新增功能

HCL AppScan Standard 10.9.0 中的新增功能

• 定制脚本通过以下更新得到了增强：
  • 代码编辑器：改进了语法检查功能，增强了自动完成功能，从而提升了可用性。
  • 多步骤操作：新增支持使用自定义脚本动态调整参数。
  • 动态表单填充参数：在表单填充器中引入了对动态参数的支持。
• 支持使用 JSON 或 XML 消息进行数据交换的 WebSocket 协议。
• 合规性报告更新：
  • [US] DISA's Application Security and Development STIG。V6R3
  • 2024 年 CWE 最危险的 25 个软件漏洞
• 自动登录改进：现在，AppScan 可以更准确地执行自动登录，从而提高整体登录成功率。
• AppScan 单元级 DAST 智能测试器 (AUDIT)： 一种以开发人员为中心的 DAST 方法，使开发人员能够高效地对特定端点运行有针对性的扫描，并在软件开发生命周期 (SDLC) 的早期检测漏洞，完美地集成在他们的集成开发环境 (IDE) 中。有关更多信息，请参阅文章 AppScan 单元级 DAST 智能测试器 (AUDIT)。

修复和安全更新

此发行版中的新安全规则包括：

• attWordpressGalleryPluginPathTraversalCVE20233279 - Wordpress Gallery Plugin Path Traversal CVE-2023-3279
• attWordPressBackupMigrationplugincve20235737 - WordPress Backup and Migration plugin Broken Access CVE-2023-5737
• attMobileMouseRCECVE202331902 - Mobile Mouse Remote Command Execution CVE-2023-31902
• attOpenWireApacheServerRCECVE202346604 - OpenWire Apache Server RCE for CVE-2023-46604
• attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE for CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
• attLMSBlindSqlInjectionTimeoutCVE20248529 - Wordpress Learnpress Plugin SQL Injection CVE-2024-8529
• attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE for CVE-2024-56278
• JwtWeakSecretKey - 检测弱 JWT 密钥
• 易受攻击的组件数据库已更新到版本 1.7

有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表，请参阅 AppScan Standard 修复列表。

已在此发行版中更改

• 可访问性：对产品的无障碍支持进行了显著增强。主要更新包括：
  • 键盘导航：改进了功能，方便使用键盘快捷键和键盘进行导航。
  • 屏幕阅读器支持：增强的兼容性可确保用户界面元素可访问。
  • 颜色对比度：增强的对比度可提供更好的可见性。
  • 字号：增强的可访问性，支持将页面放大至最多 200%。
  • 已完成全面的 VPAT 评估，用于记录其符合第 508 条和 WCAG 等无障碍标准的情况。如需了解详情，请参阅可访问性。

即将推出的变更

• AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月终止支持 (EOS)。建议在该时间之前升级至最新可用版本。
• 由于 Microsoft® Windows® 10 和 Microsoft® Windows® Server 2019 的主要支持期已结束，AppScan 的未来版本将不再支持这两个操作系统。
• Web API 向导 (OpenAPI) 扩展将在 AppScan 的将来版本中被除去。
• 报告组件将仅在产品级别 (UI/AppScanCMD) 提供，不适用于 SDK 级别。