新增功能

本節說明各近期版本中的最新功能、改良項目、修正內容、即將推出的重要變更,以及淘汰項目 AppScan Standard。隨時掌握最新進展,有助於維持強大安全防護狀態。

HCL AppScan Standard 中的新功能

HCL AppScan Standard 10.10.0 中的新功能

2025 年 11 月

  • DAST LLM 掃描器在攻擊者利用前揭露 LLM 弱點!使用 AppScan 動態應用程式安全防護 (DAST) 來保護您的大型語言模型 (LLM),該工具專為識別重大漏洞而設計,例如機密資訊揭露、提示注入、錯誤資訊等。
  • 自訂指令碼:編輯器強化功能包括改善自動完成功能。這些強化功能提供更多的 JavaScript 方法與類型,以及更多啟動觸發條件,例如開始輸入新單字或輸入句點 ('.')。
  • 多步驟強化功能:使用者介面經過重新設計,以提升使用者體驗。新增疑難排解選項,可檢視重播的要求(原始資料與瀏覽器),並比較錄製與重播的要求;此功能僅在序列驗證後可用。
  • 相符性報告
    • 新報告:
      • OWASP 2025 年 LLM 應用程式 10 大安全風險
      • [加拿大]-ITSG-33 產業標準報告
    • 更新報告:
      • 國際標準-ISO 27001:2022
      • 國際標準-ISO 27002:2022
      • 支付卡產業資料安全標準 (PCI DSS) - V4.0.1
      • NIST 特別出版品 800-53-5.2.0 版
      • [EU] 歐洲議會與理事會第 2016/679 號規範 (GDPR)
      • [美國] Healthcare Services (HIPAA)
    • 相符性報告現在包含修正建議的詳細資訊。
  • 遮罩改善:在 AppScan 全面強化遮罩功能,以更一致地保護機密資訊。
  • 自動登入改善:AppScan 現在可更穩定地搜索 Angular 應用程式,修正了罕見的登入錄製失敗問題,並在重播失敗後的第二次嘗試中,新增動作之間的延遲,以提升整體成功率。
  • 已進一步支援使用 AngularJS 架構的單頁應用程式 (SPA) 掃描。

修正和安全更新

此版本中的新安全規則包括:

  • COOP-缺少或不安全的 Cross-Origin-Opener-Policy (COOP) 標頭
  • CORP-缺少或不安全的 Cross-Origin-Resource-Policy (CORP) 標頭
  • COEP-缺少或不安全的 Cross-Origin-Embedder-Policy (COEP) 標頭
  • attCSPAPI-CSP 中缺少或不安全的 "frame-ancestors" 指令(適用於 API 端點)
  • attApacheOFBizRCECVE202445195-Apache OFBiz 遠端程式碼執行漏洞 (CVE-2024-45195)
  • attApacheOFBizRCECVE202445507-Apache OFBiz 遠端程式碼執行漏洞 (CVE-2024-45507)
  • attSpringFrameworkPathTraversalCVE202438816-Spring Framework 路徑遍訪漏洞 (CVE-2024-38816 與 CVE-2024-38819)
  • attWordpressPiePluginAuthenticationBypassCVE202534077-WordPress Pie Register 鑑別不足漏洞 (CVE-2025-34077)
  • attWordPressKubioPathTraversalCVE20252294-WordPress Kubio AI Page Builder 外掛程式路徑遍訪漏洞 (CVE-2025-2294)
  • 漏洞元件資料庫已更新至版本 1.8

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單,請參閱 AppScan Standard 修正程式清單

已在此版本中變更

  • AI 配置已從「測試選項」移至「工具」>「選項」>「AI 設定」。
  • 為提升安全性,已移除以下配置:
  • 使用外部瀏覽器的錄製登入多步驟作業現已支援動作式錄製。
  • AppScan Connect:ASoC 使用者現在可將問題與掃描檔一併發佈至 ASoC,以便重新掃描。這樣就不必建立新掃描作業,進而節省時間與資源。
  • URL 長度上限已由 1024 個字元提升至 4096 個字元。
  • 已移除 Web API 精靈 (OpenAPI) 延伸。
  • AppScan Standard 10.6.0 及更舊版本已於 2025 年 6 月結束支援 (EOS)。這些版本的說明文件已不再於公開文件網站上提供。
  • 已移除對 Microsoft® Windows® 10 的支援。
  • Windows 2025 支援。

即將進行的變更

  • 報告元件僅能透過產品層級 (UI/AppScanCMD) 使用,無法在 SDK 層級使用。

HCL AppScan Standard 10.9.0 版中的新功能

2025 年 7 月

警告:HCL AppScan Standard 10.9.1 版現已推出。此更新包含多項 Chromium 漏洞的安全修正以及其他改善。建議升級至此版本。如需詳細資訊,請參閱修正清單並參照 10.9.0 版本說明文件。

2025 年 6 月

  • 自訂 Script 已透過下列更新增強功能:
    • 程式碼編輯器:改善語法檢查且強化自動完成功能,可用性再升級。
    • 多步驟作業:新增支援使用自訂 Script 動態調整參數。
    • 動態填入表單參數:推出支援動態填入表單參數。
  • 支援使用 JSON 或 XML 訊息交換資料的 WebSocket 通訊協定。
  • 相符性報告更新:
    • [美國] DISA 的應用程式安全與開發 STIG。V6R3
    • 2024 年 CWE 前 25 大最危險的軟體弱點
  • 自動登入規則:AppScan 現在可以更準確執行自動登入,整體成功率隨之提升。
  • AppScan 單元層級 DAST 智慧測試器 (AUDIT):開發人員導向的 DAST 方法能讓開發人員在 SDLC 的早期階段,於 IDE 中以高效率鎖定特定端點執行掃描,及早偵測漏洞。如需相關資訊,請參閱 AppScan 單元層級 DAST 智慧測試器 (AUDIT) 相關文章。
修正和安全更新

此版本中的新安全規則包括:

  • attWordpressGalleryPluginPathTraversalCVE20233279 - Wordpress 圖庫外掛程式路徑遍訪 CVE-2023-3279
  • attWordPressBackupMigrationplugincve20235737 - WordPress 備份與移轉外掛程式中斷存取 CVE-2023-5737
  • attMobileMouseRCECVE202331902 - 執行行動滑鼠遠端指令 CVE-2023-31902
  • attOpenWireApacheServerRCECVE202346604 - OpenWire Apache 伺服器 RCE for CVE-2023-46604
  • attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE,適用於 CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
  • attLMSBlindSqlInjectionTimeoutCVE20248529 - Wordpress Learnpress 外掛程式 SQL 注入 CVE-2024-8529
  • attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE,適用於 CVE-2024-56278
  • JwtWeakSecretKey - 偵測低強度 JWT 秘密金鑰
  • 漏洞元件資料庫已更新至版本 1.7

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單,請參閱 AppScan Standard 修正程式清單

已在此版本中變更
無障礙:大幅增強功能以提升旗下產品的可存取性。主要更新包括:
  • 鍵盤導覽:使用鍵盤快速鍵和鍵盤提升功能以利瀏覽。
  • 支援畫面讀取器:增強相容性以確保 UI 元素符合無障礙要求。
  • 色彩對比:提高對比率以提高能見度。
  • 字型大小:增強無障礙功能,縮放能力最高達 200%。
  • 已完成 VPAT 全面性評估,並製作符合第 508 節和 WCAG 等無障礙標準的文件。如需相關資訊,請參閱無障礙部分。

即將進行的變更

  • AppScan Standard 10.6.0 及更舊版本將於 2025 年 6 月結束支援 (EOS)。建議您在此時間之前升級至可用的最新版本。
  • 由於 Microsoft® Windows® 10 和 Microsoft® Windows® Server 2019 即將結束主要支援服務,所以 AppScan 的未來版本將不再支援。
  • AppScan 的未來版本中將移除 Web API 精靈 (OpenAPI) 延伸。
  • 報告元件僅能透過產品層級 (UI/AppScanCMD) 使用,無法在 SDK 層級使用。

HCL AppScan Standard 10.8.0 版中的新功能

2025 年 4 月

警告:HCL AppScan Standard 10.8.1 版現已推出。此更新包括修正零時差漏洞 CVE-2025-2783,以及其他改善。建議升級至此版本。如需詳細資訊,請參閱修正清單,並參照 10.8.0 版本說明文件,因為 10.8.1 並未新增說明文件更新。

2025 年 2 月

  • 自動更新:新功能可透過配置 API 金鑰與 My HCLSoftware (MHS) 連線,以將新更新自動套用至 AppScan。如需詳細資訊,請參閱自動更新
  • 自訂指令碼:使用 AppScan 的內建 JavaScript 執行時期,將動態行為新增至您的 DAST 掃描。AppScan 可在傳送要求之前或在掃描期間收到回應後,執行自訂指令碼。每個 HTTP 要求和回應都會執行指令碼。
  • 重新設計跨掃描配置的「正規表示式」對話框,以改善可用性。
  • 已透過「工具」>「選項」> 記錄 Proxy,還原存取 AppScan SSL 憑證區段的選項。
  • 使用 URL 為 Postman 集合配置掃描時,重新掃描現在將從該 URL 擷取更新的 Postman 內容。
  • 使用變更主機/架構/埠選項時,標記為雜訊的問題現在會維持為雜訊狀態,不會在掃描結果中再次出現。
  • 已增強 DAST 引擎的自動登入偵測功能。

修正和安全更新

此版本中的新安全規則包括:

  • attAppMetricsDataExposed - 應用程式指標端點已暴露
  • attWordPressPluginXSSCVE20237246 - WordPress 外掛程式跨網站指令碼攻擊 CVE20237246
  • attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 中斷的存取 CVE 2023 22515
  • SriValidation - 驗證 SRI 完整性檢查
  • CSP 規則 - 重做 CSP 評估,導致偵測到 17 個新的內容安全性原則問題
  • 漏洞元件資料庫已更新至版本 1.6

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單,請參閱 AppScan Standard 修正程式清單

已在此版本中變更

  • FlexNet Operations 入口網站 (FNO) 遭到停用,且將不受支援。

即將進行的變更

  • AppScan Standard 10.6.0 及更舊版本將於 2025 年 6 月結束支援 (EOS)。建議您在此時間之前升級至可用的最新版本。
  • AppScan 的未來版本中將移除 Web API 精靈 (OpenAPI) 延伸。

HCL AppScan Standard 10.7.0 版中的新功能

2024 年 10 月

  • Azure OpenAI 配置可實作額外的過濾器以精簡測試結果,進而提升精確度。
  • API 掃描工作流程經過重新設計,提供更強的使用者體驗,包括自動登入支援。
  • 新的相符性報告:
    • [歐洲] Digital Operational Resilience Act (DORA)
    • OWASP 應用程式安全驗證標準
  • 已更新相符性報告:
    • [美國] DISA 的應用程式安全性與開發 STIG V6 發行版本 1
  • 現在可從主工具列重新設計報告建立,以提升可存取性和易用性。法規合規性與業界標準報告合併為「相符性」報告。
  • 可透過 FlexNet Operations 入口網站 (FNO) 和我的 HCL 軟體 (MHS) 下載 AppScan Standard。您可以嘗試新的 MHS 入口網站,因為它將會用於未來的版本。
  • 一系列以改善數種掃描配置對話框可用性為目標的增強和重新設計,如下所示:
  • 配置預設
  • 登入管理
  • 編輯自訂參數
  • API

修正和安全更新

此版本中的新安全規則包括:

  • attJiraCVE202014179 - 適用於 CVE-2020-14179 偵測
  • 漏洞元件資料庫已更新至版本 1.5
  • 此外,也在 AI 的協助下修改了許多規則,以提高精確性。

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單,請參閱 AppScan Standard 修正程式清單

已在此版本中變更

  • HCLSoftware 產品在授權採購與管理方面正進行變更。如需相關資訊,請參閱授權變更公告部落格文章。
  • 已移除安裝 AppScan SSL 憑證的選項,該憑證先前用於記錄來自 SSL 網站的流量。

即將進行的變更

  • AppScan Standard 10.6.0 及更舊版本將於 2025 年 6 月結束支援 (EOS)。建議您在此時間之前升級至可用的最新版本。
  • AppScan 的未來版本中將移除 Web API 精靈 (OpenAPI) 延伸。