更新。
2025 年 2 月
- 请仅通过 My HCLSoftware (MHS) 下载 AppScan Standard。
- 基于 HCL MHS 的许可:升级前,请下载或配置 MHS 许可证。FlexNet Operations Portal (FNO) 中的所有权利都将迁移到 MHS。在 MHS 中创建新部署,然后为 AppScan 分配并激活您的许可证。通过 FNO 激活的设备和产品将无法再使用。本次仅变更了许可管理平台。从 FNO 迁移到 MHS 的许可证,其计量标准未发生变化,也不会产生任何额外费用。有关使用 MHS 设置许可证的更多信息,请参阅使用云或本地许可证服务器设置浮动许可证和设置节点锁定许可证。有关设置许可证的视频教程:
- 自动更新:新增功能——通过配置 API 密钥以连接 My HCLSoftware (MHS),自动将新更新应用于 AppScan。有关更多信息,请参阅自动更新。
- 定制脚本:使用 AppScan 的内置 JavaScript 运行时将动态行为添加到 DAST 扫描中。AppScan 可以在发送请求之前或在扫描期间收到响应之后运行定制脚本。将针对每个 HTTP 请求和响应执行该脚本。
- 重新设计了各项扫描配置的正则表达式对话框,以提高可用性。
- 恢复了通过“工具”>“选项”> 记录代理访问 AppScan SSL 证书部分的选项。
- 使用 URL 为 Postman 集合配置扫描时,重新扫描现在将从该 URL 获取更新的 Postman 内容。
- 使用更改主机/方案/端口选项时,标记为噪声的问题现在仍为噪声,并且不会再次出现在扫描结果中。
- 增强了 DAST 引擎中的自动登录检测功能。
修复和安全更新
此发行版中的新安全规则包括:
- attAppMetricsDataExposed - 应用程序度量端点已公开
- attWordPressPluginXSSCVE20237246 - WordPress 插件跨站点脚本编制 CVE20237246
- attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 访问中断 CVE 2023 22515
- SriValidation - 验证 SRI 完整性检查
- CSP 规则 - 重新设计了 CSP 评估,从而可以检测到 17 个新的内容安全性策略问题
- 易受攻击的组件数据库已更新到版本 1.6
有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表,请参阅 AppScan Standard 修复列表。
已在此发行版中更改
- FlexNet Operations 门户 (FNO) 已停用,将不再受支持。
即将推出的变更
- AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月终止支持 (EOS)。建议在该时间之前升级至最新可用版本。
- Web API 向导 (OpenAPI) 扩展将在 AppScan 的将来版本中被移除。
HCL AppScan Standard 10.7.0 中的新增功能
2024 年 10 月
- Azure OpenAI 配置可实施额外的过滤器来优化测试结果,从而提高了准确性。
- API 扫描工作流程经过重新设计,可改善用户体验,包括自动登录支持。
- 新合规性报告:
- [EU] Digital Operational Resilience Act (DORA)
- OWASP 应用程序安全性验证标准
- 更新的合规性报告:
- 美国国防信息系统局应用程序安全和开发安全技术实施指南 V6 R1
- 现在可以从主工具栏创建报告,这是为了提高可访问性和易用性而重新设计的。合规性报告和行业标准报告合并为合规性报告。
- 通过 FlexNet Operations 门户 (FNO) 和我的 HCL Software (MHS) 提供 AppScan Standard 下载。您可以试用新的 MHS 门户,因为它将用于未来的发行版。
- 提供一系列增强功能和重新设计,旨在提高多个扫描配置对话框的可用性,如下所示:
- 配置预设
- 登录管理
- 编辑定制参数
- API
修复和安全更新
此发行版中的新安全规则包括:
- attJiraCVE202014179 - 检测 CVE-2020-14179
- 易受攻击的组件数据库已更新到 V1.5
- 此外,许多规则已在 AI 的帮助下进行了修改,从而提高了准确性。
有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表,请参阅 AppScan Standard 修复列表。
已在此发行版中更改
- HCLSoftware 产品在许可证获取和管理方面正在进行变更。有关更多信息,请参阅许可变更公告博客帖子。
- 除去了安装 AppScan SSL 证书的选项,该证书以前用于记录来自 SSL 站点的流量。
即将推出的变更
- AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月终止支持 (EOS)。建议在该时间之前升级至最新可用版本。
- Web API 向导 (OpenAPI) 扩展将在 AppScan 的将来版本中被移除。