您从先前版本升级时的产品更改

了解从先前版本升级时可能会影响扫描或报告数据的更改的相关信息。确保阅读所有主题,以便了解升级过程。

从 9.0.3 升级
  • 定制错误页面不再全局地设置,它们仅在内容扫描作业上设置。升级时,每个内容扫描作业、*.scant 作业和 AppScan Dynamic Analysis Client 都会将全局定制错误页面移至各个作业。
  • “文件夹资源管理器”视图中的现有内容扫描作业(包括未在 AppScan Dynamic Analysis Client 中创建的 QuickScan 作业)将在探索选项页面上启用新的复选框,该复选框支持基于结构 (DOM) 来过滤类似页面。如果现有内容扫描作业:
    • 将冗余路径限制设置为 5,该选项已禁用而且已打开了基于 DOM 的过滤
    • 冗余路径限制设置为其他值,那么该选项将保持启用状态,而且不会打开基于 DOM 的过滤。
    • 将类似内容限制设置为 5,启用了 HTML 结构,该选项已关闭而且已打开基于 DOM 的过滤
    • 类似内容限制设置为其他值,或者它比较文本和 HTML 结构,那么该选项将保持启用状态,而且不会打开基于 DOM 的过滤。
  • 安全规则中问题类型将定期更改。如果您具有的扫描中的旧问题类型在安全规则更新之后不再存在,这些问题类型的问题将在更新之后消失,并将发现具有新问题类型的新问题。将必须再次对这些问题进行分类。
从 9.0.2.1 升级
  • 在配置向导的复原 AppScan Server 设置屏幕上,已添加了其他选项来保留可能添加到 <install-dir>\HCL\AppScan Enterprise\Liberty\usr\servers\<instance_name>\lib\scanners
从 9.0.2 升级
  • 在前发行版中,导入的问题会进行累积。在 V9.0.2.1 中,您可以移除先前在应用程序中找到但在后续导入中未包含的问题。在 V9.0.1 的扫描程序概要文件中,移除孤立问题复选框在 V9.0.2.1 中处于禁用状态以符合先前行为(可通过清除该复选框进行覆盖)。
  • 向扫描程序概要文件中添加新问题属性名称时,缺省情况下会启用使用导入的值复选框。如果您想要使用所导入文件中包含的值来更新现有问题属性,请保持使用导入值复选框处于启用状态。如果您取消选中该复选框,那么 AppScan Enterprise 仍将保留先前使用的值。如果选中唯一复选框,那么无法清除使用导入的值复选框。
  • 存在对 REST API 的更改。

从 9.0.1 升级

  • 有一个新的问题状态。升级时,“新的”问题列可在“监视器”视图的“产品服务组合”选项卡中显示。将更新公式以包含具有“新的”状态的问题。升级不会影响在先前版本中发现的问题的状态。
  • 新的“仪表板”选项卡显示在 v9.0.1 中的“产品服务组合”选项卡中显示的图表。新的仪表板包含安全性风险分级测试状态带有已开启问题的应用程序已开启问题的趋势图表。
    注:

    v9.0.1 应用程序属性定制和新的 v9.0.2 仪表板趋势图表之间可能的命名冲突

    已开启问题具有已开启问题的应用程序图表依赖于定义为公式的新应用程序,名为“已开启问题”。但是,如果先前创建了公式之外的任何类型的名为“未解决的问题”的应用程序属性,那么升级不会尝试解决您的属性与 V9.0.2 需要用于新图表的属性之间的冲突。

    新图表在升级后不会按预期显示,而且您必须手动解决该问题。如果想要保留“未解决的问题”属性的值, 将该属性重命名为其他内容。更新引用了“未解决的问题”属性的所有公式以反映新的名称。然后,重新运行配置向导以创建新图表需要的“未解决的问题”公式属性。

  • 同时为创建模板的安全团队和创建扫描的开发人员提供了用于创建与 AppScan Standard 保持一致的扫描的新方法。请参阅 v9.0.2 和更高版本和先前版本中的扫描配置差异概述
    • 新方法将从“监视器”和“扫描”视图访问。
    • 升级后将保留 v9.0.1.1 中的现有扫描模板,而旧的 QuickScan 模板穿件方法仍存在。
    • 要利用该新方法,在升级过程中,必须在“配置向导”后运行“缺省设置相当”来完成 v9.0.2 的模板。
    • 要避免“文件夹资源管理器”中的“模板”目录中出现任何模板名称冲突,(v9.0.2) 会附加到模板名称。
    • 如果安装 AppScan Enterprise 的新实例,仍可从 v9.0.1.1 访问模板。从“扫描”视图创建新的内容扫描或模板时,选择“使用先前保存的设置创建”并转至 <install-dir>\AppScan Enterprise\Initializations\ASE\DefaultTemplates\Job\Version 9.0.1.1 以选择 *.xml 文件。
  • Liberty 的嵌入式版本现在是 v8.5.5.4。配置期间,可选择在 Liberty Server 上复原先前的 AppScan Server 定制设置。请参阅 复原 AppScan Server 设置

有关自 V9.0.1.1 以来的新增功能和更改的更多详细信息,请阅读此白皮书

从 9.0 升级

  • AppScan Enterprise V9.0.1 包括体系结构重新设计,以减少安装占用量并将 IBM Rational Jazz Team Server (Jazz Team Server) 作为用户认证组件而除去。通过移除 Jazz Team Server,Apache Tomcat 和 WebSphere Application Server 部署服务器不再支持 V9.0.1。它们将替换为 IBM WebSphere Application Server Liberty Core V8.5.5.2。请参阅 将 Jazz Team Server 替换为 WebSphere Liberty - 常见问题
  • 对于 V9.0.1 的新实例,风险评级公式已更改。如果是从 V9.0 升级,那么风险评级公式保持相同,并且风险评级保持一致。但是,可以通过替换 AppScan Enterprise 中应用程序概要信息模板内的旧公式来使用新公式 IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity))
  • 通过“监视器”(应用程序)视图进行问题管理:在 V9.0 中,问题管理权限设置在包含扫描的文件夹上。在 V9.0.1 中,问题管理在应用程序上进行设置。从 9.0 升级,如果扫描已经与应用程序关联,那么曾经在文件上有问题管理权限的用户将用于对应用程序的基本权限,因此这些用户可以继续管理这些问题。这就是潜在的给予他们之前并不允许访问的访问权。例如,
    V9.0 V9.0.1 结果
    文件夹 A:(Bob 拥有问题管理员角色)
    • 扫描 X
    • 扫描 Y
    文件夹 B:(Mary 拥有问题管理员角色)
    • 扫描 A
    • 扫描 B
    		 应用程序 1 与这些扫描作业相关联:
    • 扫描 X
    • 扫描 B
    		 Mary 现在拥有对扫描 B 的基本访问权,以便她可以继续执行其工作,但是她也拥有扫描 X 的访问权,这是她在 V9.0 中未曾拥有的。
    要限制用户对管理特定应用程序中问题的许可权,请从不允许其访问的应用程序的“基本访问”中将其除去。在以上示例中,除去 Mary 对扫描 X 的基本访问许可权。要找到包含扫描 X 的应用程序,请转至“扫描”视图,然后平铺层次结构以只显示作业。查找扫描 X,然后单击与之关联的应用程序名称的链接。在“应用程序”选项卡上,单击查看详细信息,并在对话框的用户部分中,除去 Mary 的基本访问许可权。
从 8.8 升级
  • 服务器组不再由 URL 定义。将从现有服务器组移除任何现有 URL 定义。请检查 WFCfgWiz.log 以了解详细信息。
  • HTTPS 取代了 HTTP 来作为登录和 REST 服务所需的方案。
  • 一些报告已被移除,因为它们不再符合产品方向。请阅读不推荐的功能主题。
从 8.7 升级
  • AppScan Standard 与 AppScan Enterprise 之间的公共扫描引擎:新的公共扫描引擎提供更加标准化的扫描作业选项配置。因此,某些报告在 AppScan Enterprise 中不再可用:
    • 相关安全问题 (AppScan DE) 报告
    • 图像目录报告
    • 元数据目录报告
    • 缺失备用文本报告
    • 缺失标题报告
    • 多媒体内容报告
    • 服务器端图像映射报告
    • 第三方链接报告
    • Web 应用程序报告
    • “Web 信标”报告
    • Web 站点技术报告
  • 移除了负载均衡选项: 新的标准化扫描作业选项配置不再提供针对起始 URL 和域的负载均衡。升级后,设置了负载均衡的作业将使用新的公共引擎在没有负载均衡选项的情况下运行。
  • 用户许可: 已移除服务帐户许可证类型。数据库升级后,配置向导会将服务帐户许可证类型设置为与缺省用户相同的许可证类型(浮动用户扫描、浮动用户报告、授权用户扫描或授权用户报告中的一种)。
  • 在 Enterprise Console 中启用 FIPS 140-2 合规性:对“常规设置”页面做出了用于合并 NIST 合规性的名称和行为更改,此合规性在该页面的“管理”选项卡上进行启用。“启用增强的安全性”复选框已重命名为“禁用 Manual Explorer 插件”,在升级后,此复选框将保留升级之前所具有的值。如果以前符合 FIPS,那么此复选框会保持选中状态;否则,它会保持清空状态。如果贵组织是美国联邦部门并且必须符合 FIPS 140-2 或 NIST SP800-131a,请选中此复选框以使 Enterprise Console 符合这些安全标准。
  • 区分大小写已从域移到作业级别。请在作业的“扫描对象”页面上设置此选项。
  • 不推荐的报告:在 V8.8 中,OWASP Top 10 2010 报告已被替换为 2013 版本。但是,如果您拥有使用了 2010 报告的报告包和仪表板,那么数据不会丢失。AppScan Enterprise 8.8 的新实例将仅使用 2013 报告。
  • 登录尝试次数算法更改:在 V8.8 之前,扫描在尝试登录三次之后暂挂。现在,扫描在尝试 90 秒之后暂挂。
从 8.6 升级
注: 升级到 8.7 包括一次性数据库优化步骤,该步骤需要更多时间并可能延长整体升级过程。
  • 先前用于保护“静止”数据(物理介质)的方法已被弃用,并将作为升级过程的一部分而被移除。开始升级之前,请阅读通过加密来保护数据
    • 提供了新方法 - 透明数据加密 (TDE),该方法构建在 Microsoft™ SQL Server 2008 Enterprise Edition 和更高版本中。请参阅对 SQL Server 数据库启用透明数据加密以获取有关加密和如何启用 TDE 的详细信息。要提高数据库升级性能,请在数据库升级完成后启用 TDE。
    • 对于 Microsoft SQL Server 2008 Standard Edition 和更高版本,还提供了其他第三方加密方法,包括 MS Windows™ 加密文件系统。请参阅 通过 EFS 加密、备份和复原 SQL Server 数据库
  • 数据库服务器上的升级过程中需要更多磁盘空间,大致等于现有 AppScan Enterprise 数据库的大小。此空间将在升级期间临时使用,并且在升级完成后恢复。
  • 扫描现在将使用本地(嵌入式)数据库文件。将足够的磁盘空间分配给代理服务器机器非常重要。有关更多信息,请参阅在一台计算机上安装所有必需组件主题中的 Dynamic Analysis Scanner 部分,以获取有关本地数据库文件在扫描期间如何工作的更多信息。
  • 启用 FIPS 140-2 合规性:可以将支持 FIPS 140-2 标准的产品设置为以下方式:产品仅使用 FIPS 140-2 核准的算法和方法。
  • 升级后,暂挂的先前文件夹项现在处于“就绪”状态。升级前处于暂挂状态的任何文件夹项现在都处于就绪状态。将有一个图标用于标识这些项,以便您可以决定是否需要进一步的调查或操作。
  • 报告包中的 XRule 过滤器:已从报告包中移除了 XRule 过滤器。重新运行报告包后,任何包含 XRule 的报告都将包含更多数据。
从 8.5.0.1 升级
  • 使缺省扫描作业选项与 AppScan Standard 一致:在 V8.6 之前的版本中创建的现有作业和模板不会自动更新为使用具有新缺省值的新作业选项。只有新作业/模板使用缺省值。
  • 安装/配置向导工作流程:在 V8.6 的安装期间,您可以选择安装全新的 Jazz Team Server 或使用现有 Jazz Team Server。
从 8.5.0.0 升级
  • 用户许可证:在升级期间,会查询许可证服务器以确定您对哪种用户许可证具有最多许可证,并将所有用户(不包括服务帐户和产品管理员)的许可证类型更改为该许可证类型。如果您必须更改任何用户的许可证类型,请转至管理 > 用户和组,然后在此处予以更改。
  • 结果变体:从 AppScan Source 导入评估文件时,如果结果仅在跟踪方面不同,那么 AppScan Enterprise 会将这些结果合并为具有多个变体的单个问题。
  • 对服务帐户的更改:不再支持服务帐户个人化。将暂挂使用该服务帐户的任何作业。通过正确的用户名/密码编辑属性并重新运行作业。

从 8.0.0.0 升级

V8.5 和 8.6 使用 Rational License Server。在安装当前版本之前阅读并理解产品和用户许可证至关重要。