HCL AppScan ソース バージョン 10.0.0 Readme とリリース Notes

「スキャンの停止」は使用できなくなりました

AppScan ソース スキャンを中断することはできなくなり、現在の結果が返されます。結果を表示するには、スキャンを完了する必要があります。

AppScan ソース をアップグレードした後、除外されたバンドルからの検出結果がスキャン結果に現れる場合がある

AppScan ソース のアップグレード後、一部の検出結果のプロパティーが変更され、その結果、この既知の制限に該当する場合があります。

AppScan ソース バージョン 9.0.3.7 以降から AppScan Enterprise バージョン 9.0.3.6 以前への公開

<Setting
                 name="allow_publish_to_old_ase"
                 value="false"
                 default_value="false"
                 description="Use this setting when Source for Analysis is at 9.0.3.7 level but ASE is still at older version."
                 display_name="Publishing from AppScan Source 9.0.3.7 to older version of ASE. "
                 type="boolean"
                 read_only="true"
                 hidden="true"
        />

allow_publish_to_old_ase 構成値を true に設定すると、AppScan ソース バージョン 9.0.3.7 から AppScan Enterprise バージョン 9.0.3.4 ～ 9.0.3.6 に公開できます。

AppScan ソース バージョン 8.5 以上で、AppScan ソース の異なるバージョンで生成された評価を比較する場合に既知の制限が存在する

AppScan ソース の異なるバージョンで生成された 2 つの評価を比較するために、「差分評価」アクションを使用する場合、一部の検出結果は一致しているにも関わらず「修正済み/欠落」として表示される場合があります。AppScan ソース のアップグレード後、一部の検出結果のプロパティーが変更され、その結果、この既知の制限に該当する場合があります。

この制限は、AppScan ソース バージョン 8.5 以上にのみ存在します。

異なるバージョンの iOS SDK を使用して生成された評価の比較

任意のバージョンの iOS SDK を使用して評価を生成し、AppScan Source for Analysis を使用して、その評価を別のバージョンの iOS SDK を使用して生成された評価と比較する場合、評価内の同一の検出結果が異なって見えます。これは、iOS SDK の各バージョンにおける内部的な差異によるものです。

Tomcat 7 で Java™ バージョン 1.6 より前の JDK を使用した場合のコンパイル・エラー

製品に付属の JSP プロジェクトのデフォルト・コンパイラーは、Tomcat 7 です。これには、Java バージョン 1.6 以上が必要です。Tomcat 7 をデフォルトのまま使用している場合、古い JDK を選択すると、以下のスキャン中のエラーなど、コンパイル・エラーが発生します。

bad class file: <AppScan Source>\tc70\servlet-api.jar(javax/servlet/ServletContext.class)
class file has wrong version 50.0, should be 49.0

このようなコンパイル・エラーを解決するには、JDK 1.6 以降を使用するか、別のバージョンの Tomcat JSP コンパイラーを選択します。

IPv6 に関する制限

AppScan ソース は、 Internet Protocol Version 6 (IPv6) に対応していますが、以下の例外があります。

• IPv6 の数値アドレスの入力はサポートされておらず、代わりにホスト名を入力する必要があります。IPv4 の数値アドレスの入力はサポートされています。
• Rational Team Concert™ に接続する場合は、IPv6 はサポートされません。

クラスまたはライブラリーの欠落によって Eclipse ワークスペースのスキャンが失敗した場合のプリコンパイル済みクラスの使用

Eclipse ワークスペースを正常にインポートしたにもかかわらず、クラスまたはライブラリーの欠落によって、ワークスペースのスキャンが失敗する場合は、プリコンパイル済みのクラスでスキャンするオプションを使用することをお勧めします。そのためには、プロジェクト・プロパティーでそのオプションを選択し、Eclipse プロジェクトの bin ディレクトリーを参照します。

「プロセス VM の制限」(per_proc_VM_limit) 設定の非推奨化

AppScan ソース バージョン 8.7 では、この設定は推奨されていません。この設定は、「スキャン構成」ビューでは使用できなくなり、<data_dir>\config\memory.ozsettings に非推奨としてマークされています。

AppScan ソース バージョン 8.5 以上への LDAP ユーザー・アカウントのマイグレーション

Rational® AppScan Source Edition for Core を AppScan ソース バージョン 8.5 以上にアップグレードする場合、LDAP で認証されたユーザー・アカウントは、LDAP で認証されていない、AppScan Source ユーザー・リポジトリー内のユーザー・アカウントにマイグレーションされます。これらのユーザー・アカウントのパスワードは空白になります。できるだけ早く、これらのユーザー・アカウントのパスワードを指定することを強くお勧めします。

トルコ語ロケールではサイレント・インストールはサポートされない

カスタムのサイレント・インストールを作成した場合、トルコ語の言語ロケールで実行すると失敗します (例: tr および tr_TR)。

Oracle データベースでは UTF-8 文字セットが必要

AppScan Enterprise Server を Oracle データベースに接続している場合は、データベースの作成時に文字セットを UTF-8 に設定する必要があります (通常、UTF-8 はデフォルトの文字セットではありません)。

JavaScript™ のトレース・サポートは .js ファイルと .html ファイルでのみ使用可能

他の JavaScript ファイル・タイプもスキャンできますが、トレース情報が提供されるのは .js ファイルと .html ファイルのみです。

JSP ファイル内の行番号

.jsp ファイルから生成された .java ファイルの行番号は、JSP ファイル名とともに表示されます。

Ounce/Maven

ounce:report mojo は、既存の評価の XML ファイルに対しては機能せず、新しいスキャンについてのみ有効です。

すべての AppScan ソース java プロセスを終了せずに AppScan ソース をアップグレードすると、「修復支援」ビューに障害が発生する場合がある

AppScan ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修復支援」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

or

Error executing query and transform

AppScan Source for Analysis、AppScan Source for Development (Eclipse プラグイン)、または AppScan Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan ソース java プロセスがないことを確認してください。

Linux™ での AppScan Source for Analysis と AppScan Source for Development (Eclipse プラグイン) コンポーネントの前提条件

Linux の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan Source for Analysis および AppScan Source for Development (Eclipse プラグイン) は、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。これらの製品でブラウザー・ベースのコンテンツを使用可能にする方法については、「HCL AppScan ソース インストールと管理のガイド」を参照してください。

Red Hat Enterprise Linux バージョン 6 では libstdc++.so.5 GCC ライブラリーが必要になることがある

Linux 上の AppScan Source for Analysis または AppScan Source for Development (Eclipse プラグイン) で、ブラウザー・ベースのコンテンツを使用可能にするため Mozilla XULRunner をインストールする必要がある場合 (製品資料の説明を参照)、libstdc++.so.5 が必要となります。多くの場合、このライブラリーは既にご使用のマシンにあります。ご使用のマシンにない場合は、以下のようなテキストを含むエラー・メッセージが表示されます。

libstdc++.so.5: cannot open shared object file: No such file or directory.

libstdc++.so.5 の場合: Red Hat ネットワークのメンバーであり、up2date がある場合は、以下のコマンドを root として実行して libstdc++.so.5 をインストールしてください。

up2date --install compat-libstdc++-33

Red Hat ネットワークのメンバーではない場合や up2date がない場合は、compat-libstdc++ RPM のコピーを RPM アーカイブ・サイトから入手するか、または、他の場所から libstdc++.so.5 を入手する必要があります。それをインストールして LD_LIBRARY_PATH に格納すると、AppScan ソース セットアップ・バイナリーを実行できるようになります。

Linux における AppScan Source for Analysis の偶発的シャットダウン

予期しないシャットダウンを防ぐには、Pango をアップグレードします。Pango をアップグレードするには、glib のアップグレードが必要になることがあります。

各国語の切り替え時にキャッシングが発生する可能性がある

AppScan Source for Analysis のユーザー・インターフェースは、設定で言語を切り替えてワークベンチを再始動することにより、各国語で表示できます。文字列をキャッシュし、以前の使用言語で表示するのは Eclipse 共通の動作であり、AppScan Source for Analysis はこの動作の影響を受けます。表示される各国語を切り替えてワークベンチを再始動すると、キャッシュされた文字列は、その文字列が示すユーザー・インターフェース要素をアクティブ化したときに更新されます (例えば、ボタン・ラベルがキャッシュされている場合、そのボタンをクリックすると、文字列が新しい言語に更新されます)。

AppScan Source for Analysis のインストール・パスではマルチバイト文字はサポートされない

インストール・パスにマルチバイト文字が含まれている場合、すべてのバージョンの AppScan Source for Analysis はインストール時に無効なディレクトリーのエラーで失敗します。

Linux の場合 - 「ounce」以外のユーザーとして実行するように AppScan ソース デーモンをインストール時に構成すると、AppScan Source for Analysis の起動時にエラーが発生する

AppScan Source for Analysis インストーラーでは、AppScan ソース デーモン・プロセスを、デフォルト・ユーザー「ounce」として実行するように構成することも、既存のユーザーとして実行するように構成することもできます。

回避策: デフォルト・ユーザーを選択しない場合は、以下の行を含む eclipse.ini ファイルを AppScan ソース インストール・ディレクトリー (例: /opt/ibm/appscansource) に作成する必要があります。

-configuration @user.home/.ounceconfig

非管理ユーザーとして AppScan Source for Analysis を削除する

Windows 上の AppScan Source for Analysis では、「プログラムの追加と削除」エントリーを作成するには管理者権限が必要です。管理者ではないユーザーとして AppScan Source for Analysis をインストールした場合、AppScan Source for Analysis を削除するには、<install_dir>\Uninstall_AppScan に進み、AppScan_Uninstaller.exe (<install_dir> は AppScan ソース インストールの場所です) を実行します。

PDF レポートを作成する場合、英語以外の一部の言語ではシステム・フォントをインストールすることが必要な場合があります。

以下の言語で PDF レポートを作成するには、指定されたフォントをインストールすることが必要になる場合があります。

• 日本語: MS ゴシックまたは VL ゴシック
• 韓国語: Gulim
• 中国語 (簡体字): SimSun-18030 または MingLiU
• 中国語 (繁体字): SimSun-18030 または MingLiU

カスタム・ルールの変更とプラグインの使用

AppScan Source for Analysis でカスタム・ルールを作成して AppScan Source for Development プラグインにログインした場合、変更内容を確認するには IDE を再始動する必要があります。

「評価の概要」ビューでのグラフのスタイルの選択はサポートされなくなった

「評価の概要」ビューでは、表示するグラフのスタイルを選択できなくなりました。使用可能なグラフのスタイルは棒グラフのみです。

英語以外のマシンから ClearQuest® に障害を送信すると失敗する可能性がある

AppScan ソース が稼働しているマシンのロケールの文字が Rational ClearQuest サーバーの構成済みコード・ページでサポートされていない場合は、Rational ClearQuest に障害を送信すると、失敗して、コード・ページ関連のエラー・メッセージが返される可能性があります。

Linux では検出結果を Rational ClearQuest に送信するためにパスワードが必要

検出結果を Rational ClearQuest に送信する場合、パスワードがブランクになっていると Rational ClearQuest にログインすることはできません。

回避策:Rational ClearQuest のユーザー管理ツールを使用して、パスワードが 1 文字以上になるように変更してください。

Linux での IBM® WebSphere® アプリケーション・サーバー を使用した JSP プロジェクトのスキャン

デフォルトでは、Linux マシン上では、管理者 (root) ユーザーのみが WebSphere アプリケーション・サーバー JSP コンパイラーを使用できます。root 以外のユーザーとして WebSphere アプリケーション・サーバー JSP コンパイラーを実行するには、管理者に、IBM Knowledge Center の手順に従って追加の WebSphere アプリケーション・サーバー プロファイルを作成してもらう必要があります。

プロファイルの作成時には、管理者がログイン・ユーザー ID を知っている必要があります。次に、管理者から新規プロファイル名とそのプロファイルへのパス (例: /opt/IBM/WebSphere7/AppServer/profiles/profile01 にある profile01) を通知してもらう必要があります。

プロファイルが作成されたら、以下の手順に従って、AppScan ソース で使用される WebSphere JSP コンパイラーのコマンド行をカスタマイズする必要があります。

1. AppScan Source for Analysis を起動します。
2. ワークベンチのメインメニューから「編集」 > 「設定」の順に起動します。
3. 「設定」ダイアログ・ボックスで、実行中の WebSphere アプリケーション・サーバー のバージョンに応じて、「アプリケーション・サーバー」 > 「WebSphere 6.1」または「アプリケーション・サーバー」 > 「WebSphere 7.0」の順に選択します。
4. WebSphere アプリケーション・サーバー のインストール・ディレクトリー・フィールドに、このアプリケーション・サーバーがインストールされているローカル・ディレクトリーを入力するか、参照して指定します。
5. 「詳細構成オプションの有効化」チェック・ボックスを選択します。
6. 「WebSphere JSP コンパイラーのコマンド行」フィールド内のエントリーを以下のように編集します。
   • %JSP_COMPILER_INSTALL_DIR%/bin を <path_to_profile_directory>/bin に変更します。<path_to_profile_directory> は管理者が提供した新しいファイルのパスです。例えば、%JSP_COMPILER_INSTALL_DIR%/bin を /opt/IBM/WebSphere7/AppServer/profiles/profile01/bin に変更します。
   • -response.file エントリーの前に -profileName <new_profile> を挿入します。ここで、<new_profile> は、管理者から通知された新規プロファイルの名前です。

   例えば、元のエントリーが以下のとおりであったとします。

   %CMD_EXE% %CMD_ARGS% '%FILE(%%JSP_COMPILER_INSTALL_DIR%/bin/JspBatchCompiler%BAT%%)%'
   -response.file ...

   これを以下のように変更する必要があります。

   %CMD_EXE% %CMD_ARGS% 
   '%FILE(%/opt/IBM/WebSphere7/AppServer/profiles/profile01/bin/JspBatchCompiler%BAT%%)%'
   -profileName profile01 -response.file ...

7. 「OK」をクリックして、設定の変更を保存します。

すべての AppScan ソース java プロセスを終了せずに AppScan ソース をアップグレードすると、「修復支援」ビューに障害が発生する場合がある

AppScan ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修復支援」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

or

Error executing query and transform

AppScan Source for Analysis、AppScan Source for Development (Eclipse プラグイン)、または AppScan Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan ソース java プロセスがないことを確認してください。

AppScan Source for Development を Eclipse に適用した後に初めて Eclipse を再起動した後にワークスペースの選択を要求するプロンプトが表示されない

AppScan Source for Development を Eclipse に適用した後、ワークベンチの再始動を求めるプロンプトが表示されます。再始動すると、ワークスペースの選択を求めるプロンプトが表示されます。しかし、Eclipse を再び再始動したとき、つまり、一度閉じてから始動したときには、ワークスペースの選択を求めるプロンプトが表示されません。

この問題は、https://bugs.eclipse.org/bugs/show_bug.cgi?id=409552 に関連しています。

この問題を回避するには、以下のいずれかの方法を使用します。

• Eclipse の始動時に -clean オプションを使用します。
• Eclipse を終了し、Eclipse のインストール・ディレクトリーで configuration\org.eclipse.osgi\.manager ディレクトリーを削除してから、Eclipse を再始動します。

問題が解決しない場合は、「ファイル」 > 「ワークスペースの切り替え」アクションを使用して、正しいワークスペースを使用していることを確認できます。

AppScan Source for Development (Eclipse プラグイン) を実行しようとすると Unable to link native library shared-win32-x64.dll エラーになる

AppScan Source for Development (Eclipse プラグイン) で何らかのアクション (例えば、スキャンの起動や、ログインが必要なアクションの開始など) を実行しようとすると、このエラー・メッセージ (またはこれに似たエラー・メッセージ) が出される場合があります。

Unable to link native library shared-win32-x64.dll. 
You may need to install an appropriate Microsoft Visual C++ 
2010 Redistributable Package for your system.

64 ビット Java ランタイム環境で稼働する場合、これは通常、64 ビット Microsoft™ Visual C++ ランタイム・ライブラリーが使用不可であることを示します。この問題を解決するには、Microsoft Visual C++ 2010 再頒布可能パッケージ (http://www.microsoft.com/en-ca/download/details.aspx?id=14632 で入手可能) をインストールします。

AppScan Source for Development Eclipse プラグイン のインストールにプラグインの前提条件をインストールするオプションは含まれなくなった

バージョン 9.0 では、Eclipse プラグインの前提条件 (Graphical Editing Framework (GEF) および Draw2d) をインストールするオプションが提供されなくなりました。AppScan Source for Development にサポートされている Eclipse のほとんどのバージョンには、これらの機能が含まれています。含まれていない場合は、AppScan Source for Development Eclipse プラグイン のインストール前に、適切な eclipse.org の更新サイトを使用して、これらのコンポーネントを Eclipse 環境にインストールしてください。

AppScan Source for Development (Eclipse プラグイン) のアップグレード

AppScan Source for Development または AppScan ソース の最新バージョンにアップグレードする前に、AppScan Source for Development を Eclipse IDE からアンインストールすることをお勧めします。

Linux での AppScan Source for Analysis と AppScan Source for Development (Eclipse プラグイン) コンポーネントの前提条件

Linux の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan Source for Analysis および AppScan Source for Development (Eclipse プラグイン) は、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。これらの製品でブラウザー・ベースのコンテンツを使用可能にする方法については、「HCL AppScan ソース インストールと管理のガイド」を参照してください。

Red Hat Enterprise Linux バージョン 6 では libstdc++.so.5 GCC ライブラリーが必要になることがある

Linux 上の AppScan Source for Analysis または AppScan Source for Development (Eclipse プラグイン) で、ブラウザー・ベースのコンテンツを使用可能にするため Mozilla XULRunner をインストールする必要がある場合 (製品資料の説明を参照)、libstdc++.so.5 が必要となります。多くの場合、このライブラリーは既にご使用のマシンにあります。ご使用のマシンにない場合は、以下のようなテキストを含むエラー・メッセージが表示されます。

libstdc++.so.5: cannot open shared object file: No such file or directory.

libstdc++.so.5 の場合: Red Hat ネットワークのメンバーであり、up2date がある場合は、以下のコマンドを root として実行して libstdc++.so.5 をインストールしてください。

up2date --install compat-libstdc++-33

Red Hat ネットワークのメンバーではない場合や up2date がない場合は、compat-libstdc++ RPM のコピーを RPM アーカイブ・サイトから入手するか、または、他の場所から libstdc++.so.5 を入手する必要があります。それをインストールして LD_LIBRARY_PATH に格納すると、AppScan ソース セットアップ・バイナリーを実行できるようになります。

AppScan Source for Development Eclipse と Eclipse ベースの製品用のプラグイン:AppScan ソース インストール・ディレクトリーの複数のプロンプト

Eclipse および Eclipse ベースの製品用の AppScan Source for Development プラグインを初めて使用するときには、ダイアログ・ボックスで、AppScan ソース インストール・ディレクトリーへのパスを指定するようにプロンプトが表示されます。インストール・ディレクトリーを指定して「OK」をクリックしても再び同じダイアログ・ボックスが表示される場合には、「キャンセル」をクリックし、ワークベンチを再起動して、そのまま、通常どおり製品を使用してください。インストール・ディレクトリーの入力を求めるプロンプトが複数回表示されたときにワークベンチを再始動しなかった場合、スキャンに失敗することがあります。

AppScan Source for Development で共有フィルター/グローバル・フィルターが表示されないことがある

AppScan Source for Development のフィルター・モジュールでは、AppScan Enterprise Server にログインして認証を受けなくても、保存されている評価を開いてフィルター・アクションを実行することができます。共有フィルターは AppScan ソース・データベース (アクセスするためにはログインして認証を受ける必要あり) に格納されているため、現在のプラグイン・セッションで AppScan ソース にログインしていない場合、プラグインで共有フィルターを使用することはできません。

回避策: スキャン (またはログインを必要とするその他のアクション) は、プラグインのフィルター・モジュールにアクセスする前に実行してください。ログインすると、共有フィルターを使用できるようになります。

Eclipse または Rational WebSphere Software (RAD) のアプリケーション開発者 環境の構成

AppScan ソース は外部 Eclipse 環境からのプロジェクトのインポートをサポートします (アプリケーションおよびプロジェクトの構成 を参照)。Eclipse または RAD のプロジェクトをインポートするには、事前にそのプロジェクトの Eclipse インポーター構成を AppScan Source for Analysis 設定内に作成し、AppScan Source for Development プラグインをご使用の環境にインストールしなければならない場合があります。

カスタム・ルールの変更とプラグインの使用

AppScan Source for Analysis でカスタム・ルールを作成して AppScan Source for Development プラグインにログインした場合、変更内容を確認するには IDE を再始動する必要があります。

「評価の概要」ビューでのグラフのスタイルの選択はサポートされなくなった

「評価の概要」ビューでは、表示するグラフのスタイルを選択できなくなりました。使用可能なグラフのスタイルは棒グラフのみです。

すべての AppScan ソース java プロセスを終了せずに AppScan ソース をアップグレードすると、「修復支援」ビューに障害が発生する場合がある

AppScan ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修復支援」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

or

Error executing query and transform

AppScan Source for Analysis、AppScan Source for Development (Eclipse プラグイン)、または AppScan Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan ソース java プロセスがないことを確認してください。

大規模な評価における多数の検出結果のコピー時の遅延

多数の検出結果を含む評価で複数の検出結果を複数選択してコピーすると、コピー・アクションがクリップボードに追加されるまでに数秒の遅延が生じることがあります。コピーされた内容を貼り付ける前に、コピー・アクションが完了していることを確認してください。

インストールされていない Microsoft Visual Studio のバージョンで作成されたソリューション・ファイルのスキャン

ご使用のシステムにインストールされていないバージョンの Visual Studio で作成されたソリューション・ファイルをスキャンしようとすると、AppScan ソース は、ご使用のシステムで互換性のあるバージョンの Visual Studio を見つけて、それを使用してスキャンしようとします。

AppScan ソース Microsoft Visual Studio の「製品情報」ダイアログ・ボックスの一部が表示されない

特定の国の言語では、AppScan Source for Development (Visual Studio プラグイン) の「製品情報」ダイアログ・ボックスは不完全に表示されます。これに対処するには、最適に表示されるように画面解像度やフォント・サイズを調整します。

AppScan Source for Development を Visual Studio 2012 にインストールする場合の互換性エラー

AppScan Source for Development Visual Studio プラグイン をインストールするときに既知の互換性の問題を示すエラーを受け取った場合、これは既知の Microsoft の問題によるもので、http://support.microsoft.com/kb/2781514 に概要が記載されています。この問題は、AppScan ソース のインストール中に発生します。この問題を解決するには、次のようにします。

1. 「キャンセル」をクリックしてエラー・メッセージを閉じると、AppScan ソース のインストールを完了することができます (エラー・メッセージが何度も表示される場合は、そのたびに「キャンセル」をクリックしてください)。
2. http://support.microsoft.com/kb/2781514 に示されている更新をインストールしてください。
3. AppScan ソース インストーラーを再起動してください。このインストーラーは、自動的に修復モードで起動します。
4. Visual Studio 2012 のインストール・オプションは既に選択され、グレー表示されています。各パネルでは「次へ」をクリックして、デフォルトの選択を使用して、インストール・パネルを進みます。
5. 「終了」をクリックして、インストールを完了します。
6. インストールが完了したら、AppScan Source for Development (Visual Studio プラグイン) を使用することができます。

Windows 7 で AppScan Source for Development (Visual Studio プラグイン) を使用する場合に、検出結果を複数回変更できない

これは、64 ビット Microsoft Windows 7 に関する既知の問題であり、AppScan Source for Development プラグインが Microsoft Visual Studio のほとんどのバージョンに適用される場合、このプラグインに影響を及ぼします。通常は、検出結果を 1 回または 2 回変更できます。ただし、複数回変更すると、検出結果の一部の要素を更新できなくなります。これには、重大度の変更、脆弱性タイプの設定、検出結果への注釈付けなどが含まれます。

AppScan Source for Development で共有フィルター/グローバル・フィルターが表示されないことがある

AppScan Source for Development のフィルター・モジュールでは、AppScan Enterprise Server にログインして認証を受けなくても、保存されている評価を開いてフィルター・アクションを実行することができます。共有フィルターは AppScan ソース・データベース (アクセスするためにはログインして認証を受ける必要あり) に格納されているため、現在のプラグイン・セッションで AppScan ソース にログインしていない場合、プラグインで共有フィルターを使用することはできません。

回避策: スキャン (またはログインを必要とするその他のアクション) は、プラグインのフィルター・モジュールにアクセスする前に実行してください。ログインすると、共有フィルターを使用できるようになります。

「評価の概要」ビューでのグラフのスタイルの選択はサポートされなくなった

「評価の概要」ビューでは、表示するグラフのスタイルを選択できなくなりました。使用可能なグラフのスタイルは棒グラフのみです。

コマンド行インターフェースからの AppScan Enterprise への公開

publishassessase または pase コマンドを発行すると、HttpAuthenticator 警告が出る

CLI を使用して、Windows 認証のみが有効になった AppScan Enterprise Console に対する公開を行う場合、publishassessase または pase コマンドの発行時に以下のような警告が表示される場合があります。

WARN [main] (HttpAuthenticator.java:207) - NEGOTIATE authentication error: org.ietf.jgss.GSSException, major code: 2, minor code: 0
  major string: Unsupported mechanism
  minor string: No factory available to create name for mechanism x.x.x.x.x.x.x
Assessment successfully published to: https://<ase_hostname>/ase

このような警告は評価の公開には影響せず、無視することができます。

Windows C/C++ アプリケーションのスキャン

Windows C/C++ アプリケーションは 64 ビットとしてスキャンされます。

64 ビット対応ではない C/C++ アプリケーションでは、スキャン・エラーが発生する場合があります。

Windows で AppScan ソース のアンインストールがハングする

AppScan Source v10.0.0 のサーバーとクライアントの両方の機能セットが Windows システムにインストールされている場合、プロセスが <InstallDir>\engine から JRE ファイルを削除しようとすると、アンインストールがハングします。

これが発生したら、プロセスが強制終了し、アンインストールを手動で完了します。

アンインストール・プロセスを終了して、アンインストールを完了するには、次のようにします。

Windows Defender によって中断された AppScan ソース のインストール

Windows の古いバージョンに AppScan Source をインストールすると、Windows Defender は警告ポップアップを出してインストール・プロセスを中断する場合があります。ポップアップをクリックしてインストールを続行します。詳細については、https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-smartscreen/windows-defender-smartscreen-overviewを参照してください。

すべての AppScan ソース java プロセスを終了せずに AppScan ソース をアップグレードすると、「修復支援」ビューに障害が発生する場合がある

AppScan ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修復支援」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

or

Error executing query and transform

AppScan Source for Analysis、AppScan Source for Development (Eclipse プラグイン)、または AppScan Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan ソース java プロセスがないことを確認してください。

AppScan ソース 構成ファイルに特殊文字が含まれているとエラーが発生する

Windows では、構成ファイル (.ppf、.paf、.osc) のファイル名に一部の特殊文字 (Ç, à, ∾, ¥, §, Æ など) が含まれていると、エラーが発生することがあります。

Windows 2008 上でホストされる AppScan Enterprise Server への公開が 401 認証拒否エラーで失敗する

Windows 認証のみが有効になっている Windows 2008 および Internet Information Services (IIS) に基づくシステムを使用しているときに、AppScan Enterprise Server に対して接続をテストしようとするか、公開しようとすると失敗します。基本認証と匿名認証も無効になります。

これは、http://technet.microsoft.com/en-us/library/cc757582(v=ws.10).aspx で説明されている Windows 設定の結果として発生します。

この問題を回避するには、次のようにします。

1. 「ローカル・セキュリティー・ポリシー」アプレットを開き、「ローカル・ポリシー」 > 「セキュリティー・オプション」 > 「ネットワーク・セキュリティー: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない」を選択します。
2. 「ネットワーク・セキュリティー: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない」の項目を「無効」に設定します。
3. サーバーを再始動します。
4. パスワードをリセットします。

これらの修正アクションについては、http://social.technet.microsoft.com/Forums/en/exchangesvrdevelopment/thread/bf62848a-5ce8-49cb-b9f3-d7267dfbd53d を参照してください。

この回避策では、Windows 認証が構成されていることを前提としています (詳しくは、http://technet.microsoft.com/en-us/library/cc757582(v=ws.10).aspx を参照)。

#import のライブラリー id および progid フォームの非サポート

Microsoft Visual C++ #import プリプロセッサー・ディレクティブにはいくつかのフォームがあります。AppScan ソース では、ライブラリー id または progid を使用する 2 つのフォームがサポートされていません。これらのフォームを含むファイルはスキャンされず、コンソールにエラー・メッセージが表示されます。

参照先のアセンブリーは、スキャン対象のアセンブリーと同じディレクトリー内にあるか、グローバル・アセンブリー・キャッシュ (GAC) に登録されていなければならない

AppScan ソース は、すべての参照先アセンブリーまたは依存アセンブリーがスキャン対象アセンブリーと同じフォルダー内にあるか、GAC に登録されている場合のみ、.NET アプリケーションの完全なスキャンを行うことができます。アセンブリーが、ディスク上の他の場所にあるアセンブリーで定義されているタイプを参照する場合、以下のようなエラーが表示されることがあります。

Skipping file <assembly_name> due to error: Failed (0x80004005) in <type> call
     Referenced assembly <referenced assembly name> was not found.

このようなエラーを修正するには、参照先のアセンブリーをスキャン対象のアセンブリーと同じディレクトリーにコピーするか、GAC に登録します。

Visual Basic 6 でのスキャンには完全な関数宣言が必要

#if、#else if、および #end if には、関数の完全な宣言が含まれていなければなりません。例:

#If NATIVEBINDING Then
Public Function TemplateFromRule(ByVal Rule As OrgMan.Rule) As AcDir.Template
          	Dim oOp As OrgMan.Operation
#Else
Public Function TemplateFromRule(ByVal Rule As Object) As AcDir.Template
          	Dim oOp As Object
#End If
          	If Rule Is Nothing Then Exit Function
          	oOp = Rule.Operation
          	If oOp Is Nothing Then Exit Function
          	TemplateFromRule = BuildTemplate(oOp.Command, Rule.Field, Rule.Value)
End Function

英語以外のロケールでの実行時にダイアログ・ボックスおよびメッセージの一部が切り捨てられる

典型的な Microsoft Windows コントロールにはサイズ変更機能がありませんが、AppScan ソース では一部のダイアログ・ボックスおよびメッセージのサイズを変更できます。AppScan ソース 製品のグラフィカル・ユーザー・インターフェースを英語以外のロケールで実行しており、ダイアログ・ボックスおよびメッセージの文字列が切り捨てられる場合は、ダイアログ・ボックスまたはメッセージをサイズ変更して内容を完全に表示することができます。

AppScan Source for Development (Visual Studio プラグイン) の制限

AppScan Source for Development (Visual Studio プラグイン) に適用されるすべての制限は、Windows に固有でもあります。AppScan Source for Development (Visual Studio プラグイン)を参照してください。

ノードロック・ライセンスと Red Hat Enterprise Linux 7.4

IBM に由来するノードロック・ライセンスは Red Hat Enterprise Linux 7.4 で正しく動作しないことがあります。HCL に由来するノードロック・ライセンスに移動してください。詳細については、HCL サポートにお問い合わせください。

Red Hat Enterprise Linux 7.x で AppScan Source をアンインストールする

Red Hat Enterprise Linux 7.x では、すべての AppScan Source プロセスを停止するには、AppScan Source バージョン 9.0.3.x をアンインストールした後にシステムを再起動する必要があります。

すべての AppScan ソース java プロセスを終了せずに AppScan ソース をアップグレードすると、「修復支援」ビューに障害が発生する場合がある

AppScan ソース java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修復支援」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

or

Error executing query and transform

AppScan Source for Analysis、AppScan Source for Development (Eclipse プラグイン)、または AppScan Source for Development (Visual Studio プラグイン) コンポーネントを含む AppScan ソース インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan ソース java プロセスがないことを確認してください。

IBM Rational Application Development および「修復支援」ビュー

RHEL 7.3 以降および IBM Rational Application Developer 9.5 以降を実行している場合、「修復支援」を正しく表示するには、まず webkitgtk-2.4.9-el7.x86_64.rpm をインストールする必要があります。

Linux Mozilla の「修復支援」ビューの要件

Linux の場合、「修復支援」ビューを使用するためには、GTK2 以上にリンクしている Mozilla が必要です。

GTK2 以上にリンクしている Mozilla をインストールします。Mozilla を入手したら解凍して、それをポイントする環境変数 MOZILLA_FIVE_HOME を追加します。例えば、アーカイブを /usr/local に解凍して bash シェルを使用する場合、export MOZILLA_FIVE_HOME=/usr/local/mozilla を ~/.bashrc に追加します。

SELinux によってインストール、製品のアクティブ化、および実行が妨げられる

Security Enhanced Linux (SELinux) は、Linux カーネルの Linux セキュリティー・モジュールを使用してセキュリティーとアクセス制御を強化する Linux の機能です。この機能は、デフォルトで Red Hat Enterprise 5 に組み込まれています。

1. インストール:AppScan ソース のインストールは、SELinux を強制モードにした状態で実行することはできません。SELinux を「許可 (Permissive)」モードに変更する必要があります。SELinux を許可モードで実行するには、/usr/bin/system-config-selinux を発行します。または、GNOME を実行している場合は、「システム(System)」 > 「管理」 > 「SELinux の管理 (SELinux Management)」の順に選択してください。root パスワードの入力を求めるプロンプトが表示されます。まだ選択していない場合は、左側のペインで「状態」を選択します。右側のペインで、「現在のモード - 強制 (Current Enforcing Mode)」ドロップダウンを「許可 (Permissive)」に変更します。SELinux を「許可 (Permissive)」に変更したら、AppScan ソース のインストールを通常どおり実行します。インストールの完了後に SELinux の設定を「強制 (Enforcing)」に戻すことができます。
2. 製品のアクティブ化: 「強制 (Enforcing)」モードでは AppScan ソース License Manager を使用できません。SELinux を「許可 (Permissive)」モードに変更する必要があります。SELinux を許可モードで実行するには、/usr/bin/system-config-selinux を発行します。または、GNOME を実行している場合は、「システム(System)」 > 「管理」 > 「SELinux の管理 (SELinux Management)」の順に選択してください。root パスワードの入力を求めるプロンプトが表示されます。まだ選択していない場合は、左側のペインで「状態」を選択します。右側のペインで、「現在のモード - 強制 (Current Enforcing Mode)」ドロップダウンを「許可 (Permissive)」に変更します。SELinux を「許可 (Permissive)」に設定したら、License Manager を実行します。製品のアクティブ化の完了後に SELinux の設定を「強制 (Enforcing)」に戻すことができます。
3. 実行中: AppScan ソース に付属している JRE および JDK は SELinux を強制モードにした状態では動作しません。ただし、「強制 (Enforcing)」モードを無効にする必要はありません。SELinux をトリガーするファイルに、動作させるための権限を付与できるためです。これは chcon コマンドで chcon -t textrel_shlib_t <filename> を発行することで行われます。このコマンドは、<installdir>/jre ディレクトリーおよび <installdir>/JDKS ディレクトリーの下のすべての共有オブジェクト・ファイル (.so) に対して発行する必要があります。そのための方法として、exec パラメーターを指定して find コマンドをバッチ形式で実行します。例:

   cd /opt/ibm/appscansource/jre
   sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print
   cd ../JDKS
   sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print

Linux での AppScan Source for Analysis と AppScan Source for Development (Eclipse プラグイン) コンポーネントの前提条件

Linux の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan Source for Analysis および AppScan Source for Development (Eclipse プラグイン) は、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。これらの製品でブラウザー・ベースのコンテンツを使用可能にする方法については、「HCL AppScan ソース インストールと管理のガイド」を参照してください。

Red Hat Enterprise Linux バージョン 6 では libstdc++.so.5 GCC ライブラリーが必要になることがある

Linux 上の AppScan Source for Analysis または AppScan Source for Development (Eclipse プラグイン) で、ブラウザー・ベースのコンテンツを使用可能にするため Mozilla XULRunner をインストールする必要がある場合 (製品資料の説明を参照)、libstdc++.so.5 が必要となります。多くの場合、このライブラリーは既にご使用のマシンにあります。ご使用のマシンにない場合は、以下のようなテキストを含むエラー・メッセージが表示されます。

libstdc++.so.5: cannot open shared object file: No such file or directory.

libstdc++.so.5 の場合: Red Hat ネットワークのメンバーであり、up2date がある場合は、以下のコマンドを root として実行して libstdc++.so.5 をインストールしてください。

up2date --install compat-libstdc++-33

Red Hat ネットワークのメンバーではない場合や up2date がない場合は、compat-libstdc++ RPM のコピーを RPM アーカイブ・サイトから入手するか、または、他の場所から libstdc++.so.5 を入手する必要があります。それをインストールして LD_LIBRARY_PATH に格納すると、AppScan ソース セットアップ・バイナリーを実行できるようになります。

Linux における AppScan Source for Analysis の偶発的シャットダウン

予期しないシャットダウンを防ぐには、Pango をアップグレードします。Pango をアップグレードするには、glib のアップグレードが必要になることがあります。

Linux の場合 - 「ounce」以外のユーザーとして実行するように AppScan ソース デーモンをインストール時に構成すると、AppScan Source for Analysis の起動時にエラーが発生する

AppScan Source for Analysis インストーラーでは、AppScan ソース デーモン・プロセスを、デフォルト・ユーザー「ounce」として実行するように構成することも、既存のユーザーとして実行するように構成することもできます。

回避策: デフォルト・ユーザーを選択しない場合は、以下の行を含む eclipse.ini ファイルを AppScan ソース インストール・ディレクトリー (例: /opt/ibm/appscansource) に作成する必要があります。

-configuration @user.home/.ounceconfig

2.95.4 製品などの旧バージョンの gcc を使用してコンパイルされたソース・コードをスキャンするとエラーになる

例えば、

Skipping file: file.cpp due to error: "/home/file.cpp", line 97: error: namespace "std" has
          	no member "string"
          	std::string mystring;

のようなエラーが表示されることがあります。

回避策: プロジェクトのコンパイラー・オプションに --ignore_std オプションを追加します。このオプションにより、std 名前空間をグローバル名前空間のシノニムにする gcc 互換機能が有効になります。AppScan Source for Analysis で、プロジェクトの「プロパティー」ビューの「プロジェクト依存関係」タブを使用して、このオプションを追加します。あるいは、Ounce/Make を使用してプロジェクト・ファイルを作成している場合は、Ounce/Make プロパティー・ファイルで compiler_options 要素の GlobalProjectOptions 属性を変更してください。

Linux では検出結果を Rational ClearQuest に送信するためにパスワードが必要

検出結果を Rational ClearQuest に送信する場合、パスワードがブランクになっていると Rational ClearQuest にログインすることはできません。

回避策:Rational ClearQuest のユーザー管理ツールを使用して、パスワードが 1 文字以上になるように変更してください。

Linux での IBM WebSphere アプリケーション・サーバー を使用した JSP プロジェクトのスキャン

デフォルトでは、Linux マシン上では、管理者 (root) ユーザーのみが WebSphere アプリケーション・サーバー JSP コンパイラーを使用できます。root 以外のユーザーとして WebSphere アプリケーション・サーバー JSP コンパイラーを実行するには、管理者に、IBM Knowledge Center の手順に従って追加の WebSphere アプリケーション・サーバー プロファイルを作成してもらう必要があります。

プロファイルの作成時には、管理者がログイン・ユーザー ID を知っている必要があります。次に、管理者から新規プロファイル名とそのプロファイルへのパス (例: /opt/IBM/WebSphere7/AppServer/profiles/profile01 にある profile01) を通知してもらう必要があります。

プロファイルが作成されたら、以下の手順に従って、AppScan ソース で使用される WebSphere JSP コンパイラーのコマンド行をカスタマイズする必要があります。

1. AppScan Source for Analysis を起動します。
2. ワークベンチのメインメニューから「編集」 > 「設定」の順に起動します。
3. 「設定」ダイアログ・ボックスで、実行中の WebSphere アプリケーション・サーバー のバージョンに応じて、「アプリケーション・サーバー」 > 「WebSphere 6.1」または「アプリケーション・サーバー」 > 「WebSphere 7.0」の順に選択します。
4. WebSphere アプリケーション・サーバー のインストール・ディレクトリー・フィールドに、このアプリケーション・サーバーがインストールされているローカル・ディレクトリーを入力するか、参照して指定します。
5. 「詳細構成オプションの有効化」チェック・ボックスを選択します。
6. 「WebSphere JSP コンパイラーのコマンド行」フィールド内のエントリーを以下のように編集します。
   • %JSP_COMPILER_INSTALL_DIR%/bin を <path_to_profile_directory>/bin に変更します。<path_to_profile_directory> は管理者が提供した新しいファイルのパスです。例えば、%JSP_COMPILER_INSTALL_DIR%/bin を /opt/IBM/WebSphere7/AppServer/profiles/profile01/bin に変更します。
   • -response.file エントリーの前に -profileName <new_profile> を挿入します。ここで、<new_profile> は、管理者から通知された新規プロファイルの名前です。

   例えば、元のエントリーが以下のとおりであったとします。

   %CMD_EXE% %CMD_ARGS% '%FILE(%%JSP_COMPILER_INSTALL_DIR%/bin/JspBatchCompiler%BAT%%)%'
   -response.file ...

   これを以下のように変更する必要があります。

   %CMD_EXE% %CMD_ARGS% 
   '%FILE(%/opt/IBM/WebSphere7/AppServer/profiles/profile01/bin/JspBatchCompiler%BAT%%)%'
   -profileName profile01 -response.file ...

7. 「OK」をクリックして、設定の変更を保存します。

macOS サポートの廃止

バージョン 9.0.3.11 以降の AppScan ソース では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。

AppScan ソースバージョン10.0.0 の強化機能と新規機能

AppScan ソース バージョン 10.0.0 の相互運用性

AppScan ソースバージョン 10.0.0の既知の問題

AppScan ソース バージョン 10.0.0 で終了予定の機能

AppScan ソース バージョン 10.0.0 でサポートされなくなった機能およびフィーチャー

• 脆弱性キャッシュは、サポート対象外となりました。
• インクリメント・スキャンはサポート外です。
• 非 CPA スキャンはサポート外です。

• バージョン 9.0.3.11 以降の AppScan ソース では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。

  AppScan ソース の一部のコンポーネントは 32 ビットです。MacOS 10.14 (Mojave) は、32 ビットのアプリケーションをサポートする最新の Mac OS バージョンです。

  10.12 までの Mac オペレーティング・システムでは、AppScan ソース バージョン 9.0.3.10 以前を引き続き使用できます。

資料

AppScan ソース 資料に関する情報は「AppScan Source 資料の入手先」にあります。

技術サポートの要請

この製品に関する技術サポートを受ける方法については、https://support.hcltech.com/csm?id=csm_index を参照してください。

この製品の Web サイトは https://www.hcltechsw.com/wps/portal/products/appscan です。