新增功能

本節說明此版本中的新 AppScan Standard 產品功能和加強功能,以及相關的淘汰和預期變更。

HCL AppScan Standard 10.9.0 中的新功能

  • 自訂 Script 已透過下列更新增強功能:
    • 程式碼編輯器:改善語法檢查且強化自動完成功能,可用性再升級。
    • 多步操作:新增支援使用自訂腳本動態調整參數。
    • 動態填入表單參數:推出支援動態填入表單參數。
  • 支援使用 JSON 或 XML 訊息交換資料的 WebSocket 通訊協定。
  • 法規遵循報告更新:
    • [美國] DISA 的應用程式安全與開發 STIG。V6R3
    • 2024 年 CWE 前 25 大最危險的軟體弱點
  • 自動登入規則:AppScan 現在可以更準確執行自動登入,整體成功率隨之提升。
  • AppScan 單元級 DAST 智能測試器 (AUDIT): 一種以開發者為中心的 DAST 方法,使開發者能夠有效地對特定端點進行目標掃描,並在 SDLC 的早期階段檢測漏洞,無縫整合到他們的 IDE 中。如需更多資訊,請參閱文章 AppScan 單元級 DAST 智能測試器 (AUDIT)。

修正和安全更新

此版本中的新安全規則包括:

  • attWordpressGalleryPluginPathTraversalCVE20233279 - Wordpress 圖庫外掛程式路徑遍訪 CVE-2023-3279
  • attWordPressBackupMigrationplugincve20235737 - WordPress 備份與移轉外掛程式中斷存取 CVE-2023-5737
  • attMobileMouseRCECVE202331902 - 執行行動滑鼠遠端指令 CVE-2023-31902
  • attOpenWireApacheServerRCECVE202346604 - OpenWire Apache 伺服器 RCE for CVE-2023-46604
  • attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE,適用於 CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
  • attLMSBlindSqlInjectionTimeoutCVE20248529 - Wordpress Learnpress 外掛程式 SQL 注入 CVE-2024-8529
  • attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE,適用於 CVE-2024-56278
  • JwtWeakSecretKey - 偵測低強度 JWT 秘密金鑰
  • 漏洞元件資料庫已更新至版本 1.7

如需本次發行之修正程式、新版和更新版安全規則及 RFE 的完整清單,請參閱 AppScan Standard 修正程式清單

已在此版本中變更

  • 無障礙:大幅增強功能以提升旗下產品的可存取性。主要更新包括:
    • 鍵盤導覽:使用鍵盤快速鍵和鍵盤提升功能以利瀏覽。
    • 支援畫面讀取器:增強相容性以確保 UI 元素符合無障礙要求。
    • 色彩對比:提高對比率以提高能見度。
    • 字型大小:增強無障礙功能,縮放能力最高達 200%。
    • 已完成 VPAT 全面性評估,並製作符合第 508 節和 WCAG 等無障礙標準的文件。如需相關資訊,請參閱無障礙部分。

即將進行的變更

  • AppScan Standard 10.6.0 及更舊版本將於 2025 年 6 月結束支援 (EOS)。建議您在此時間之前升級至可用的最新版本。
  • 由於 Microsoft® Windows® 10 和 Microsoft® Windows® Server 2019 即將結束主要支援服務,所以 AppScan 的未來版本將不再支援。
  • AppScan 的未來版本中將移除 Web API 精靈 (OpenAPI) 延伸。
  • 報告元件僅能透過產品層級 (UI/AppScanCMD) 使用,無法在 SDK 層級使用。