HCL AppScan Standard 10.9.0 新增功能簡介

HCL AppScan Standard 10 (Windows) - Web 應用程序安全測試

HCL AppScan Standard v10 for Windows Multilingual

請訪問原文鏈接：https://sysin.org/blog/appscan-10/ 查看最新版。原創作品，轉載請保留出處。

作者主頁：sysin.org

市場領先的應用程序安全解決方案（SAST、DAST、IAST、SCA、API）

市場領先的應用程序安全解決方案

HCL AppScan 為開發人員、DevOps 和安全團隊提供了一套技術來查明應用程序漏洞，以便在軟件開發生命週期的每個階段進行快速修復。

通過使用一流的測試工具、集中的可見性和監督以及多種部署選項（包括本地、雲端和雲原生）來保護您的應用程序，從而保護您的業務和客户。

解決方案

Dynamic Analysis 動態分析（DAST）

• 在應用程序運行時測試應用程序和 API 是否存在潛在漏洞。

Static Analysis 靜態分析（SAST）

• 在開發過程的早期分析應用程序和 API 中的源代碼是否存在潛在漏洞。

Interactive Analysis 交互式分析（IAST）

• 監控應用程序和 API，以幫助查找和修復漏洞，而不會減慢開發速度。

Software Composition Analysis 軟件成分分析（SCA）

• 識別開源軟件組件引入的漏洞。

ESG 技術評論：使用 HCL AppScan 實現持續的應用程序安全

“AppScan 通過直接集成到軟件開發生命週期來支持 DevSecOps，包括在自動化構建和部署管道期間的內聯執行，以及集成開發環境中的反饋和補救” —— Jack Poller，ESG 高級分析師

新增功能

本部分介紹此版本中的新增AppScan Standard產品功能和增強功能，以及相關棄用和預期變更。

HCL AppScan Standard 10.9.0 中的新增功能

• 定製腳本

  通過以下更新得到了增強：

  • 代碼編輯器：改進了語法檢查功能，增強了自動完成功能，從而提升了可用性。
  • 多步驟操作：新增支持使用自定義腳本動態調整參數 (sysin)。
  • 動態表單填充參數：在表單填充器中引入了對動態參數的支持。
• 支持使用 JSON 或 XML 消息進行數據交換的 WebSocket 協議。

• 合規性報告

  更新：

  • [US] DISA's Application Security and Development STIG。V6R3
  • 2024 年 CWE 最危險的 25 個軟件漏洞
• 自動登錄改進：現在，AppScan 可以更準確地執行自動登錄，從而提高整體登錄成功率。
• AppScan 單元級 DAST 智能測試器 (AUDIT)： 一種以開發人員為中心的 DAST 方法，使開發人員能夠高效地對特定端點運行有針對性的掃描，並在軟件開發生命週期 (SDLC) 的早期檢測漏洞，完美地集成在他們的集成開發環境 (IDE) 中。

修復和安全更新

此發行版中的新安全規則包括：

• attWordpressGalleryPluginPathTraversalCVE20233279 - Wordpress Gallery Plugin Path Traversal CVE-2023-3279
• attWordPressBackupMigrationplugincve20235737 - WordPress Backup and Migration plugin Broken Access CVE-2023-5737
• attMobileMouseRCECVE202331902 - Mobile Mouse Remote Command Execution CVE-2023-31902
• attOpenWireApacheServerRCECVE202346604 - OpenWire Apache Server RCE for CVE-2023-46604
• attApacheHugeGraphRCECVE202427348 - Apache HugeGraph RCE CVE-2024-27348 attApacheOFBizRCECVE202438856 - Apache OFBiz RCE for CVE-2024-38856 attCactiRCECVE202425641 - Cacti RCE CVE-2024-25641
• attLMSBlindSqlInjectionTimeoutCVE20248529 - Wordpress Learnpress Plugin SQL Injection CVE-2024-8529
• attWordPressUltimateExporterRCECVE202456278 - Wordpress Ultimate Exporter RCE for CVE-2024-56278
• JwtWeakSecretKey - 檢測弱 JWT 密鑰
• 易受攻擊的組件數據庫已更新到版本 1.7

已在此發行版中更改

• 可訪問性：

  對產品的無障礙支持進行了顯著增強。主要更新包括：

  • 鍵盤導航：改進了功能，方便使用鍵盤快捷鍵和鍵盤進行導航。
  • 屏幕閲讀器支持：增強的兼容性可確保用户界面元素可訪問。
  • 顏色對比度：增強的對比度可提供更好的可見性。
  • 字號：增強的可訪問性，支持將頁面放大至最多 200%。
  • 已完成全面的 VPAT 評估，用於記錄其符合第 508 條和 WCAG 等無障礙標準的情況。

即將推出的變更

• AppScan Standard V10.6.0 和更低版本將在 2025 年 6 月終止支持 (EOS)。建議在該時間之前升級至最新可用版本。
• 由於 Microsoft® Windows® 10 和 Microsoft® Windows® Server 2019 的主要支持期已結束，AppScan 的未來版本將不再支持這兩個操作系統。
• Web API 嚮導 (OpenAPI) 擴展將在 AppScan 的將來版本中被除去。
• 報告組件將僅在產品級別 (UI/AppScanCMD) 提供，不適用於 SDK 級別。

下載地址

HCL AppScan Standard v10 Multilingual for Windows

請訪問：https://sysin.org/blog/appscan-10/

更多：HTTP 協議與安全