新增功能

HCL AppScan Standard 中的新功能

• HCL AppScan Standard 10.11.0 中的新功能
• HCL AppScan Standard 10.10.0 中的新功能
• HCL AppScan Standard 10.9.0 中的新功能
• HCL AppScan Standard 10.8.0 中的新功能
• HCL AppScan Standard 10.7.0 中的新功能
  註：

  10.6.0 版及更早版本已終止支援 (EOS)，因此已從說明文件中移除。

HCL AppScan Standard 10.11.0 中的新功能

2026 年 3 月

• 根據已探索資料來強化專用權升級－中斷存取控制驗證。
• DAX-IFA 支援 Azure OpenAI 5.x 模型。
• CVSS 4.0 支援：您現在可以在問題資訊 UI 和報告中同時追蹤 CVSS 3.1 與 CVSS 4.0 指標。漏洞等級排序仍依據 CVSS 3.1 標準。
• 自動登入改善，包括支援 Vue JS 框架。
• 可透過儀表板將未探索的網域新增至掃描範圍。
• 發現 Swagger/OpenAPI 定義檔時，將發出參考資訊警示，以確保 API 可見性。
• 一系列以改善數種對話框可用性為目標的增強和重新設計，如下所示：
  • 適用於登入、多步驟及 LLM 的 AppScan 內嵌瀏覽器。
  • 手動測試
  • 授權合約對話框
  • AppScan 日誌
• 相符性報告
  • OWASP 前 10 大 - 2025
  • 報告會將問題狀態顯示為干擾。

修正和安全更新

此版本中的新安全規則包括：

• attWallosRCECVE202455371 - Wallos RCE CVE-2024-55371 與 CVE-2024-55372
• attAPIOpenAPIFinding－用於偵測 OpenAPI/Swagger 端點的新規則
• attJSONPathPlusRCECVE20251032 - CVE-2025-1032 的 JSONPath-Plus 遠端程式碼執行
• attNestRCECVE202554782 - Node.js RCE CVE-2025-54782的 Nest Framework
• NonQuantumResistantCiphers -「偵測到非抗量子密碼組合」
• attWordPressFunnelKitAutomationplugincve20251562 - WordPress FunnelKit Automations 外掛程式 cve-2025-1562
• attGetSimpleCMSRCECVE202548492 - GetSimple CMS RCE CVE-2025-48492
• FlaskWeakSecretKey -「Flask 弱秘密金鑰」
• ExpressJsWeakSecretKey -「Express.js 弱工作階段秘密」
• DjangoWeakSecretKey -「Django 弱秘密金鑰」
• ViewStateWeakSecretKey -「ASP.NET ViewState 弱秘密金鑰」
• LaravelWeakSecretKey -「Laravel (PHP) 弱秘密金鑰」
• SymfonyWeakSecretKey -「Symfony (PHP) UriSigner 弱秘密金鑰」
• attElysiaCVE202566456 - Elysia RCE CVE-2025-66456
• 漏洞元件資料庫已更新至版本 1.10

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單，請參閱 AppScan Standard 修正程式清單。

已在此版本中變更

• 測試選項下的 AI 配置已移至工具 > 選項 > AI 設定，以納入部署 ID。
• AppScan Connect：您現在可在上傳 AppScan on Cloud 與 AppScan 360° 結果時一併包含掃描配置。
• 無障礙功能：持續改良以提升可存取性。
• 在錄製資料流量時可更方便地存取外部瀏覽器。
• 專用權升級 - 中斷的存取控制現在會在掃描檔中包含參考檔案。因此，後續對參考檔案所做的任何更新都不會反映在掃描檔案中。

即將進行的變更

• AppScan Standard 10.7.0 將於 2027 年 3 月 30 日停止支援 (EOS)，並將於 2026 年 6 月 30 日從 MHS 移除。請升級到最新可用版本。
• 報告元件僅能透過產品層級 (UI/AppScanCMD) 使用，無法在 SDK 層級使用。
• SSL 將於未來版本中淘汰。
• 由於 Azure OpenAI 將淘汰 GPT-4.x 模型，將停止支援這些模型。

HCL AppScan Standard 10.10.0 版中的新功能

2026 年 1 月

2025 年 12 月

2025 年 11 月

• 適用於 LLM 增強型應用程式的 DAST：在攻擊者利用前揭露 LLM 弱點！使用 AppScan 動態應用程式安全防護 (DAST) 來保護您的大型語言模型 (LLM)，該工具專為識別重大漏洞而設計，例如機密資訊揭露、提示注入、錯誤資訊等。
• 自訂指令碼：編輯器強化功能包括改善自動完成功能。這些強化功能提供更多的 JavaScript 方法與類型，以及更多啟動觸發條件，例如開始輸入新單字或輸入句點 ('.')。
• 多步驟強化功能：使用者介面經過重新設計，以提升使用者體驗。新增疑難排解選項，可檢視重播的要求（原始資料與瀏覽器），並比較錄製與重播的要求；此功能僅在序列驗證後可用。
• 相符性報告
  • 新報告：
    • OWASP 2025 年 LLM 應用程式 10 大安全風險
    • [加拿大]－ITSG-33 產業標準報告
  • 更新報告：
    • 國際標準－ISO 27001:2022
    • 國際標準－ISO 27002:2022
    • 支付卡產業資料安全標準 (PCI DSS) - V4.0.1
    • NIST 特別出版品 800-53－5.2.0 版
    • [EU] 歐洲議會與理事會第 2016/679 號規範 (GDPR)
    • [美國] Healthcare Services (HIPAA)
  • 相符性報告現在包含修正建議的詳細資訊。
• 遮罩改善：在 AppScan 全面強化遮罩功能，以更一致地保護機密資訊。
• 自動登入改善：AppScan 現在可更穩定地搜索 Angular 應用程式，修正了罕見的登入錄製失敗問題，並在重播失敗後的第二次嘗試中，新增動作之間的延遲，以提升整體成功率。
• 已進一步支援使用 AngularJS 架構的單頁應用程式 (SPA) 掃描。

修正和安全更新

此版本中的新安全規則包括：

• COOP－缺少或不安全的 Cross-Origin-Opener-Policy (COOP) 標頭
• CORP－缺少或不安全的 Cross-Origin-Resource-Policy (CORP) 標頭
• COEP－缺少或不安全的 Cross-Origin-Embedder-Policy (COEP) 標頭
• attCSPAPI－CSP 中缺少或不安全的 "frame-ancestors" 指令（適用於 API 端點）
• attApacheOFBizRCECVE202445195－Apache OFBiz 遠端程式碼執行漏洞 (CVE-2024-45195)
• attApacheOFBizRCECVE202445507－Apache OFBiz 遠端程式碼執行漏洞 (CVE-2024-45507)
• attSpringFrameworkPathTraversalCVE202438816－Spring Framework 路徑遍訪漏洞 (CVE-2024-38816 與 CVE-2024-38819)
• attWordpressPiePluginAuthenticationBypassCVE202534077－WordPress Pie Register 鑑別不足漏洞 (CVE-2025-34077)
• attWordPressKubioPathTraversalCVE20252294－WordPress Kubio AI Page Builder 外掛程式路徑遍訪漏洞 (CVE-2025-2294)
• 漏洞元件資料庫已更新至版本 1.8

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單，請參閱 AppScan Standard 修正程式清單。

已在此版本中變更

• AI 配置已從「測試選項」移至「工具」>「選項」>「AI 設定」。
• 為提升安全性，已移除以下配置：
  • 進階掃描配置
    • 消毒日誌
    • 消毒報告
    • 加密機密資料
  • 工具選項
    • EncryptPdfReportData
• 使用外部瀏覽器的錄製登入與多步驟操作現已支援動作式錄製。
• AppScan Connect：ASoC 使用者現在可將問題與掃描檔一併發佈至 ASoC，以便重新掃描。這樣就不必建立新掃描作業，進而節省時間與資源。
• URL 長度上限已由 1024 個字元提升至 4096 個字元。
• 已移除 Web API 精靈 (OpenAPI) 延伸。
• AppScan Standard 10.6.0 及更舊版本已於 2025 年 6 月結束支援 (EOS)。這些版本的說明文件已不再於公開文件網站上提供。
• 已移除對 Microsoft® Windows® 10 的支援。
• Windows 2025 支援。
• 提供擷取伺服器型授權之人類可讀授權租用 ID 的選項。如需相關資訊，請參閱如何以人類可讀格式擷取伺服器型授權的授權租用 ID。

即將進行的變更

• 報告元件僅能透過產品層級 (UI/AppScanCMD) 使用，無法在 SDK 層級使用。

HCL AppScan Standard 10.9.0 版中的新功能

2025 年 7 月

警告：HCL AppScan Standard 10.9.1 版現已推出。此更新包含多項 Chromium 漏洞的安全修正以及其他改善。建議升級至此版本。如需詳細資訊，請參閱修正清單並參照 10.9.0 版本說明文件。

2025 年 6 月

• 自訂 Script 已透過下列更新增強功能：
  • 程式碼編輯器：改善語法檢查且強化自動完成功能，可用性再升級。
  • 多步驟作業：新增支援使用自訂 Script 動態調整參數。
  • 動態填入表單參數：推出支援動態填入表單參數。
• 支援使用 JSON 或 XML 訊息交換資料的 WebSocket 通訊協定。
• 相符性報告更新：
  • [美國] DISA 的應用程式安全與開發 STIG。V6R3
  • 2024 年 CWE 前 25 大最危險的軟體弱點
• 自動登入規則：AppScan 現在可以更準確執行自動登入，整體成功率隨之提升。
• AppScan 單元層級 DAST 智慧測試器 (AUDIT)：開發人員導向的 DAST 方法能讓開發人員在 SDLC 的早期階段，於 IDE 中以高效率鎖定特定端點執行掃描，及早偵測漏洞。如需相關資訊，請參閱 AppScan 單元層級 DAST 智慧測試器 (AUDIT) 相關文章。

此版本中的新安全規則包括：

• attWordpressGalleryPluginPathTraversalCVE20233279 - Wordpress 圖庫外掛程式路徑遍訪 CVE-2023-3279
• attWordPressBackupMigrationplugincve20235737 - WordPress 備份與移轉外掛程式中斷存取 CVE-2023-5737
• attMobileMouseRCECVE202331902 - 執行行動滑鼠遠端指令 CVE-2023-31902
• attOpenWireApacheServerRCECVE202346604 - OpenWire Apache 伺服器 RCE for CVE-2023-46604
• attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE，適用於 CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
• attLMSBlindSqlInjectionTimeoutCVE20248529 - Wordpress Learnpress 外掛程式 SQL 注入 CVE-2024-8529
• attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE，適用於 CVE-2024-56278
• JwtWeakSecretKey - 偵測低強度 JWT 秘密金鑰
• 漏洞元件資料庫已更新至版本 1.7

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單，請參閱 AppScan Standard 修正程式清單。

HCL AppScan Standard 10.8.0 版中的新功能

2025 年 4 月

警告：HCL AppScan Standard 10.8.1 版現已推出。此更新包括修正零時差漏洞 CVE-2025-2783，以及其他改善。建議升級至此版本。如需詳細資訊，請參閱修正清單，並參照 10.8.0 版本說明文件，因為 10.8.1 並未新增說明文件更新。

2025 年 2 月

• 僅透過 My HCLSoftware (MHS) 下載 AppScan Standard。
• HCL MHS 型授權：升級前，請下載或配置您的 MHS 授權。您從 FlexNet Operations Portal (FNO) 取得的所有授權，皆會移轉至 MHS。在 MHS 中建立新部署，然後指派並啟動您的 AppScan 授權。透過 FNO 啟動的裝置和產品不再運作。變更的僅有管理授權平台，對於您從 FNO 移轉到 MHS 的授權，授權度量並未變動，亦無任何額外收費。如需使用 MHS 設定授權的詳細資訊，請參閱使用雲端或本端授權伺服器設定浮動授權，與 設定節點鎖定授權。授權設定教學影片：
  • 雲端授權伺服器
  • Local License Server
  • 節點鎖定授權

• 自動更新：新功能可透過配置 API 金鑰與 My HCLSoftware (MHS) 連線，以將新更新自動套用至 AppScan。如需詳細資訊，請參閱自動更新。
• 自訂指令碼：使用 AppScan 的內建 JavaScript 執行時期，將動態行為新增至您的 DAST 掃描。AppScan 可在傳送要求之前或在掃描期間收到回應後，執行自訂指令碼。每個 HTTP 要求和回應都會執行指令碼。
• 重新設計跨掃描配置的「正規表示式」對話框，以改善可用性。
• 已透過「工具」>「選項」> 記錄 Proxy，還原存取 AppScan SSL 憑證區段的選項。
• 使用 URL 為 Postman 集合配置掃描時，重新掃描現在將從該 URL 擷取更新的 Postman 內容。
• 使用變更主機/架構/埠選項時，標記為雜訊的問題現在會維持為雜訊狀態，不會在掃描結果中再次出現。
• 已增強 DAST 引擎的自動登入偵測功能。

修正和安全更新

此版本中的新安全規則包括：

• attAppMetricsDataExposed - 應用程式指標端點已暴露
• attWordPressPluginXSSCVE20237246 - WordPress 外掛程式跨網站指令碼攻擊 CVE20237246
• attAtlassianConfluenceBrokenAccessCVE202322515 - Atlassian Confluence 中斷的存取 CVE 2023 22515
• SriValidation - 驗證 SRI 完整性檢查
• CSP 規則 - 重做 CSP 評估，導致偵測到 17 個新的內容安全性原則問題
• 漏洞元件資料庫已更新至版本 1.6

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單，請參閱 AppScan Standard 修正程式清單。

已在此版本中變更

• FlexNet Operations 入口網站 (FNO) 遭到停用，且將不受支援。

即將進行的變更

• AppScan Standard 10.6.0 及更舊版本將於 2025 年 6 月結束支援 (EOS)。建議您在此時間之前升級至可用的最新版本。
• AppScan 的未來版本中將移除 Web API 精靈 (OpenAPI) 延伸。

HCL AppScan Standard 10.7.0 版中的新功能

2024 年 10 月

• Azure OpenAI 配置可實作額外的過濾器以精簡測試結果，進而提升精確度。
• API 掃描工作流程經過重新設計，提供更強的使用者體驗，包括自動登入支援。
• 新的相符性報告：
  • [歐洲] Digital Operational Resilience Act (DORA)
  • OWASP 應用程式安全驗證標準
• 已更新相符性報告：
  • [美國] DISA 的應用程式安全性與開發 STIG V6 發行版本 1
• 現在可從主工具列重新設計報告建立，以提升可存取性和易用性。法規合規性與業界標準報告合併為「相符性」報告。
• 可透過 FlexNet Operations 入口網站 (FNO) 和我的 HCL 軟體 (MHS) 下載 AppScan Standard。您可以嘗試新的 MHS 入口網站，因為它將會用於未來的版本。
• 一系列以改善數種掃描配置對話框可用性為目標的增強和重新設計，如下所示：
• 配置預設
• 登入管理
• 編輯自訂參數
• API

修正和安全更新

此版本中的新安全規則包括：

• attJiraCVE202014179 - 適用於 CVE-2020-14179 偵測
• 漏洞元件資料庫已更新至版本 1.5
• 此外，也在 AI 的協助下修改了許多規則，以提高精確性。

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單，請參閱 AppScan Standard 修正程式清單。

已在此版本中變更

• HCLSoftware 產品在授權採購與管理方面正進行變更。如需相關資訊，請參閱授權變更公告部落格文章。
• 已移除安裝 AppScan SSL 憑證的選項，該憑證先前用於記錄來自 SSL 網站的流量。

即將進行的變更

• AppScan Standard 10.6.0 及更舊版本將於 2025 年 6 月結束支援 (EOS)。建議您在此時間之前升級至可用的最新版本。
• AppScan 的未來版本中將移除 Web API 精靈 (OpenAPI) 延伸。