HCL AppScan Standard 10.11 发布,新增功能简介

HCL AppScan Standard 10.11 发布,新增功能简介

HCL AppScan Standard 10 (Windows) - Web 应用程序安全测试

请访问原文链接:https://sysin.org/blog/appscan-10/ 查看最新版。原创作品,转载请保留出处。

作者主页:sysin.org

市场领先的应用程序安全解决方案(SAST、DAST、IAST、SCA、API)

HCL AppScan

市场领先的应用程序安全解决方案

HCL AppScan 为开发人员、DevOps 和安全团队提供了一套技术来查明应用程序漏洞,以便在软件开发生命周期的每个阶段进行快速修复。

通过使用一流的测试工具、集中的可见性和监督以及多种部署选项(包括本地、云端和云原生)来保护您的应用程序,从而保护您的业务和客户。

解决方案

Dynamic Analysis 动态分析(DAST)

  • 在应用程序运行时测试应用程序和 API 是否存在潜在漏洞。

Static Analysis 静态分析(SAST)

  • 在开发过程的早期分析应用程序和 API 中的源代码是否存在潜在漏洞。

Interactive Analysis 交互式分析(IAST)

  • 监控应用程序和 API,以帮助查找和修复漏洞 (sysin),而不会减慢开发速度。

Software Composition Analysis 软件成分分析(SCA)

  • 识别开源软件组件引入的漏洞。

ESG 技术评论:使用 HCL AppScan 实现持续的应用程序安全

“AppScan 通过直接集成到软件开发生命周期来支持 DevSecOps,包括在自动化构建和部署管道期间的内联执行,以及集成开发环境中的反馈和补救” —— Jack Poller,ESG 高级分析师

sysin

新增功能

HCL AppScan Standard 10.11.0 中的新增功能

2026 年 3 月

  • 改进了特权升级 - 基于已探索数据的中断的访问控制验证。
  • DAST-IFA 支持 Azure OpenAI 5.x 模型。
  • CVSS 4.0 支持:您现在可以在问题信息 UI 和报告中跟踪 CVSS 3.1 和 CVSS 4.0 的指标。漏洞排名继续基于 CVSS 3.1 标准。
  • 自动登录改进,包括对 Vue JS 框架的支持。
  • 能够通过仪表板将未探索的域添加到扫描范围。
  • 发现 Swagger/OpenAPI 定义文件时将发出参考信息警报,以确保 API 可见性。
  • 提供一系列增强功能和重新设计 (sysin),旨在提高多个对话框的可用性,如下所示:
    • 用于登录、多步骤操作和 LLM 的 AppScan 嵌入式浏览器。
    • 手动测试
    • 许可协议对话框
    • AppScan 日志
  • 合规性报告
    • 2025 年 OWASP 十大安全风险
    • 报告将问题状态显示为干扰。

修复和安全更新

此发行版中的新安全规则包括:

  • attWallosRCECVE202455371 - Wallos 远程代码执行 (RCE) CVE-2024-55371 和 CVE-2024-55372
  • attAPIOpenAPIFinding - 用于检测 OpenAPI/Swagger 端点的新规则
  • attJSONPathPlusRCECVE20251032 - 针对 CVE-2025-1032 的 JSONPath-Plus 远程代码执行
  • attNestRCECVE202554782 - Node.js Nest 框架远程代码执行 (RCE) CVE-2025-54782
  • NonQuantumResistantCiphers -“检测到非量子抗性密码套件”
  • attWordPressFunnelKitAutomationplugincve20251562 - WordPress FunnelKit Automations 插件漏洞 (CVE-2025-1562)
  • attGetSimpleCMSRCECVE202548492 - GetSimple CMS 远程代码执行 (RCE) CVE-2025-48492
  • FlaskWeakSecretKey -“Flask 弱密钥”
  • ExpressJsWeakSecretKey -“Express.js 会话密钥强度不足”
  • DjangoWeakSecretKey -“Django 弱安全密钥”
  • ViewStateWeakSecretKey -“ASP.NET ViewState 弱安全密钥”
  • LaravelWeakSecretKey -“Laravel (PHP) 弱安全密钥”
  • SymfonyWeakSecretKey -“Symfony (PHP) UriSigner 弱签名密钥”
  • attElysiaCVE202566456 - Elysia 远程代码执行 (RCE) CVE-2025-66456
  • 易受攻击的组件数据库已更新到版本 1.10

有关此发行版中的修复、新的已更新安全规则以及 RFE 的完整列表,请参阅 AppScan Standard 修订列表。

已在此发行版中更改

  • “工具”>“选项”>“测试选项”下的 AI 配置(位于 AI 设置中)已更新,以包含部署标识。
  • AppScan Connect:您现在可以在上载 AppScan on Cloud 和 AppScan 360° 的结果时包含扫描配置
  • 可访问性:持续增强以提高可访问性 (sysin)。
  • 在录制流量时可以轻松访问外部浏览器。
  • 特权升级 - 中断的访问控制现在在扫描文件中包含参考文件。因此,参考文件的任何后续更新都不会反映在扫描文件中。

即将推出的变更

  • AppScan Standard 10.7.0 将于 2027 年 3 月 30 日停止支持 (EOS),并将于 2026 年 6 月 30 日从 MHS 中移除。请升级到最新可用版本。
  • 报告组件将仅在产品级别 (UI/AppScanCMD) 提供,不适用于 SDK 级别。
  • SSL 将在未来版本中弃用。
  • 由于 Azure OpenAI 将停用这些模型,因此将停止对 GPT-4.x 模型的支持。

下载地址

HCL AppScan Standard v10 Multilingual for Windows

请访问:https://sysin.org/blog/appscan-10/

更多:HTTP 协议与安全

posted @ 2026-03-24 15:33  sysin  阅读(2)  评论(0)    收藏  举报