HCL AppScan Standard 10.10.0 for Windows x64 - Web 应用程序安全测试

HCL AppScan Standard v10 for Windows x64 Multilingual

请访问原文链接：https://sysin.org/blog/appscan-10/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

市场领先的应用程序安全解决方案（SAST、DAST、IAST、SCA、API）

市场领先的应用程序安全解决方案

HCL AppScan 为开发人员、DevOps 和安全团队提供了一套技术来查明应用程序漏洞，以便在软件开发生命周期的每个阶段进行快速修复。

通过使用一流的测试工具、集中的可见性和监督以及多种部署选项（包括本地、云端和云原生）来保护您的应用程序，从而保护您的业务和客户。

AppScan 解决方案：

⚡Dynamic Analysis 动态分析（DAST）

在应用程序运行时测试应用程序和 API 是否存在潜在漏洞。

📝Static Analysis 静态分析（SAST）

在开发过程的早期分析应用程序和 API 中的源代码是否存在潜在漏洞。

🛡️Interactive Analysis 交互式分析（IAST）

监控应用程序和 API，以帮助查找和修复漏洞，而不会减慢开发速度。

📦Software Composition Analysis 软件成分分析（SCA）

识别开源软件组件引入的漏洞。

ESG 技术评论：使用 HCL AppScan 实现持续的应用程序安全

“AppScan 通过直接集成到软件开发生命周期来支持 DevSecOps，包括在自动化构建和部署管道期间的内联执行，以及集成开发环境中的反馈和补救” —— Jack Poller，ESG 高级分析师

用 HCL AppScan 进行应用程序安全测试

采用可扩展的安全测试策略，在开发生命周期的每个阶段查明并修复应用程序漏洞，以最大限度地减少受到攻击的风险。HCL AppScan 提供一流的安全测试工具 (sysin)，确保您的业务和客户不易受到攻击。

1,000,000
行代码 / 小时的 AppScan Source 源扫描速度

253%
全球零售商的投资回报

98%
减少静态应用程序安全测试的误报

快速识别、理解和修复安全漏洞

在应用程序漏洞成为问题之前检测它们，在它们仍然很容易解决时修复它们，确保它符合管理法规。

跨网页、移动端和开源软件端的高级安全测试
多用户、多应用部署的有效管理和报告工具
快速查明和修复漏洞
灵活、可扩展的部署选项，包括预置软件、云部署或混合部署

AppScan 版本

🖥️AppScan Standard（标准版）

一款动态应用程序安全测试（DAST，Web 应用漏洞扫描，渗透测试）桌面工具，旨在帮助安全专家和渗透测试人员 (sysin)。在应用程序运行时，针对潜在漏洞对应用程序和 API 进行测试。

🧩AppScan Source

一款本地的静态应用程序安全测试（SAST，代码审计，代码安全漏洞扫描）工具，旨在帮助组织在开发过程的早期，测试应用程序和 API 的潜在漏洞。

🏢AppScan Enterprise（企业版）

可扩展的应用程序安全测试工具，提供 SAST、DAST、IAST 和风险管理功能，可帮助企业在整个应用程序开发生命周期中管理风险和合规性。

☁️AppScan on Cloud

云上可用的一整套安全测试工具，包括 SAST、DAST、IAST 和 SCA。无需安装任何软件即可开始扫描应用程序和 API。

新增功能

HCL AppScan Standard 10.10.0 中的新增功能：

DAST LLM 扫描程序：**在攻击者利用 LLM 的弱点之前，先将其暴露出来！**使用 AppScan 动态应用程序安全性 (DAST) 保护您的大语言模型 (LLM)，该工具专门设计用于识别关键漏洞，如敏感信息泄露、提示注入、错误信息等。
定制脚本：编辑器增强功能包括改进的自动完成功能 (sysin)。这些增强功能提供了额外的 JavaScript 方法和类型，以及更多的激活触发器，例如开始一个新单词或输入句点（“.”）。
多步骤增强功能：用户界面经过了重新设计，以提供更出色的用户体验。新增了故障诊断选项，可查看回放的请求（原始数据和浏览器）并比较录制的请求与回放的请求，这些选项仅在序列验证后可用。
合规性报告
- 新增报告：
  - 2025 年 LLM 应用 OWASP 前 10 大漏洞
  - [加拿大] - ITSG-33 行业标准报告
- 更新报告：
  - 国际标准 - ISO 27001:2022
  - 国际标准 - ISO 27002:2022
  - 支付卡行业数据安全标准 (PCI DSS) - V4.0.1
  - NIST 特刊 800-53 - 5.2.0
  - [EU] Regulation 2016/679 Of The European Parliament And Of The Council (GDPR)
  - [US] Healthcare Services (HIPAA)
- 合规性报告现在包括修复建议详细信息。
屏蔽改进：增强了 AppScan 的屏蔽功能，可更一致地保护敏感信息。
自动登录改进：AppScan 现在可以更可靠地遍历 Angular 应用程序 (sysin)，修复罕见的登录录制错误，并在播放失败后的第二次尝试操作之间增加延迟，从而提高总体成功率。
改进了对使用 AngularJS 框架的单页应用程序 (SPA) 扫描的支持。

修复和安全更新：

此发行版中的新安全规则包括：

COOP - Cross-Origin-Opener-Policy (COOP) 标头缺失或不安全
CORP - Cross-Origin-Resource-Policy (CORP) 标头缺失或不安全
COEP - Cross-Origin-Embedder-Policy (COEP) 标头缺失或不安全
attCSPAPI - CSP（适用于 API 端点）中的“frame-ancestors”指令标头缺失或不安全
attApacheOFBizRCECVE202445195 - Apache OFBiz RCE for CVE-2024-45195
attApacheOFBizRCECVE202445507 - Apache OFBiz RCE for CVE-2024-45507
attSpringFrameworkPathTraversalCVE202438816 - Spring Framework 路径遍历 CVE-2024-38816 和 CVE-2024-38819
attWordpressPiePluginAuthenticationBypassCVE202534077 - Wordpress Pie Register 身份验证不充分 CVE-2025-34077
attWordPressKubioPathTraversalCVE20252294 - Wordpress Kubio AI Page Builder 插件路径遍历 CVE-2025-2294
易受攻击的组件数据库已更新到版本 1.8

已在此发行版中更改：

AI 配置已从“测试选项”移至“工具”>“选项”>“AI 设置”。
为了提高安全性，将移除以下配置：
- 高级扫描配置
  - 审查日志
  - 审查报告
  - 加密敏感数据
- 工具选项
  - EncryptPdfReportData
使用外部浏览器录制登录和多步骤操作现在支持基于操作的录制。
AppScan Connect：现在，ASoC 用户可以将问题与扫描文件一起发布到 ASoC，这有助于重新扫描而不是创建新扫描，从而节省时间和资源 (sysin)。
URL 限制从 1024 个字符更改为 4096 个字符。
Web API 向导 (OpenAPI) 扩展已移除。
AppScan Standard V10.6.0 和更低版本将在 2025 年 6 月 30 日终止支持 (EOS)。这些版本的文档不再在公共文档网站上提供。
对 Microsoft® Windows® 10 的支持已终止。
Windows 2025 支持。