前のバージョンからのアップグレード時における製品の変更点

前のバージョンからのアップグレード時に、ご使用のスキャンまたはレポート・データに影響を与える可能性がある変更点について説明します。アップグレード・プロセスを理解するために、必ずすべてのトピックをお読みください。

9.0.3 からのアップグレード
  • カスタム・エラー・ページはグローバルには設定されず、コンテンツ・スキャン・ジョブにだけ設定されます。アップグレード時に、各コンテンツ・スキャン・ジョブ、*.scant ジョブ、および動的分析スキャン・ジョブのグローバル・カスタム・エラー・ページが個々のジョブに移動されます。
  • 「フォルダー・エクスプローラー」ビューの既存のコンテンツ・スキャン・ジョブ (AppScan Dynamic Analysis Client で作成されないクイック・スキャン・ジョブを含む) では、構造 (DOM) ベースの類似ページのフィルタリングを有効にする「探査オプション」ページの新規チェック・ボックスが使用可能になります。既存のコンテンツ・スキャン・ジョブについて、以下のようになります。
    • 冗長なパスの制限が 5 に設定されている場合、このオプションは無効にされ、DOM ベースのフィルタリングがオンになります
    • 冗長なパスの制限が別の値に設定されている場合、このオプションは有効のまま保持され、DOM ベースのフィルタリングはオンになりません
    • 類似コンテンツ制限が 5 に設定されており、HTML 構成が有効にされている場合、このオプションはオフになり、DOM ベースのフィルタリングがオンになります
    • 類似コンテンツ制限が別の値に設定されているか、テキストと HTML 構成を比較する場合、このオプションは有効のまま保持され、DOM ベースのフィルタリングはオンになりません
  • セキュリティー・ルールの問題のタイプは、定期的に変更されます。セキュリティー・ルールの更新後に存在しなくなった古い問題のタイプを使用するスキャンがある場合、更新後にそれらの問題タイプを使用する問題は表示されなくなります。そして、新しい問題が新規問題タイプを使用して表示されます。これらの問題は再度トリアージする必要があります。
9.0.2.1 からのアップグレード
  • 構成ウィザードの「AppScan Server 設定の復元」画面に、<install-dir>\HCL\AppScan Enterprise\Liberty\usr\servers\<instance_name>\lib\scanners に追加されている可能性があるカスタム・スキャナー *.jar ファイルを保存するオプションが追加されました。
9.0.2 からのアップグレード
  • 旧リリースでは、インポートされた問題は累積的でした。v9.0.2.1 では、以前にアプリケーションで検出されたものの、その後のインポートには含まれていない問題を削除することができます。v9.0.1 のスキャナー・プロファイルでは、以前の動作を優先するために v9.0.2.1 の「孤立問題の削除」チェック・ボックスが無効になっています (チェック・ボックスをクリアするとオーバーライドすることができます)。
  • 新規問題属性名をスキャナー・プロファイルに追加すると、「インポート値の使用」チェック・ボックスがデフォルトで有効になります。既存の問題属性を、インポートされたファイルに含まれる値で更新する場合は、「インポートされた値を使用」チェック・ボックスを有効なままにします。このチェック・ボックスをクリアすると、AppScan Enterprise では以前に使用されていた値を維持します。「一意性」チェック・ボックスを選択すると、「インポート値の使用」チェック・ボックスをクリアすることができません。
  • REST API に変更があります。

9.0.1 からのアップグレード

  • 新規」という問題状況が導入されました。アップグレード時に、「モニター」ビューの「ポートフォリオ」タブに「新規」の問題列が表示可能になります。数式が「新規」状況の問題を含むように更新されました。アップグレードを実行しても、前のバージョンでディスカバーされた問題の状態には影響を与えません。
  • 新規「ダッシュボード」タブには、v9.0.1の「ポートフォリオ」タブに表示されていたグラフが表示されます。新規ダッシュボードには、「セキュリティー・リスク等級」、「テスト状況」、「未解決の問題があるアプリケーション」、および「未解決の問題」の傾向グラフが含まれます。
    注:

    v9.0.1 のアプリケーション属性カスタマイズと、新しい v9.0.2 のダッシュボード傾向グラフの間で生じる可能性がある命名の競合

    未解決の問題」と「未解決の問題があるアプリケーション」のグラフは、数式として定義される「未解決の問題」という新規アプリケーション属性に依存します。ただし、以前に数式以外の任意のタイプの「未解決の問題」というアプリケーション属性を作成していた場合、アップグレード・プロセスは、以前に使用していた属性と、新規グラフ用にバージョン 9.0.2 で必要な属性の間の競合を解決しようとしません。

    アップグレード後に、新規グラフは意図したとおりに表示されないため、この問題を手動で解決する必要があります。以前の「未解決の問題」の値を保存したい場合、その「未解決の問題」の属性を他の名前に変更してください。新しい名前を反映するように、「未解決の問題」属性を参照していたすべての数式を更新します。その後、構成ウィザードを再実行して、新しいグラフに必要な「未解決の問題」数式属性を作成します。

  • テンプレートを作成するセキュリティー・チームと、スキャンを作成する開発者の両方のために、AppScan Standard と一貫性のあるスキャンを作成する新しいアプローチを採用しています。v9.0.2 以上と旧バージョンのスキャン構成の違いに関する概要を参照してください。
    • 新規メソッドは、「モニター」ビューと「スキャン」ビューの両方からアクセスします。
    • v9.0.1.1 からの既存のスキャン・テンプレートはアップグレード後も保持され、従来のクイック・スキャン・テンプレート作成方式も引き続き使用できます。
    • この新方式を利用するには、アップグレード時に構成ウィザードの後にデフォルト設定ウィザードを実行して、v9.0.2 用のテンプレートをインストールする必要があります。
    • フォルダー・エクスプローラーの「テンプレート」ディレクトリーでのテンプレート名の競合を避けるため、(v9.0.2) がテンプレート名に追加されます。
    • AppScan Enterprise の新規インスタンスをインストールした場合も、引き続き v9.0.1.1 からのテンプレートにアクセスできます。「スキャン」ビューから新規のコンテンツ・スキャンまたはテンプレートを作成する場合は、「以前に保存された設定ファイルを使用して作成」を選択して、<install-dir>\AppScan Enterprise\Initializations\ASE\DefaultTemplates\Job\Version 9.0.1.1 に進み、*.xml ファイルを選択します。
  • Liberty の組み込みバージョンが v8.5.5.4 になりました。構成中、Liberty Server に AppScan Server の前のカスタマイズ設定を復元するように選択できます。AppScan Server の設定の復元を参照してください。

新機能と v9.0.1.1 からの変更点について詳しくは、ホワイト・ペーパーを参照してください。

9.0 からのアップグレード

  • AppScan Enterprise v9.0.1 には、インストールのフットプリントを削減し、ユーザー認証コンポーネントとして IBM Rational Jazz Team Server (Jazz Team Server) を削除するアーキテクチャー再設計が組み込まれています。Jazz Team Server の削除に伴い、Apache Tomcat と WebSphere Application Server のデプロイメント・サーバーは v9.0.1 ではサポートされなくなりました。これらは IBM WebSphere Application Server Liberty Core v8.5.5.2 に置き換わりました。Jazz Team Server から WebSphere Liberty への置き換え - よくある質問を参照してください。
  • v9.0.1 の新規インスタンスでは、リスク等級の数式が変更されました。v9.0 からアップグレードする場合、リスク等級の数式は同じまま残り、リスク等級は一貫性のある状態で維持されます。ただし、AppScan Enterprise のアプリケーション・プロファイル・テンプレートの古い数式を置き換えることで、新しい数式 IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity)) を使用できます。
  • アプリケーション・ビューを使用した問題管理: v9.0 では、問題の管理特権は、スキャンが含まれるフォルダーに対して設定されていました。v9.0.1 では、問題の管理特権はアプリケーションに対して設定されます。9.0 からのアップグレード時、スキャンが既にアプリケーションと関連付けられている場合、フォルダーに対する問題管理権限を持っていたユーザーは、そのアプリケーションに対する基本的な権限を持つようになるため、引き続きその問題を管理できます。ただし、ユーザーに、以前にアクセスを許可されていなかったスキャンへのアクセス権が付与される可能性があります。例えば、次のようになります。
    v9.0 v9.0.1 結果
    フォルダー A: (Bob が問題マネージャー・ロールを持っている)
    • スキャン X
    • スキャン Y
    フォルダー B: (Mary が問題マネージャー・ロールを持っている)
    • スキャン A
    • スキャン B
    アプリケーション 1 は以下のスキャン・ジョブに関連付けられている:
    • スキャン X
    • スキャン B
    Mary は、スキャン B に対する基本的なアクセス権限を持っているので自分のジョブを引き続き実行できますが、(v9.0 では持っていなかった) スキャン X に対するアクセス権も持っています。
    特定のアプリケーションの問題管理に対するユーザーの権限を制限するには、そのユーザーがアクセスを許可されていないアプリケーションの基本アクセス権限からそれらを削除してください。上記の例では、スキャン X で Mary の基本アクセス権限を削除します。 スキャン X が含まれているアプリケーションを見つけるには、「スキャン」ビューに移動し、階層をフラット化してジョブのみを表示します。スキャン X を見つけたら、それが関連付けられているアプリケーション名のリンクをクリックします。「アプリケーション」タブで、「詳細の表示」をクリックし、ダイアログの「ユーザー」セクションで、Mary の基本アクセス権限を削除します。
8.8 からのアップグレード
  • サーバー・グループは URL で定義されなくなりました。既存の URL 定義は既存のサーバー・グループから削除されます。詳しくは、WFCfgWiz.log を確認してください。
  • HTTPS が、ログインおよび REST サービスに必要なスキーマとして HTTP に置き換わりました。
  • 一部のレポートは、製品の方向性に合わなくなったので削除されました。『非推奨の機能』トピックをお読みください。
8.7 からのアップグレード
  • AppScan Standard と AppScan Enterprise に共通のスキャン・エンジン: 新しい共通スキャン・エンジンは、より標準化されたスキャン・ジョブ・オプション構成を提供します。以下のような一部のレポートが AppScan Enterprise で使用できなくなります。
    • 「相関性のあるセキュリティー問題 (AppScan DE)」レポート
    • 「イメージ・カタログ」レポート
    • 「メタデータ・カタログ」レポート
    • 「Alt テキストがないページ」レポート
    • 「Title がないページ」レポート
    • 「マルチメディア・コンテンツ」レポート
    • 「サーバー側のイメージ・マップ」レポート
    • 「サード・パーティーのリンク」レポート
    • 「Web アプリケーション」レポート
    • 「Web ビーコン」レポート
    • 「Web サイト・テクノロジー」レポート
  • ロード・バランシング・オプションの削除: 開始 URL およびドメインのロード・バランシングは、新規の標準化されたスキャン・ジョブ・オプション構成では使用できなくなります。アップグレードすると、ロード・バランシングが設定されたジョブは、新しい共通エンジンを使用し、ロード・バランシング・オプションを使用せずに実行されます。
  • ユーザー・ライセンス: 「サービス・アカウント」ライセンス・タイプが削除されました。データベースのアップグレード時に、構成ウィザードは、「サービス・アカウント」ライセンス・タイプを、デフォルト・ユーザーと同じライセンス・タイプ (「フローティング・ユーザーのスキャン」、「フローティング・ユーザーのレポート」、「許可ユーザーのレポート」のいずれか) に設定します。
  • Enterprise Console での FIPS 140-2 準拠の有効化: NIST 準拠を組み込むために、「管理」タブの「一般設定」ページの名前および動作が変更されました。「拡張セキュリティーを有効にする」チェック・ボックスが「マニュアル探査プラグインを使用不可にする」という名前に変更されました。アップグレード後、チェック・ボックスにはアップグレード前の値が保持されています。FIPS に準拠していた場合は、このチェック・ボックスが選択されたままになっています。それ以外の場合は、クリアされたままになっています。組織が、米国連邦政府機関であり、FIPS 140-2 または NIST SP800-131a に準拠する必要がある場合は、このチェック・ボックスを選択して、Enterprise Console がこれらのセキュリティー標準に準拠するようにしてください。
  • 大/小文字の区別: ドメイン・レベルからジョブ・レベルに移動しました。ジョブの「スキャン対象」ページで設定してください。
  • 非推奨のレポート: 「OWASP Top 10 2010」レポートは、バージョン 8.8 で 2013 バージョンに置き換えられました。ただし、2010 レポートを使用していたレポート・パックおよびダッシュボードがある場合、そのデータは喪失しません。AppScan Enterprise 8.8 の新規インスタンスは、2013 レポートのみを使用します。
  • ログイン試行のアルゴリズム変更: 8.8 より前のバージョンの場合、スキャンのログインの試行が 3 回を超えると中断されました。現バージョンでは、スキャンがログインを 90 秒間試みた後に中断されます。
8.6 からのアップグレード
注: 8.7 へのアップグレードには、追加時間を必要とする一回限りのデータベース最適化ステップが含まれており、アップグレード・プロセス全体が長引く可能性があります。
  • 「保存」データ (物理メディア) を保護するため以前に使用されていた方式は推奨されないため、アップグレード・プロセスの一環として削除されます。アップグレードを開始する前に、暗号化によるデータ保護をお読みください。
  • データベース・サーバーのアップグレード・プロセス中には、追加のディスク・スペースが必要であり、それは既存の AppScan Enterprise データベースとほぼ等しいサイズにしてください。このスペースはアップグレード中に一時的に使用され、アップグレード完了後には戻されます。
  • スキャンでは、ローカル (組み込み) データベース・ファイルが使用されるようになります。エージェント・サーバー・マシンに十分なディスク・スペースが割り振られていることが重要です。スキャン中のローカル・データベース・ファイルの処理方法について詳しくは、単一のコンピューターへの必要なすべてのコンポーネントのインストールのトピック内の『Dynamic Analysis Scanner』のセクションを参照してください。
  • FIPS 140-2 準拠の有効化: FIPS 140-2 標準をサポートする製品では、FIPS 140-2 承認アルゴリズムおよびメソッドのみを使用するモードに設定できます。
  • 以前に中断されていたフォルダー項目は、アップグレード後は「作動可能」になっています。アップグレード前に延期状態にあったフォルダー項目は、現在は作動可能状態になっています。これらの項目はアイコンで識別されるため、さらに調査やアクションが必要かどうかを決定できます。
  • レポート・パックの XRule フィルター: XRule フィルターがレポート・パックから削除されます。レポート・パックの再実行後は、XRule が組み込まれたすべてレポートに、より多くのデータが含まれることになります。
8.5.0.1 からのアップグレード
  • デフォルトのスキャン・ジョブ・オプションの AppScan Standard との調整: 8.6 より前のバージョンで作成された既存のジョブおよびテンプレートは、自動的には、新規のデフォルト値を持つ新規のジョブ・オプションを使用するように更新されません。新規のデフォルト値を使用するのは新規のジョブまたはテンプレートのみです。
  • インストーラー・ウィザードまたは構成ウィザードのワークフロー: v8.6 のインストール中に、完全に新規の Jazz Team Server をインストールするか、既存の Jazz Team Server を使用するかを選択できます。
8.5.0.0 からのアップグレード
  • ユーザー・ライセンス: アップグレード中に、最大のライセンスを保有しているユーザー・ライセンスはどれかを判別するために、ライセンス・サーバーが照会され、すべてのユーザー (サービス・アカウントおよび製品管理者を除く) のライセンス・タイプがそのライセンス・タイプに変更されます。任意のユーザーのライセンス・タイプを変更する必要がある場合は、「管理」 > 「ユーザーおよびグループ」に移動して、変更を行ってください。
  • バリアントの検索:AppScan Source から評価ファイルをインポートするときに、その内容の相違点がトレースのみであると、AppScan Enterprise は、それらの内容を、複数のバリアントを持つ 1 つの問題にロールアップします。
  • サービス・アカウントに対する変更: サービス・アカウントでの偽名の使用はサポートされなくなりました。そのサービス・アカウントを使用するジョブは中断されます。適切なユーザー名およびパスワードでプロパティーを編集し、ジョブを再実行してください。

8.0.0.0 からのアップグレード

バージョン 8.5 および 8.6 では、Rational License Server が使用されます。現行バージョンをインストールする前に、製品とユーザーのライセンスを読んで理解しておくことが重要です。