新增功能

HCL AppScan Standard 中的新增功能

• HCL AppScan Standard 10.11.0 中的新增功能
• HCL AppScan Standard 10.10.0 的新增功能
• HCL AppScan Standard 10.9.0 的新增功能
• HCL AppScan Standard 10.8.0 的新增功能
• HCL AppScan Standard 10.7.0 的新增功能
  注：

  对版本 10.6.0 和更早版本的支持已终止 (EOS)，因此将其从文档中移除。

HCL AppScan Standard 10.11.0 中的新增功能

2026 年 3 月

• 改进了特权升级 - 基于已探索数据的中断的访问控制验证。
• DAST-IFA 支持 Azure OpenAI 5.x 模型。
• CVSS 4.0 支持：您现在可以在问题信息 UI 和报告中跟踪 CVSS 3.1 和 CVSS 4.0 的指标。漏洞排名继续基于 CVSS 3.1 标准。
• 自动登录改进，包括对 Vue JS 框架的支持。
• 能够通过仪表板将未探索的域添加到扫描范围。
• 发现 Swagger/OpenAPI 定义文件时将发出参考信息警报，以确保 API 可见性。
• 提供一系列增强功能和重新设计，旨在提高多个对话框的可用性，如下所示：
  • 用于登录、多步骤操作和 LLM 的 AppScan 嵌入式浏览器。
  • 手动测试
  • 许可协议对话框
  • AppScan 日志
• 合规性报告
  • 2025 年 OWASP 十大安全风险
  • 报告将问题状态显示为干扰。

修复和安全更新

此发行版中的新安全规则包括：

• attWallosRCECVE202455371 - Wallos 远程代码执行 (RCE) CVE-2024-55371 和 CVE-2024-55372
• attAPIOpenAPIFinding - 用于检测 OpenAPI/Swagger 端点的新规则
• attJSONPathPlusRCECVE20251032 - 针对 CVE-2025-1032 的 JSONPath-Plus 远程代码执行
• attNestRCECVE202554782 - Node.js Nest 框架远程代码执行 (RCE) CVE-2025-54782
• NonQuantumResistantCiphers -“检测到非量子抗性密码套件”
• attWordPressFunnelKitAutomationplugincve20251562 - WordPress FunnelKit Automations 插件漏洞 (CVE-2025-1562)
• attGetSimpleCMSRCECVE202548492 - GetSimple CMS 远程代码执行 (RCE) CVE-2025-48492
• FlaskWeakSecretKey -“Flask 弱密钥”
• ExpressJsWeakSecretKey -“Express.js 会话密钥强度不足”
• DjangoWeakSecretKey -“Django 弱安全密钥”
• ViewStateWeakSecretKey -“ASP.NET ViewState 弱安全密钥”
• LaravelWeakSecretKey -“Laravel (PHP) 弱安全密钥”
• SymfonyWeakSecretKey -“Symfony (PHP) UriSigner 弱签名密钥”
• attElysiaCVE202566456 - Elysia 远程代码执行 (RCE) CVE-2025-66456
• 易受攻击的组件数据库已更新到版本 1.10

有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表，请参阅 AppScan Standard 修订列表。

已在此发行版中更改

• “工具”>“选项”>“测试选项”下的 AI 配置（位于 AI 设置中）已更新，以包含部署标识。
• AppScan Connect：您现在可以在上载 AppScan on Cloud 和 AppScan 360° 的结果时包含扫描配置
• 可访问性：持续增强以提高可访问性。
• 在录制流量时可以轻松访问外部浏览器。
• 特权升级 - 中断的访问控制现在在扫描文件中包含参考文件。因此，参考文件的任何后续更新都不会反映在扫描文件中。

即将推出的变更

• AppScan Standard 10.7.0 将于 2027 年 3 月 30 日停止支持 (EOS)，并将于 2026 年 6 月 30 日从 MHS 中移除。请升级到最新可用版本。
• 报告组件将仅在产品级别 (UI/AppScanCMD) 提供，不适用于 SDK 级别。
• SSL 将在未来版本中弃用。
• 由于 Azure OpenAI 将停用这些模型，因此将停止对 GPT-4.x 模型的支持。

HCL AppScan Standard 10.10.0 中的新增功能

2026 年 1 月

2025 年 12 月

2025 年 11 月

• 针对 LLM 增强型应用程序的 DAST：在攻击者利用 LLM 的弱点之前，先将其暴露出来！使用 AppScan 动态应用程序安全性 (DAST) 保护您的大语言模型 (LLM)，该工具专门设计用于识别关键漏洞，如敏感信息泄露、提示注入、错误信息等。
• 定制脚本：编辑器增强功能包括改进的自动完成功能。这些增强功能提供了额外的 JavaScript 方法和类型，以及更多的激活触发器，例如开始一个新单词或输入句点（“.”）。
• 多步骤增强功能：用户界面经过了重新设计，以提供更出色的用户体验。新增了故障诊断选项，可查看回放的请求（原始数据和浏览器）并比较录制的请求与回放的请求，这些选项仅在序列验证后可用。
• 合规性报告
  • 新增报告：
    • 2025 年 LLM 应用 OWASP 前 10 大漏洞
    • [加拿大] - ITSG-33 行业标准报告
  • 更新报告：
    • 国际标准 - ISO 27001:2022
    • 国际标准 - ISO 27002:2022
    • 支付卡行业数据安全标准 (PCI DSS) - V4.0.1
    • NIST 特刊 800-53 - 5.2.0
    • [EU] Regulation 2016/679 Of The European Parliament And Of The Council (GDPR)
    • [US] Healthcare Services (HIPAA)
  • 合规性报告现在包括修复建议详细信息。
• 屏蔽改进：增强了 AppScan 的屏蔽功能，可更一致地保护敏感信息。
• 自动登录改进：AppScan 现在可以更可靠地遍历 Angular 应用程序，修复罕见的登录录制错误，并在播放失败后的第二次尝试操作之间增加延迟，从而提高总体成功率。
• 改进了对使用 AngularJS 框架的单页应用程序 (SPA) 扫描的支持。

修复和安全更新

此发行版中的新安全规则包括：

• COOP - Cross-Origin-Opener-Policy (COOP) 标头缺失或不安全
• CORP - Cross-Origin-Resource-Policy (CORP) 标头缺失或不安全
• COEP - Cross-Origin-Embedder-Policy (COEP) 标头缺失或不安全
• attCSPAPI - CSP（适用于 API 端点）中的“frame-ancestors”指令标头缺失或不安全
• attApacheOFBizRCECVE202445195 - Apache OFBiz RCE for CVE-2024-45195
• attApacheOFBizRCECVE202445507 - Apache OFBiz RCE for CVE-2024-45507
• attSpringFrameworkPathTraversalCVE202438816 - Spring Framework 路径遍历 CVE-2024-38816 和 CVE-2024-38819
• attWordpressPiePluginAuthenticationBypassCVE202534077 - Wordpress Pie Register 身份验证不充分 CVE-2025-34077
• attWordPressKubioPathTraversalCVE20252294 - Wordpress Kubio AI Page Builder 插件路径遍历 CVE-2025-2294
• 易受攻击的组件数据库已更新到版本 1.8

有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表，请参阅 AppScan Standard 修订列表。

已在此发行版中更改

• AI 配置已从“测试选项”移至“工具”>“选项”>“AI 设置”。
• 为了提高安全性，将移除以下配置：
  • 高级扫描配置
    • 审查日志
    • 审查报告
    • 加密敏感数据
  • 工具选项
    • EncryptPdfReportData
• 使用外部浏览器录制登录和多步骤操作现在支持基于操作的录制。
• AppScan Connect：现在，ASoC 用户可以将问题与扫描文件一起发布到 ASoC，这有助于重新扫描而不是创建新扫描，从而节省时间和资源。
• URL 限制从 1024 个字符更改为 4096 个字符。
• Web API 向导 (OpenAPI) 扩展已移除。
• AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月 30 日终止支持 (EOS)。这些版本的文档不再在公共文档网站上提供。
• 对 Microsoft® Windows® 10 的支持已终止。
• Windows 2025 支持。
• 可选择为基于服务器的许可捕获人类可读的许可租约标识。如需了解详情，请参阅如何为基于服务器的许可捕获人类可读格式的许可租约标识。

即将推出的变更

• 报告组件将仅在产品级别 (UI/AppScanCMD) 提供，不适用于 SDK 级别。

HCL AppScan Standard 10.9.0 中的新增功能

2025 年 7 月

注意：现已推出新版本 HCL AppScan Standard 10.9.1。此更新包括多个 Chromium 漏洞的安全修复以及其他改进。建议升级到此版本。如需了解详情，请参阅修订列表并参考 10.9.0 文档。

2025 年 6 月

• 定制脚本通过以下更新得到了增强：
  • 代码编辑器：改进了语法检查功能，增强了自动完成功能，从而提升了可用性。
  • 多步骤操作：现在支持使用定制脚本动态调整参数。
  • 动态表单填充参数：在表单填充器中引入了对动态参数的支持。
• 支持使用 JSON 或 XML 消息进行数据交换的 WebSocket 协议。
• 合规性报告更新：
  • [US] DISA's Application Security and Development STIG。V6R3
  • 2024 年 CWE 最危险的 25 个软件漏洞
• 自动登录改进：现在，AppScan 可以更准确地执行自动登录，从而提高整体登录成功率。
• AppScan 单元级 DAST 智能测试仪 (AUDIT)：以开发人员为中心的 DAST 方法能让开发人员在 SDLC 的早期高效地对特定端点执行针对性扫描、检测漏洞，并无缝集成到其 IDE 中。如需了解详情，请参阅 AppScan 单元级 DAST 智能测试程序 (AUDIT) 一文。

此发行版中的新安全规则包括：

• attWordpressGalleryPluginPathTraversalCVE20233279 - Wordpress Gallery Plugin Path Traversal CVE-2023-3279
• attWordPressBackupMigrationplugincve20235737 - WordPress Backup and Migration plugin Broken Access CVE-2023-5737
• attMobileMouseRCECVE202331902 - Mobile Mouse Remote Command Execution CVE-2023-31902
• attOpenWireApacheServerRCECVE202346604 - OpenWire Apache Server RCE for CVE-2023-46604
• attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE for CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
• attLMSBlindSqlInjectionTimeoutCVE20248529 - Wordpress Learnpress Plugin SQL Injection CVE-2024-8529
• attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE for CVE-2024-56278
• JwtWeakSecretKey - 检测弱 JWT 密钥
• 漏洞组件数据库已更新到版本 1.7

有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表，请参阅 AppScan Standard 修订列表。

HCL AppScan Standard 10.8.0 中的新增功能

2025 年 4 月

注意：现已推出新版本 HCL AppScan Standard 10.8.1。此更新包括对零日漏洞 CVE-2025-2783 的修复，以及其他改进。建议升级到此版本。如需了解详情，请参阅修订列表并参考 10.8.0 文档，因为 10.8.1 没有新的文档更新。

2025 年 2 月

• 请仅通过 My HCLSoftware (MHS) 下载 AppScan Standard。
• 基于 HCL MHS 的许可：升级前，请下载或配置 MHS 许可证。您在 FlexNet Operations Portal (FNO) 中的所有授权都将迁移到 MHS。在 MHS 中创建新部署，然后为 AppScan 分配并激活您的许可证。通过 FNO 激活的设备和产品将无法再使用。本次仅变更了许可管理平台。从 FNO 迁移到 MHS 的许可证，其计量标准未发生变化，也不会产生任何额外费用。有关使用 MHS 设置许可证的更多信息，请参阅使用云或本地许可证服务器设置浮动许可证和设置节点锁定许可证。有关设置许可证的视频教程：
  • 云许可证服务器
  • 本地许可证服务器
  • 节点锁定许可证

• 自动更新：新增功能——通过配置 API 密钥以连接 My HCLSoftware (MHS)，自动将新更新应用于 AppScan。如需了解详情，请参阅自动更新。
• 定制脚本：使用 AppScan 的内置 JavaScript 运行时将动态行为添加到 DAST 扫描中。AppScan 可以在发送请求之前或在扫描期间收到响应之后运行定制脚本。将针对每个 HTTP 请求和响应执行该脚本。
• 重新设计了各项扫描配置的正则表达式对话框，以提高可用性。
• 恢复了通过“工具”>“选项”> 记录代理访问 AppScan SSL 证书部分的选项。
• 使用 URL 为 Postman 集合配置扫描时，重新扫描现在将从该 URL 获取更新的 Postman 内容。
• 使用更改主机/方案/端口选项时，标记为噪声的问题现在仍为噪声，并且不会再次出现在扫描结果中。
• 增强了 DAST 引擎中的自动登录检测功能。

修复和安全更新

此发行版中的新安全规则包括：

• attAppMetricsDataExposed - 应用程序指标端点已公开
• attWordPressPluginXSSCVE20237246 - WordPress 插件跨站点脚本编制 CVE20237246
• attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 访问中断 CVE 2023 22515
• SriValidation - 验证 SRI 完整性检查
• CSP 规则 - 重新设计了 CSP 评估，从而可以检测到 17 个新的内容安全性策略问题
• 漏洞组件数据库已更新到版本 1.6

有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表，请参阅 AppScan Standard 修订列表。

已在此发行版中更改

• FlexNet Operations 门户 (FNO) 已停用，将不再受支持。

即将推出的变更

• AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月终止支持 (EOS)。建议在该时间之前升级至最新可用版本。
• Web API 向导 (OpenAPI) 扩展将在 AppScan 的将来版本中被移除。

HCL AppScan Standard 10.7.0 中的新增功能

2024 年 10 月

• Azure OpenAI 配置可实施额外的过滤器来优化测试结果，从而提高了准确性。
• API 扫描工作流程经过重新设计，可改善用户体验，包括自动登录支持。
• 新合规性报告：
  • [EU] Digital Operational Resilience Act (DORA)
  • OWASP 应用程序安全性验证标准
• 更新的合规性报告：
  • 美国国防信息系统局应用程序安全和开发安全技术实施指南 V6 R1
• 现在可以从主工具栏创建报告，这是为了提高可访问性和易用性而重新设计的。合规性报告和行业标准报告合并为合规性报告。
• 通过 FlexNet Operations 门户 (FNO) 和我的 HCL Software (MHS) 提供 AppScan Standard 下载。您可以试用新的 MHS 门户，因为它将用于未来的发行版。
• 提供一系列增强功能和重新设计，旨在提高多个扫描配置对话框的可用性，如下所示：
• 配置预设
• 登录管理
• 编辑定制参数
• API

修复和安全更新

此发行版中的新安全规则包括：

• attJiraCVE202014179 - 检测 CVE-2020-14179
• 易受攻击的组件数据库已更新到 V1.5
• 此外，许多规则已在 AI 的帮助下进行了修改，从而提高了准确性。

有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表，请参阅 AppScan Standard 修订列表。

已在此发行版中更改

• HCLSoftware 产品在许可证获取和管理方面正在进行变更。如需了解详情，请参阅许可变更公告博客帖子。
• 除去了安装 AppScan SSL 证书的选项，该证书以前用于记录来自 SSL 站点的流量。

即将推出的变更

• AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月终止支持 (EOS)。建议在该时间之前升级至最新可用版本。
• Web API 向导 (OpenAPI) 扩展将在 AppScan 的将来版本中被移除。