Nouveautés dans AppScan Source

Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.

Nouveautés dans AppScan Source version 10.0.0

Nouveautés dans AppScan Source version 10.0.0

HCL® AppScan Source version 10.0.0 marque une avancée significative en matière de technologie derrière la famille de produits AppScan. HCL a investi dans les produits du marché DevSecOps, posant ainsi les bases des améliorations au niveau de nos produits d'examen de sécurité à la pointe du secteur, maintenant et à l'avenir.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.0.0

IBM® Security AppScan Source est désormais HCL AppScan Source.

Mi-2019, HCL Technologies a fait l'acquisition de la famille de produits d'IBM AppScan, notamment de AppScan Enterprise, AppScan Standard, AppScan Source et AppScan on Cloud. Tous les produits AppScan sont à présent détenus, développés et promus par HCL Software. L'ensemble des licences, logos, conventions de dénominations et autres droits intellectuels et/ou de marque sont détenus par HCL. Par conséquent, tous les produits AppScan ont été rebaptisés pour refléter ce changement de propriétaire et les nouvelles phases de développement et de croissance.
Présentation de la licence HCL pour HCL AppScan Source

Dans le cadre de la transition entre IBM et HCL, HCL présente des packages de licences centrés sur HCL pour la famille de produits AppScan. AppScan, AppScan Standard et AppScan Source utilisent un serveur de licences FlexLM, dont l'authentification se fait via un serveur proxy. AppScan on Cloud utilise un système de gestion de l'accès à l'identité client (CAIM) de pointe à partir d'Okta.
AppScan Source prend désormais en charge le langage de programmation Go (Golang).
AppScan Source prend désormais en charge l'examen C++ dans Visual Studio 2015, 2017 et 2019.
AppScan Source prend désormais en charge Oracle 19c.
La nouvelle fonctionnalité d'examen des flux de données exécute une analyse du code plus complète et permet de découvrir plus de constatations.
Concernant les langages pour lesquels AppScan Source dispose de scanners personnalisés, vous pouvez voir une différence nette dans les résultats lors d'un examen avec AppScan Source v10. Dans les instances pour lesquelles l'examen a été converti en examen personnalisé, cela peut entraîner une réduction des résultats. Les règles des scanners personnalisés évoluent, sont ajoutées régulièrement et sont simples à améliorer.
Intégration améliorée aux technologies ICA (analyse de code intelligente) et IFA (analyse de résultats intelligente).
Lorsque ICA/IFA est activée, vous pouvez voir l'onglet Constatations exclues et y accéder. Pour plus d'informations, reportez-vous à la documentation AppScan Source.
La technologie IFA est activée par défaut pour tous les examens. Lorsqu'elle est activée, elle est appliquée à l'examen en cours et aux futurs examens. Elle ne peut pas être appliquées à des évaluations d'examens précédents.
L'examen des projets .NET (ASP, WEB, Framework, Core) dans AppScan Source reflète le traitement dans HCL AppScan on Cloud. Les projets .NET doivent pouvoir être compilés avant d'être examinés et des spécifications de génération adaptées doivent figurer dans leurs propriétés de projet.
Pour en savoir plus sur la configuration système requise, ainsi que la prise en charge des examens et des plug-in, reportez-vous à Configuration requise et composants prérequis pour l'installation ou contactez le support HCL.

Interopérabilité d'AppScan Source version 10.0.0

HCL AppScan Source 10.0.0 requiert une base de données AppScan Source 10.0.0 (SolidDB ou Oracle) :

Un client AppScan Source 10.0.0 n'examinera pas correctement avec une base de données antérieure à 10.0.0 AppScan Source en raison de la différence de contenu des bases de données, puisqu'elles appartiennent à certaines règles d'examen.
De même, un client antérieur à 10.0.0 AppScan Source ne pourra PAS examiner correctement avec une base de données 10.0.0 AppScan Source.

AppScan Source 10.0.0 interopèrera avec des versions antérieures à 9.0.3.x d'AppScan Enterprise :

Une instance d'AppScan Enterprise configurée avec une instance de la base de données AppScan Source 10.0.0 ne peut pas être utilisées par les versions 9.0.3.x d'AppScan Source, et vice versa.

Les versions 9.0.3.x d'AppScan Enterprise doivent être configurées de la manière suivante pour interopérer avec AppScan Source 10.0.0 :

set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

Problèmes recensés dans AppScan Source version 10.0.0

Cette section couvre les informations, les limitations connues, ainsi que les solutions de contournement d'AppScan Source version 10.0.0.

Les langages suivants ne sont pas pris en charge :
- ColdFusion
- Arxan C
- langage WSDL
Sur WebSphere, seules les options de compilation par défaut sont prises en charge.
L'examen de fichier unique est indisponible pour tous les langages.
Il n'y a pas de mécanisme pour désactiver la précompilation des fichiers JSP. Les fichiers JSP seront toujours précompilés.
L'option Arrêter/Annuler l'examen ne fonctionne pas sur les systèmes Linux.
Lors de la désinstallation d'AppScan Source version 10.0.0 depuis un système Windows, le processus de désinstallation se bloque parfois. Pour plus d'informations, voir La désinstallation d'AppScan Source bloque sur Windows.
L'examen d'un élément C++ peut fournir moins de résulats lorsqu'il est scanné avec le plug-in Visual Studio comparé à un examen avec l'interface utilisateur graphique. Cela est dû à une configuration de génération par défaut identifiée dans le cadre de l'examen via le plug-in, comparé à la configuration de génération activement sélectionnée.

Fonctionnalités en fin de vie dans AppScan Source version 10.0.0

Les fonctionnalités suivantes sont en fin de vie à partir de AppScan Source version 10.0.0. Veuillez planifier en conséquence.

Constatations personnalisées
Métriques de qualité
E-mail/paramètres
Flux RSS
Attributs d'application
Utilisez AppScan Enterprise pour stocker des informations sur l'application.
Intégration du système de suivi des incidents
Utilisez la passerelle de problèmes AppScan pour procéder à une intégration depuis un niveau AppScan Enterprise.

Fonctionnalités qui ne sont plus prises en charge dans AppScan Source version 10.0.0

Le cache de vulnérabilité n'est plus pris en charge.
L'examen incrémentiel n'est pas pris en charge.
L'examen Non-CPA n'est pas pris en charge.
A compter de la version 9.0.3.11, AppScan Source ne prend plus en charge l'examen de projets macOS ou iOS.

Certains composants d'AppScan Source sont en 32 bits. MacOS 10.14 (Mojave) est la dernière version du système d'exploitation Mac qui prendra en charge les applications 32 bits.

Vous pouvez continuer à utliser la version 9.0.3.10 et les versions antérieures d'AppScan Source sur les systèmes d'exploitation Mac 10.12 et antérieurs.