從舊版升級時的產品變更

瞭解從舊版升級時,可能影響掃描或報告資料的變更。請務必閱讀所有主題,以便瞭解升級程序。

從 9.0.3 升級
  • 自訂錯誤頁面不再是廣域設定,而只會針對內容掃描工作設定。在升級期間, 每一個內容掃描工作、*.scant 工作和 AppScan Dynamic Analysis Client 掃描會將廣域自訂錯誤頁面移至個別的工作。
  • 「資料夾瀏覽器」視圖的現有內容掃描工作,包括未在 AppScan 動態分析用戶端建立的 QuickScan 工作,將在探索選項頁面上會啟用一個新的勾選框,以便能夠根據結構 (DOM) 過濾類似頁面。如果現有的內容掃描工作:
    • 將重複路徑限制設為 5,該選項會停用並開啟 DOM 型過濾功能
    • 將重複路徑限制設為不同的值,該選項會維持啟用,且不會開啟 DOM 型過濾功能
    • 將類似內容限制設為 5,並啟用 HTML 結構,該選項會關閉並開啟 DOM 型過濾功能
    • 將類似內容限制設為不同的值,或是要比較「文字」和 HTML 結構,該選項會維持啟用,且不會開啟 DOM 型過濾功能
  • 安全規則中會定期變更問題類型。如果您掃描具有舊問題類型, 而在安全規則更新之後就已不存在,在更新之後,具有那些問題類型的問題將會消失, 並可發現具有新問題類型的新問題。那些問題必須重新分類。
從 9.0.2.1 升級
  • 在配置精靈的還原 AppScan 伺服器設定畫面上,新增了其他選項來保留自訂掃描器 *.jar 檔,這些檔案可能已新增至 <install-dir>\HCL\AppScan Enterprise\Liberty\usr\servers\<instance_name>\lib\scanners
從 9.0.2 升級
  • 在舊版中,已匯入的問題是累積的。在 9.0.2.1 版中,您可以移除應用程式中之前找到但未併入後續匯入項目中的問題。在來自 9.0.1 版的掃描器設定檔中,移除孤立問題勾選框在 9.0.2.1 版中會停用,以遵循之前的行為(可以取消勾選該勾選框來置換)。
  • 當您新增問題屬性名稱到掃描器設定檔時,依預設會啟用使用匯入值勾選框。如果您要以匯入檔案中包含的值來更新現有的問題屬性,請保持啟用使用匯入的值勾選框。如果清除勾選框,AppScan Enterprise 將保留先前使用的值。如果您勾選唯一勾選框,則不能取消勾選使用匯入值勾選框。
  • REST API 有一些變更。

從 9.0.1 升級

  • 有一個新的問題狀態。升級時,在監視視圖的組合標籤中,會顯示新的問題直欄。公式會進行更新,以加入「新建」狀態的問題。升級不影響在舊版已發現的問題的狀態。
  • 新的儀表板標籤會顯示已在 9.0.1 版的組合標籤中顯示的圖表。新的儀表板包含安全風險評級測試狀態具有待解決問題之應用程式待解決的問題的趨勢圖。
    註:

    9.0.1 版應用程式屬性自訂作業與新的 9.0.2 版儀表板趨勢圖之間可能的命名衝突

    待解決的問題具有待解決問題的應用程式圖表會取決於名稱為「待解決的問題」的新應用程式屬性(其定義為公式)。不過,如果您先前已建立名為「待解決問題」的非公式類型應用程式屬性,升級時並不會試圖解決您的屬性與 9.0.2 版需要用於新圖表的屬性之間的衝突。

    升級之後,新圖表將不會如預期顯示,您必須手動解決此問題。如果您想要保留「待解決的問題」屬性的值,請將它重新命名。請更新參照到您的「待解決的問題」屬性的所有公式,來反映此新名稱。然後,重新執行配置精靈,以建立新圖表所需要的「待解決問題」公式屬性。

  • 有一種新的做法可利用 AppScan Standard 針對建立範本的安全小組以及建立掃描的開發人員建立一致的掃描。請參閱9.0.2 版和更新版本與舊版之間掃描配置差異的概觀
    • 新方法可以從監視掃描視圖存取。
    • 9.0.1.1 版現有的掃描範本在升級之後會保留,QuickScan 範本建立的舊方法仍然存在。
    • 若要利用此新方法,在升級期間,您必須在「配置精靈」之後執行「預設值精靈」,以安裝 9.0.2 版的範本。
    • 為了避免在「資料夾瀏覽器」的 Templates 目錄中發生任何範本名稱衝突,(v9.0.2) 會附加至範本名稱。
    • 如果您安裝 AppScan Enterprise 的新實例,則您仍然可以從 9.0.1.1 版存取範本。當您從掃描視圖建立新的內容掃描或範本時,請選取使用先前儲存的設定檔案建立, 然後移至 <install-dir>\AppScan Enterprise\Initializations\ASE\DefaultTemplates\Job\Version 9.0.1.1 來選取 *.xml 檔案。
  • Liberty 的內嵌版本現在是 8.5.5.4 版。在配置期間,您可以選擇在 Liberty Server 上還原先前的 AppScan Server 自訂設定。請參閱還原 AppScan Server 設定

如需新增功能以及從 9.0.1.1 版之後的變更項目,請閱讀這篇白皮書

從 9.0 升級

  • AppScan Enterprise 9.0.1 版包含一項架構重新設計,來減少安裝覆蓋區,以及移除作為使用者鑑別元件的 IBM Rational Jazz Team Server (Jazz Team Server)。隨著移除 Jazz Team Server,9.0.1 版也不再支援 Apache Tomcat 和 WebSphere Application Server 部署伺服器。它們已取代為 IBM WebSphere Application Server Liberty Core 8.5.5.2 版。請參閱將 Jazz Team Server 取代為 WebSphere Liberty - 常見問題 (FAQ)
  • 針對 9.0.1 版的新實例,風險評級公式已變更。如果您是從 9.0 版升級,風險評級公式會維持相同,因此您的風險評級會維持一致。不過,您可以在 AppScan Enterprise 的應用程式設定檔範本中取代舊的公式,來使用新的公式 IF(businessimpact = 0, 0, IF(testingstatus > 0, 0, businessimpact * rr_maxseverity))
  • 透過應用程式視圖來管理問題:在 9.0 版中,問題管理的專用權是設定於包含掃描的資料夾。在 9.0.1 版中,問題管理是設定於應用程式。在從 9.0 升級後,如果掃描已與應用程式建立關聯,則過去對資料夾擁有問題管理專用權的使用者,現在會擁有應用程式的基礎許可權,以供其繼續管理這些問題。這樣可能會讓他們能存取先前不能存取的掃瞄。例如,
    9.0 版 9.0.1 版 結果
    資料夾 A:(Bob 具備「問題管理員」角色)
    • 掃描 X
    • 掃描 Y
    資料夾 B:(Mary 具備「問題管理員」角色)
    • 掃描 A
    • 掃描 B
    		 應用程式 1 與下列掃描工作相關聯:
    • 掃描 X
    • 掃描 B
    		 Mary 現在有「掃描 B」的基本存取許可權,因此可繼續執行工作,但是她也有「掃描 X」的存取許可權,而這是她在 9.0 版中所沒有的。
    如果要限制使用者在特定應用程式管理問題的許可權,請在不容許存取的應用程式上,將他們從「基本存取權」移除。在上述範例中,為移除 Mary 對掃描 X 的「基本存取權」。如果要尋找包含掃描 X 的應用程式,請移至掃描視圖,並壓縮階層以便只顯示工作。尋找掃描 X,並按一下其相關聯之應用程式名稱的鏈結。在應用程式標籤中,請按一下檢視詳細資料,然後在對話框的使用者區段中,移除 Mary 的「基本存取」許可權。
從 8.8 升級
  • 「伺服器群組」不再以 URL 來定義。將從現有的「伺服器群組」中移除任何現有的 URL 定義。請檢查 WFCfgWiz.log,以取得詳細資料。
  • HTTPS 已取代 HTTP 作為登入和 REST 服務所需的架構。
  • 部分報告由於不再符合產品發展方向,已經移除。請閱讀已淘汰的特性主題。
從 8.7 升級
  • AppScan Standard 和 AppScan Enterprise 之間的共用掃描引擎:新的共用掃描引擎提供更標準化的掃描工作選項配置。因此,AppScan Enterprise 不再提供部分的報告:
    • 「相關安全問題 (AppScan DE)」報告
    • 「影像型錄」報告
    • 「meta 資料型錄」報告
    • 「遺漏替代文字」報告
    • 「遺漏標題」報告
    • 「多媒體內容」報告
    • 「伺服器端影像鏈結圖」報告
    • 「第三方鏈結」報告
    • 「Web 應用程式」報告
    • 「Web 引標」報告
    • 網站技術報告
  • 已移除負載平衡選項:在新的標準化掃描工作選項配置中,已不再有起始 URL 及網域上的負載平衡。升級時,有設定負載平衡的工作將在沒有負載平衡選項的情況下,使用新的共用引擎來執行。
  • 使用者授權:已移除服務帳戶授權類型。資料庫升級時,「配置精靈」會將服務帳戶授權類型設定為與「預設使用者」相同的授權類型(浮動使用者掃描、浮動使用者報告、授權的使用者掃描或授權的使用者報告其中一個)。
  • 在 Enterprise Console 上啟用 FIPS 140-2 標準:為了納入 NIST 標準而對「管理」標籤上已啟用它的「一般設定」頁面做了名稱和行為的變更。「啟用增強式安全性」勾選框已重新命名為「停用 Manual Explorer 外掛程式」,在升級時,此勾選框會保留升級之前它已有的值。如果您符合 FIPS 標準,則此勾選框會維持已選取,否則會維持已清除。如果您的組織是美國聯邦機構,而且必須符合 FIPS 140-2 或 NIST SP800-131a,請啟用此勾選框,使 Enterprise Console 符合那些安全標準。
  • 區分大小寫已從網域移至工作層次。在工作的「掃描項目」頁面上設定它。
  • 已淘汰報告:OWASP Top 10 2010 報告已取代為 8.8 版的 2013 版本。不過,如果您有使用 2010 報告的報告套件和儀表板,則不會失去資料。AppScan Enterprise 8.8 的新實例只使用 2013 報告。
  • 登入嘗試演算法變更:在 8.8 版之前,掃描會嘗試登入三次之後才暫停。現在掃描會嘗試達 90 秒之後才暫停。
從 8.6 升級
註: 升級至 8.7 包括單次資料庫最佳化步驟,需要額外的時間,而可能延長整體升級程序。
  • 先前用來保護「靜止」資料(實體媒體)的方法已淘汰,在升級過程中會將它移除。在開始升級之前,請先詳閱透過加密的資料保護
    • 提供全新的「透通資料加密 (Transparent Data Encryption, TDE)」方法,其已內建至 Microsoft™ SQL Server 2008 Enterprise Edition 及更新版本中。如需有關加密及如何啟用 TDE 的詳細資料,請參閱在 SQL Server 資料庫上啟用透通資料加密。如果要增進資料庫升級效能,請在資料庫升級完成之後啟用 TDE。
    • 針對 Microsoft SQL Server 2008 Standard Edition 和更新版本,也提供了其他協力廠商加密方法,包括「MS Windows™ 加密檔案系統」。請參閱使用 EFS 加密、備份及還原 SQL Server 資料庫
  • 在升級程序期間,資料庫伺服器上需要額外的磁碟空間,大約等於現有 AppScan Enterprise 資料庫的大小。這個空間會於升級期間暫用,並於升級完成之後返還。
  • 掃描現在將使用本端(內嵌)資料庫檔案。配置足夠的磁碟空間給「代理程式伺服器」機器非常重要。如需相關資訊,請參閱在一部電腦上安裝所有必要元件主題中的「動態分析掃描器」一節,以取得本端資料庫檔案在掃描期間如何運作的相關資訊。
  • 啟用 FIPS 140-2 標準:支援 FIPS 140-2 標準的產品可設定為以下模式 - 產品僅使用 FIPS 140-2 核准的演算法和方法。
  • 在升級之後,先前暫停的資料夾項目現在為「就緒」。在升級之前處於暫停狀態的任何資料夾項目,目前處於備妥狀態。圖示將識別這些項目,讓您可以決定是否需要進一步的調查或動作。
  • 報告套件中的 XRule 過濾器:已移除報告套件的 XRule 過濾器。任何包含 XRule 的報告在報告套件重新執行後將會包含更多資料。
從 8.5.0.1 升級
  • 將預設掃描工作選項與 AppScan Standard 結合:在 8.6 之前的版本中建立的現有工作和範本,並不會自動更新為使用具有新預設值的新工作選項。只有新的工作/範本會使用新的預設值。
  • 安裝程式/配置精靈工作流程:安裝 8.6 版期間,您可以選擇安裝全新的 Jazz Team Server 或使用現有的伺服器。
從 8.5.0.0 升級
  • 使用者授權:升級時會查詢「授權伺服器」以找出您擁有最多授權的是哪一個使用者授權,並將所有使用者的授權類型(「服務帳戶」及「產品管理員」除外)變更成該授權類型。如果您必須變更任何使用者的授權類型,請前往管理 > 使用者和群組,在該處變更它們。
  • 發現項目變式:當您從 AppScan Source 匯入評量檔時,如果發現項目只有追蹤上的差異,則 AppScan Enterprise 會將那些發現項目歸類為一個具有多種變式的單一問題。
  • 服務帳戶的變更:不再支援服務帳戶假冒。任何使用服務帳戶的工作都將暫停。請以適當的使用者名稱/密碼來編輯內容,再重新執行工作。

從 8.0.0.0 升級

8.5 和 8.6 版使用 Rational License Server。請務必先閱讀並瞭解產品和使用者授權,然後再安裝現行版本。