現行バージョンの AppScan ソース へのマイグレーション
このトピックには、このバージョンの AppScan® ソース で行われた変更についてのマイグレーション情報が記載されています。旧バージョンの AppScan ソース からアップグレードしている場合は、必ず、アップグレードしている AppScan ソース のバージョンと、この現行バージョンまでのすべてのバージョンにおける変更内容に注意してください。
バージョン 9.0.2 からのマイグレーション
新規ルール属性により、既存スキャンの検出結果の分類が変更される可能性があります。
バージョン 9.0.2 以降、Attribute.Likelihood.High
と Attribute.Likelihood.Low
のルール属性が導入されました。これらの属性を使用すると、AppScan ソース は、検出結果が「確定」または「要確認」 (あるいはその両方) かを正確に判別することができます。そのため、AppScan ソース バージョン 9.0.2 以前でソース・コードをスキャンした場合、その同じソース・コードを 9.0.2 より後の製品バージョンでスキャンすると、検出結果の分類が変わる可能性があります。これは、悪用の可能性が高い Web ソースに関連する検出結果、または悪用の可能性が低いプロパティーや環境のソースにおいて最も顕著に現れます。
こうしたルール属性はデフォルトで使用されます。無効にするには、以下のようにします。
- <data_dir>\config\ipva.ozsettings をテキストエディター (<data_dir> は AppScan ソース プログラム・データの場所です。詳細は インストールとユーザー・データ・ファイルの場所) で開きます。ファイル内の
allow_likelihood
設定を見つけます。この設定は、以下の例のようになります。
この設定では、<Setting name="allow_likelihood" value="true" default_value="true" description="Allow the processing of the Likelihood attributes to help determine trace confidence based on the source API" display_name="Allow Likelihood" type="bool" />
value
属性を変更します。属性がtrue
に設定されている場合、この設定はオンになります。false
に設定されている場合、AppScan ソース はスキャン中にこれらの属性ルールを使用しません。 - この設定の変更後、ファイルを保存してAppScan ソース を始動または再始動します。
自動逸失シンク生成
9.0.2 より後のバージョンでは、getter/setter、およびブール値を返すメソッドで終わるトレースに、自動逸失シンク解決が導入されました。これは、そのようなアプリケーション・プログラミング・インターフェース (API) のマークアップを自動的に推測することで実現します。そのため、AppScan ソース バージョン 9.0.2 以前でソース・コードをスキャンした場合、同じソース・コードを 9.0.2 より後の製品バージョンでスキャンすると、未解決の逸失シンクが含まれる検出結果が変更される可能性があります。
自動マークアップ生成はデフォルトで有効になっています。カスタム・ルールなどの手段を使用して逸失シンクを解決する場合は、この機能を無効にすることができます。
- <data_dir>\config\ipva.ozsettings をテキストエディター (<data_dir> は AppScan ソース プログラム・データの場所です。詳細は インストールとユーザー・データ・ファイルの場所) で開きます。ファイル内の
automatic_lost_sink_resolution
設定を見つけます。この設定は、以下の例のようになります。
この設定では、<name="automatic_lost_sink_resolution" value="true" default_value="true" description="This setting tries to perform automatic lost sink resolution by assuming taint propagation for getters, setters and APIs which return boolean with no arguments." display_name="Auto Lost Sink Resolution" type="bool" />
value
属性を変更します。属性がtrue
に設定されている場合、この設定はオンになります。false
に設定されている場合、AppScan ソース はこれらのメソッドのマークアップを自動生成しません。 - この設定の変更後、ファイルを保存してAppScan ソース を始動または再始動します。
バージョン 9.0 からのマイグレーション
AppScan Enterprise Server 認証:IBM® Rational® Jazz™ ユーザー認証コンポーネントの IBM WebSphere® Liberty への置き換えに関するマイグレーションの考慮事項
- ローカル Jazz ユーザーのみが含まれる Enterprise Server からのマイグレーション: このアップグレード・シナリオでは、以前の Jazz ユーザーが AppScan Enterprise Server ユーザーとして AppScan ソース・データベース に示されますが、それらのユーザーは有効になりません。これらのユーザーは データベース から削除できます。あるいは、AppScan ソース ユーザーに変換できます。AppScan ソース で以前の Jazz ユーザーを有効にする方法については、HCL Support にお問い合わせください。
- LDAP を使用して構成された Enterprise Server からのマイグレーション:Enterprise Server のアップグレード時には、LDAP を使用して Enterprise Server を再構成するオプションがあります。これを行う場合、既存のユーザーは引き続き AppScan ソース で機能します。
- Windows™ 認証を使用して構成された Enterprise Server からのマイグレーション:Enterprise Server が Windows 認証を使用して構成されていた場合、Windows 認証を使用するように新しい Enterprise Server Liberty を構成することで、既存のユーザーは AppScan ソース で問題なく使用できます。
バージョン 8.7 からのマイグレーション
検出結果の分類に関する変更
バージョン 8.7 より後のバージョンでは、検出結果の分類が変更されています。以下の表に、古い分類と新しい分類の対応関係を示します。
バージョン 8.8 より前の AppScan ソース の検出結果分類 | AppScan ソース バージョン 8.8 での検出結果の分類 |
---|---|
脆弱性 | 確定セキュリティー検出結果 |
タイプ I 例外 | 要確認セキュリティー検出結果 |
タイプ II 例外 | スキャン範囲検出結果 |
これらの変更の例は、「脆弱性マトリックス」ビューで確認できます。
バージョン 8.8 以降では、次のようになります。
スキャン範囲を改善するデフォルト設定の変更
AppScan ソース バージョン 8.8 の場合:
- scan.ozsettings の初期値
show_informational_findings
はtrue
からfalse
に変更されました。 - ipva.ozsettings の初期値
wafl_globals_tracking
はfalse
からtrue
に変更されました。この設定により、AppScan ソース がフレームワーク・ベースの各種コンポーネント間のデータ・フローを検出することが可能になります (例えば、コントローラーからビューへのデータ・フローなど)。
show_informational_findings
に対する変更によって、重大度レベルが「情報」の検出結果は、デフォルトでは評価に組み込まれないようになります。
以前のバージョンからの AppScan ソース 事前定義フィルターの復元
AppScan ソース バージョン 8.8 では、より有用なスキャン結果が得られるように定義済みフィルターが改善されました。AppScan ソース の旧バージョンからの定義済みフィルターを引き続き使用する必要がある場合は (アーカイブ・フィルターのリストは AppScan ソース 事前定義フィルター (バージョン 8.7.x 以前)に記載されています)、アーカイブ済みの事前定義フィルターの復元の指示のとおりに行ってください。