Modifications du produit lors de la mise à niveau depuis une version précédente

Modifications pouvant avoir un impact sur vos examens ou données de rapport lorsque vous procédez à la mise à niveau à partir d'une version précédente. Veillez à lire toutes les rubriques afin de bien comprendre le processus de mise à niveau.

Mise à niveau vers la version 10.0.5

A partir d'AppScan Enterprise versions 10.0.5 et ultérieures, la fonction AppScan Enterprise IAST requiert une licence valide pour être fonctionnelle. Par conséquent, la fonctionnalité des agents IAST dépend des scénarios d'octroi de licence suivants :
  • Si vous ne vous abonnez pas (ou n'installez pas) de licence IAST lors de la mise à niveau vers AppScan Enterprise versions 10.0.5 et ultérieures, tous les agents IAST déployés sont désactivés, quel que soit leur statut prédéfini.
  • Si vous avez déployé plus d'agents IAST que le nombre de licences IAST achetées dans AppScan Enterprise version 10.0.5 et ultérieures que vous mettez à niveau, les agents IAST supplémentaires sont désactivés en raison de licences insuffisantes.

Mise à niveau de la version 10.0.2 vers 10.0.3

Pour les clients qui utilisent AppScan Enterprise IAST Communication Service et/ou le service de base de données AppScan Source.
  • Lors de la mise à niveau d'AppScan Enterprise version 10.0.2 vers AppScan Enterprise version 10.0.3, il est recommandé d'arrêter manuellement deux services - AppScan Enterprise IAST Communication Service et le service de base de données AppScan Source, en exécutant le fichier de traitement par lots shutdown.bat fourni pour chacun de ces services respectifs dans le répertoire d'installation d'AppScan Enterprise version 10.0.2.

    Pour chacun de ces services, le fichier de traitement par lots est disponible dans le répertoire d'installation d'AppScan Enterprise.

    En supposant que le répertoire d'installation par défaut est choisi, l'emplacement devrait être celui-ci :
    • shutdown.bat pour arrêter le service IAST est disponible sur C:\Program Files (x86)\IBM\AppScan Enterprise\IASTService.
    • shutdown.bat pour arrêter le service de base de données AppScan Source est disponible sur C:\Program Files (x86)\IBM\AppScan Enterprise\AppScanDBService.
Mise à niveau depuis la version 9.0.3
  • Les pages d'erreur personnalisées ne sont plus définies de manière globale, mais le sont seulement sur le travail d'examen de contenu. Lors de la mise à niveau, chaque travail d'examen de contenu (travail *.scant) et examen de client AppScan Dynamic Analysis déplace les pages d'erreur personnalisées globales vers le travail individuel.
  • Pour les travaux d'examen de contenu existants (incluant les travaux QuickScan qui ne sont pas créés dans le client AppScan Dynamic Analysis), la page Options d'exploration contient une nouvelle case permettant de filtrer les pages identiques en fonction de leur structure (DOM). Si un travail d'examen de contenu existant :
    • A une limite de chemins d'accès redondants définie sur 5, cette option est désactivée et le filtrage DOM est activé
    • A une limite de chemins d'accès redondants définie sur une autre valeur, cette option reste activée et le filtrage DOM n'est pas activé
    • A une quantité maximale de contenu similaire définie sur 5, avec une structure HTML activée, cette option est désactivée et le filtrage DOM est activé
    • A une quantité maximale de contenu similaire définie sur une autre valeur, ou il compare la structure texte et HTML, cette option reste activée et le filtrage DOM n'est pas activé
  • Les types de problème sont changés régulièrement dans les règles de sécurité. La mise à jour des règles de sécurité permet de ne plus détecter certains types de problème obsolètes. Il sera nécessaire de trier à nouveau les différents problèmes.
Mise à niveau à partir de la version 9.0.2.1
  • L'écran Restaurer les paramètres AppScan Server de l'assistant de configuration contient une nouvelle option qui permet de conserver les fichiers de scanner *.jar personnalisés ayant été ajoutés à <install-dir>\HCL\AppScan Enterprise\Liberty\usr\servers\<instance_name>\lib\scanners.
Mise à niveau à partir de la version 9.0.2
  • Dans les versions précédentes, les problèmes importés étaient cumulatifs. Dans la version 9.0.2.1, vous pouvez supprimer les problèmes précédemment trouvés dans une application mais qui ne sont pas inclus dans les importations ultérieures. Dans les profils de scanners de la version 9.0.1, la case Supprimer les problèmes orphelins est désactivée pour la version 9.0.2.1 afin de respecter le comportement déjà appliqué (celui-ci peut être annulé en désélectionnant cette case).
  • Lorsque vous ajoutez un nom d'attribut de problème au profil de scanner, la case Utiliser des valeurs importées est activée par défaut. Laissez la case à cocher Utiliser des valeurs importées activée si vous souhaitez mettre à jour un attribut de problème existant avec des valeurs contenues dans le fichier importé. Si vous désélectionnez cette case à cocher, AppScan Enterprise conserve la valeur précédemment utilisée. Si vous sélectionnez la case Unique, vous pouvez effacer la case Utiliser des valeurs importées.
  • Des changements ont été apportés aux API REST.
  • Une nouvelle formule de retard sur l'échéance est disponible. Si vous avez créé un attribut Retard sur l'échéance dans une version précédente d'AppScan Enterprise, la version 9.0.3 ajoute le suffixe "_1" à son nom et crée le nouvel attribut Retard sur l'échéance qui doit être utilisé par la formule.

Mise à niveau effectuée à partir de la version 9.0.1

  • Il existe un statut Nouveau problème. Lors de la mise à niveau, la colonne Nouveau problème est disponible pour l'affichage dans l'onglet Portefeuille de la vue Surveillance. Les formules sont mises à jour pour inclure les problèmes dotés du statut Nouveau. La mise à niveau n'affecte pas l'état des problèmes détectés dans les versions précédentes.
  • Un nouvel onglet Tableau de bord affiche les graphiques qui apparaissaient précédemment sur l'onglet Portefeuille dans la version 9.0.1. Ce nouveau tableau de bord inclut les graphiques de tendances pour l'Evaluation des risques de sécurité, le Statut des tests, les Applications avec des problèmes non résolus et les Problèmes non résolus.
    Remarque :

    Des conflits de désignation peuvent se produire entre les personnalisations d'attribut d'application version 9.0.1 et les nouveaux diagrammes de tendance de tableau de bord version 9.0.2

    Les graphiques Problèmes non résolus et Applications avec des problèmes non résolus reposent sur un nouvel attribut d'application nommé "Problèmes non résolus" défini en tant que formule. Toutefois, si vous avez précédemment créé un attribut d'application nommé "Problèmes non résolus" d'un type autre que formule, la mise à niveau ne tente pas de résoudre le conflit entre votre attribut et celui requis par la version 9.0.2 pour les nouveaux graphiques.

    Par conséquent, les nouveaux graphiques ne s'afficheront pas comme prévu après la mise à niveau et vous devrez résoudre ce problème manuellement. Renommez votre attribut "Problèmes non résolus" si vous souhaitez conserver ses valeurs. Mettez à jour toutes les formules dans lesquelles vous avez fait référence à cet attribut "Problèmes non résolus" et indiquez son nouveau nom. Revenez ensuite à l'assistant de configuration pour créer l'attribut de formule "Problèmes non résolus" requis par les nouveaux graphiques.

  • Une nouvelle approche permet de créer des examens cohérents avec AppScan Standard, à la fois pour l'équipe de sécurité qui crée les modèles et pour les développeurs qui créent les examens. Voir Présentation des différences de configuration d'examen dans la version 9.0.2 ou supérieure par rapport aux versions précédentes.
    • Vous pouvez accéder à la nouvelle méthode à partir des vues Surveillance et Examens.
    • Les modèles d'examen existants de la version 9.0.1.1 sont conservés après la mise à niveau, et l'ancienne méthode de création de modèle QuickScan fonctionne toujours.
    • Pour tirer parti de cette nouvelle méthode, vous devez, pendant la mise à niveau, exécuter l'assistant de définition des paramètres par défaut après l'assistant de configuration afin d'installer les modèles pour la version 9.0.2.
    • Dans le but d'éviter tout conflit de nom de modèle dans le répertoire Modèles de l'Explorateur de dossiers, (v9.0.2) est ajouté au nom de modèle.
    • Si vous installez une nouvelle instance d'AppScan Enterprise, vous avez toujours accès aux modèles de la version 9.0.1.1. Lorsque vous créez un modèle ou un examen de contenu à partir de la vue Examens, sélectionnez Créer en utilisant le fichier de paramètres sauvegardé précédemment et accédez à <install-dir>\AppScan Enterprise\Initializations\ASE\DefaultTemplates\Job\Version 9.0.1.1 pour sélectionner le fichier *xml.
  • La version intégrée de Liberty est désormais la version 8.5.5.4. Lors de la configuration, vous pouvez choisir de restaurer les paramètres personnalisés d'AppScan Server précédents sur Liberty Server. Voir Restauration des paramètres AppScan Server.

Pour plus d'informations sur les nouveautés et les modifications intervenues depuis la version 9.0.1.1, lisez ce livre blanc.

Mise à niveau à partir de la version 9.0

  • Dans AppScan Enterprise version 9.0.1, la conception de l'architecture a été revue afin de réduire l'encombrement de l'installation et de retirer IBM Rational Jazz Team Server (Jazz Team Server) en tant que composant d'authentification des utilisateurs. Avec le retrait de Jazz Team Server, les serveurs de déploiement Apache Tomcat et WebSphere Application Server ne sont plus pris en charge dans la version 9.0.1. Ils sont remplacés par IBM WebSphere Application Server Liberty Core version 8.5.5.2. Voir Remplacement de Jazz Team Server par WebSphere Liberty - Foire aux questions.
  • Pour les nouvelles instances de la version 9.0.1, la formule d'évaluation du risque a changé. Si vous effectuez une mise à niveau à partir de la version 9.0, la formule d'évaluation du risque est toujours la même et vos évaluations du risque restent cohérentes. Vous pouvez toutefois utiliser la nouvelle formule IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity)) en remplaçant l'ancienne formule dans le modèle de profil d'application dans AppScan Enterprise.
  • Gestion des problèmes via la vue Surveillance : Dans la version 9.0, des privilèges de gestion des problèmes étaient définis pour le dossier contenant un examen. Dans la version 9.0.1, la gestion des problèmes est définie dans l'application. Suite à la mise à niveau depuis la version 9.0, si un examen est déjà associé à une application, les utilisateurs qui disposaient de privilèges de gestion des problèmes pour le dossier possèdent désormais des droits de base pour l'application, afin qu'ils puissent continuer à gérer ces problèmes. Il est possible de leur accorder l'accès à des examens auxquels ils ne pouvaient pas accéder précédemment. Par exemple,
    Version 9.0 v9.0.1 Résultat
    Dossier A : (Robert est titulaire du rôle de Gestionnaire de problèmes)
    • Examen X
    • Examen Y
    Dossier B : (Marie est titulaire du rôle de Gestionnaire de problèmes)
    • Examen A
    • Examen B
    L'application 1 est associée aux travaux d'examen suivants :
    • Examen X
    • Examen B
    Désormais, Marie possède les droits d'accès de base à l'examen B pour qu'elle puisse continuer son travail et a également accès à l'examen X, auquel elle ne pouvait pas accéder dans la version 9.0.
    Si vous voulez restreindre les droits d'accès d'un utilisateur pour la gestion des problèmes dans des applications spécifiques, retirez-lui l'accès de base pour les applications auxquelles il ne doit pas avoir accès. Dans l'exemple ci-dessus, retirez à Marie les droits d'accès de base pour l'examen X. Pour trouver l'application qui contient l'examen X, accédez à la vue Examens et mettez à plat la hiérarchie afin de n'afficher que les travaux. Recherchez l'examen X et cliquez sur le lien correspondant au nom d'application auquel il est associé. Dans l'onglet Application, cliquez sur Afficher les détails et dans la section Utilisateurs de la boîte de dialogue, retirez les droits d'accès de base à Marie.