Modifications du produit lors de la mise à niveau depuis une version précédente

Modifications pouvant avoir un impact sur vos examens ou données de rapport lorsque vous procédez à la mise à niveau à partir d'une version précédente. Veillez à lire toutes les rubriques afin de bien comprendre le processus de mise à niveau.

Mise à niveau depuis la version 9.0.3
  • Les pages d'erreur personnalisées ne sont plus définies de manière globale, mais le sont seulement sur le travail d'examen de contenu. Lors de la mise à niveau, chaque travail d'examen de contenu (travail *.scant) et examen de client AppScan Dynamic Analysis déplace les pages d'erreur personnalisées globales vers le travail individuel.
  • Pour les travaux d'examen de contenu existants (incluant les travaux QuickScan qui ne sont pas créés dans le client AppScan Dynamic Analysis), la page Options d'exploration contient une nouvelle case permettant de filtrer les pages identiques en fonction de leur structure (DOM). Si un travail d'examen de contenu existant :
    • A une limite de chemins d'accès redondants définie sur 5, cette option est désactivée et le filtrage DOM est activé
    • A une limite de chemins d'accès redondants définie sur une autre valeur, cette option reste activée et le filtrage DOM n'est pas activé
    • A une quantité maximale de contenu similaire définie sur 5, avec une structure HTML activée, cette option est désactivée et le filtrage DOM est activé
    • A une quantité maximale de contenu similaire définie sur une autre valeur, ou il compare la structure texte et HTML, cette option reste activée et le filtrage DOM n'est pas activé
  • Les types de problème sont changés régulièrement dans les règles de sécurité. La mise à jour des règles de sécurité permet de ne plus détecter certains types de problème obsolètes. Il sera nécessaire de trier à nouveau les différents problèmes.
Mise à niveau à partir de la version 9.0.2.1
  • L'écran Restaurer les paramètres AppScan Server de l'assistant de configuration contient une nouvelle option qui permet de conserver les fichiers de scanner *.jar personnalisés ayant été ajoutés à <install-dir>\HCL\AppScan Enterprise\Liberty\usr\servers\<instance_name>\lib\scanners.
Mise à niveau à partir de la version 9.0.2
  • Dans les versions précédentes, les problèmes importés étaient cumulatifs. Dans la version 9.0.2.1, vous pouvez supprimer les problèmes précédemment trouvés dans une application mais qui ne sont pas inclus dans les importations ultérieures. Dans les profils de scanners de la version 9.0.1, la case Supprimer les problèmes orphelins est désactivée pour la version 9.0.2.1 afin de respecter le comportement déjà appliqué (celui-ci peut être annulé en désélectionnant cette case).
  • Lorsque vous ajoutez un nom d'attribut de problème au profil de scanner, la case Utiliser des valeurs importées est activée par défaut. Laissez la case à cocher Utiliser des valeurs importées activée si vous souhaitez mettre à jour un attribut de problème existant avec des valeurs contenues dans le fichier importé. Si vous désélectionnez cette case à cocher, AppScan Enterprise conserve la valeur précédemment utilisée. Si vous sélectionnez la case Unique, vous pouvez effacer la case Utiliser des valeurs importées.
  • Des changements ont été apportés aux API REST.

Mise à niveau effectuée à partir de la version 9.0.1

  • Il existe un statut Nouveau problème. Lors de la mise à niveau, la colonne Nouveau problème est disponible pour l'affichage dans l'onglet Portefeuille de la vue Surveillance. Les formules sont mises à jour pour inclure les problèmes dotés du statut Nouveau. La mise à niveau n'affecte pas l'état des problèmes détectés dans les versions précédentes.
  • Un nouvel onglet Tableau de bord affiche les graphiques qui apparaissaient précédemment sur l'onglet Portefeuille dans la version 9.0.1. Ce nouveau tableau de bord inclut les graphiques de tendances pour l'Evaluation des risques de sécurité, le Statut des tests, les Applications avec des problèmes non résolus et les Problèmes non résolus.
    Remarque :

    Des conflits de désignation peuvent se produire entre les personnalisations d'attribut d'application version 9.0.1 et les nouveaux diagrammes de tendance de tableau de bord version 9.0.2

    Les graphiques Problèmes non résolus et Applications avec des problèmes non résolus reposent sur un nouvel attribut d'application nommé "Problèmes non résolus" défini en tant que formule. Toutefois, si vous avez précédemment créé un attribut d'application nommé "Problèmes non résolus" d'un type autre que formule, la mise à niveau ne tente pas de résoudre le conflit entre votre attribut et celui requis par la version 9.0.2 pour les nouveaux graphiques.

    Par conséquent, les nouveaux graphiques ne s'afficheront pas comme prévu après la mise à niveau et vous devrez résoudre ce problème manuellement. Renommez votre attribut "Problèmes non résolus" si vous souhaitez conserver ses valeurs. Mettez à jour toutes les formules dans lesquelles vous avez fait référence à cet attribut "Problèmes non résolus" et indiquez son nouveau nom. Revenez ensuite à l'assistant de configuration pour créer l'attribut de formule "Problèmes non résolus" requis par les nouveaux graphiques.

  • Une nouvelle approche permet de créer des examens cohérents avec AppScan Standard, à la fois pour l'équipe de sécurité qui crée les modèles et pour les développeurs qui créent les examens. Voir Présentation des différences de configuration d'examen dans la version 9.0.2 ou supérieure par rapport aux versions précédentes.
    • Vous pouvez accéder à la nouvelle méthode à partir des vues Surveillance et Examens.
    • Les modèles d'examen existants de la version 9.0.1.1 sont conservés après la mise à niveau, et l'ancienne méthode de création de modèle QuickScan fonctionne toujours.
    • Pour tirer parti de cette nouvelle méthode, vous devez, pendant la mise à niveau, exécuter l'assistant de définition des paramètres par défaut après l'assistant de configuration afin d'installer les modèles pour la version 9.0.2.
    • Dans le but d'éviter tout conflit de nom de modèle dans le répertoire Modèles de l'Explorateur de dossiers, (v9.0.2) est ajouté au nom de modèle.
    • Si vous installez une nouvelle instance d'AppScan Enterprise, vous avez toujours accès aux modèles de la version 9.0.1.1. Lorsque vous créez un modèle ou un examen de contenu à partir de la vue Examens, sélectionnez Créer en utilisant le fichier de paramètres sauvegardé précédemment et accédez à <install-dir>\AppScan Enterprise\Initializations\ASE\DefaultTemplates\Job\Version 9.0.1.1 pour sélectionner le fichier *xml.
  • La version intégrée de Liberty est désormais la version 8.5.5.4. Lors de la configuration, vous pouvez choisir de restaurer les paramètres personnalisés d'AppScan Server précédents sur Liberty Server. Voir Restauration des paramètres AppScan Server.

Pour plus d'informations sur les nouveautés et les modifications intervenues depuis la version 9.0.1.1, lisez ce livre blanc.

Mise à niveau à partir de la version 9.0

  • Dans AppScan Enterprise version 9.0.1, la conception de l'architecture a été revue afin de réduire l'encombrement de l'installation et de retirer IBM Rational Jazz Team Server (Jazz Team Server) en tant que composant d'authentification des utilisateurs. Avec le retrait de Jazz Team Server, les serveurs de déploiement Apache Tomcat et WebSphere Application Server ne sont plus pris en charge dans la version 9.0.1. Ils sont remplacés par IBM WebSphere Application Server Liberty Core version 8.5.5.2. Voir Remplacement de Jazz Team Server par WebSphere Liberty - Foire aux questions.
  • Pour les nouvelles instances de la version 9.0.1, la formule d'évaluation du risque a changé. Si vous effectuez une mise à niveau à partir de la version 9.0, la formule d'évaluation du risque est toujours la même et vos évaluations du risque restent cohérentes. Vous pouvez toutefois utiliser la nouvelle formule IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity)) en remplaçant l'ancienne formule dans le modèle de profil d'application dans AppScan Enterprise.
  • Gestion des problèmes via la vue Surveillance : Dans la version 9.0, des privilèges de gestion des problèmes étaient définis pour le dossier contenant un examen. Dans la version 9.0.1, la gestion des problèmes est définie dans l'application. Suite à la mise à niveau depuis la version 9.0, si un examen est déjà associé à une application, les utilisateurs qui disposaient de privilèges de gestion des problèmes pour le dossier possèdent désormais des droits de base pour l'application, afin qu'ils puissent continuer à gérer ces problèmes. Il est possible de leur accorder l'accès à des examens auxquels ils ne pouvaient pas accéder précédemment. Par exemple,
    Version 9.0 v9.0.1 Résultat
    Dossier A : (Robert est titulaire du rôle de Gestionnaire de problèmes)
    • Examen X
    • Examen Y
    Dossier B : (Marie est titulaire du rôle de Gestionnaire de problèmes)
    • Examen A
    • Examen B
    L'application 1 est associée aux travaux d'examen suivants :
    • Examen X
    • Examen B
    Désormais, Marie possède les droits d'accès de base à l'examen B pour qu'elle puisse continuer son travail et a également accès à l'examen X, auquel elle ne pouvait pas accéder dans la version 9.0.
    Si vous voulez restreindre les droits d'accès d'un utilisateur pour la gestion des problèmes dans des applications spécifiques, retirez-lui l'accès de base pour les applications auxquelles il ne doit pas avoir accès. Dans l'exemple ci-dessus, retirez à Marie les droits d'accès de base pour l'examen X. Pour trouver l'application qui contient l'examen X, accédez à la vue Examens et mettez à plat la hiérarchie afin de n'afficher que les travaux. Recherchez l'examen X et cliquez sur le lien correspondant au nom d'application auquel il est associé. Dans l'onglet Application, cliquez sur Afficher les détails et dans la section Utilisateurs de la boîte de dialogue, retirez les droits d'accès de base à Marie.
Mise à niveau à partir de la version 8.8
  • Les groupes de serveurs ne sont plus définis par des adresses URL. Toute définition d'adresse URL existante sera supprimée des groupes de serveurs existants. Consultez le fichier WFCfgWiz.log pour plus de détails.
  • HTTPS a remplacé HTTP comme schéma requis pour la connexion et les services REST.
  • Certains rapports ont été supprimés car ils ne sont plus adaptés à la direction du produit. Lisez la rubrique Fonctions obsolètes.
Mise à niveau à partir de la version 8.7
  • Moteur d'examen commun entre AppScan Standard et AppScan Enterprise : Un nouveau moteur d'examen commun permet de disposer d'une configuration des options de travail d'examen plus standardisée. Certains rapports ne sont donc plus disponibles dans AppScan Enterprise :
    • Rapport Problèmes de sécurité corrélés (AppScan DE)
    • Rapport Catalogue d'images
    • Rapport Catalogue des métadonnées
    • Rapport Texte de remplacement manquant
    • Rapport Titres manquants
    • Rapport Contenu multimédia
    • Rapport Images cliquables côté serveur
    • Rapport Liens d'un tiers
    • Rapport Applications Web
    • Rapport Pixels espion
    • Rapport Technologies de site Web
  • Suppression de l'option Equilibrage de charge : l'équilibrage de charge sur les domaines et les adresses URL de démarrage n'est plus disponible avec la nouvelle configuration des options de travaux d'examen standardisée. Lors de la mise à niveau, les travaux pour lesquels l'équilibrage de charge avait été défini utiliseront le nouveau moteur commun qui s'exécutera sans l'option d'équilibrage de charge.
  • Licences utilisateur : le type de licence du compte de service a été retiré. Au moment de la mise à niveau, l'assistant de configuration attribuera au type de licence du compte de service le type de licence de l'utilisateur par défaut (examen d'utilisateur flottant, rapports d'utilisateur flottant, examen d'utilisateur autorisé ou rapports d'utilisateur autorisé).
  • Activation de la conformité FIPS 140-2 dans Enterprise Console : des changements de nom et de comportement pour intégrer la conformité à NIST ont été apportés dans la page Paramètres généraux sous l'onglet Administration. La case à cocher "Activez la sécurité avancée" a été renommée en "Désactiver le plug-in Manual Explorer" et conserve la valeur qu'elle avait avant la mise à niveau. Si vous étiez conforme aux normes FIPS, cette case reste sélectionnée ; dans le cas contraire, elle reste désélectionnée. Si votre organisation est une agence fédérale nord-américaine qui doit respecter la norme FIPS 140-2 ou NIST SP800-131a, cochez la case afin qu'Enterprise Console soit conforme à ces normes de sécurité.
  • Le respect de la casse est passé du niveau du domaine à celui du travail. Définissez-le sur la page Objet de l'examen du travail.
  • Rapports obsolètes : le rapport OWASP Top 10 2010 a été remplacé par la version 2013 dans la version 8.8. Par contre, si des groupes de rapports et des tableaux de bord ont été utilisés dans le rapport 2010, ces données ne seront pas perdues. Les nouvelles instances d'AppScan Enterprise 8.8 n'utiliseront que le rapport 2013.
  • Modifications de l'algorithme de tentatives de connexion : avant la version 8.8, l'examen tentait de se connecter trois fois avant d'être suspendu. Désormais, elle se produit après 90 secondes.
Mise à niveau à partir de la version 8.6
Remarque : La mise à niveau vers la version 8.7 inclut une étape d'optimisation à exécuter une seule fois, qui nécessite du temps supplémentaire et peut allonger le processus de mise à niveau global.
  • La méthode précédemment utilisée pour protéger les données 'au repos' (support physique) est obsolète et sera supprimée au cours du processus de mise à niveau. Lisez Protection des données par le biais du chiffrement avant de commencer la mise à niveau.
  • Un espace disque supplémentaire est requis au cours du processus de mise à niveau sur le serveur de base de données, à peu près équivalent à la taille de la base de données AppScan Enterprise existante. Cet espace sera utilisé temporairement au cours de la mise à niveau et remis à disposition une fois l'opération terminée.
  • Les examens utiliseront désormais un fichier de base de données (imbriquée) locale. Il convient qu'un espace disque suffisant soit alloué aux machines Serveur d'agent. Pour plus d'informations sur le fonctionnement du fichier de base de données local lors de l'examen, voir la section Outil d'examen d'analyse dynamique (Dynamic Analysis Scanner) de la rubrique Installation de tous les composants requis sur un ordinateur unique.
  • Activation de la conformité aux normes FIPS 140-2 : les produits qui prennent en charge les normes FIPS 140-2 peuvent être placés dans un mode dans lequel ils utilisent uniquement des algorithmes et méthodes approuvés par FIPS 140-2.
  • Les éléments de dossier précédents qui étaient suspendus sont désormais "Prêts" après la mise à niveau. Les éléments de dossier qui étaient à l'état suspendu avant la mise à niveau sont désormais à l'état Prêt. Une icône identifiera ces éléments pour vous permettre de décider si une investigation ou des actions supplémentaires sont requises.
  • Filtres XRule sur les groupes de rapports : les filtres XRule ont été supprimés des groupes de rapports. Les rapports comprenant des XRules contiendront plus de données après la ré-exécution du groupe de rapports.
Mise à niveau à partir de la version 8.5.0.1
  • Alignement des options de travail d'examen par défaut avec AppScan Standard : les travaux et modèles existants créés dans les versions antérieures à la version 8.6 ne sont pas mis à jour automatiquement pour utiliser les nouvelles options de travail qui possèdent de nouvelles valeurs par défaut. Seuls les nouveaux travaux ou modèles utilisent les nouvelles valeurs par défaut.
  • Flux de travaux du programme d'installation ou de l'assistant de configuration : lors de l'installation de la version 8.6, vous pouvez choisir d'installer un tout nouveau serveur Jazz Team Server ou d'en utiliser un existant.
Mise à niveau à partir de la version 8.5.0.0
  • Licences utilisateur : lors de la mise à niveau, le serveur de licences est interrogé pour déterminer la licence utilisateur dont vous disposez le plus et remplace le type de licence de tous les utilisateurs (sauf le compte Service de compte et Administrateur de produit) par ce type. Si vous devez changer le type de licence pour les utilisateurs, accédez à l'onglet Administration > Utilisateurs et groupes et changez-le à partir de cet onglet.
  • Recherche de variantes : lorsque vous importez un fichier d'évaluation à partir d'AppScan Source, si les résultats diffèrent uniquement par la trace, AppScan Enterprise regroupe ces résultats pour créer un seul problème comportant plusieurs variantes.
  • Modifications apportées au compte de service : la simulation du compte de service n'est plus prise en charge. Les travaux qui utilisent ce compte de service seront interrompus. Editez les propriétés avec un nom d'utilisateur et un mot de passe corrects et réexécutez le travail.

Mise à niveau à partir de la version 8.0.0.0

Les versions 8.5 et 8.6 utilisent le serveur Rational License Server. Vous devez impérativement lire et comprendre le document Licences produit et utilisateur avant d'installer la version en cours.