AppScan ソース の新機能
以下の、AppScan® ソース に追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。
AppScan ソース バージョン 10.0.0 の新機能
HCL® AppScan ソース バージョン 10.0.0は、 AppScan 製品ファミリーの背景にある技術面での重要な進化を示しています。HCL では、市場をリードするセキュリティー・スキャン製品の強化の基盤となるDevSecOps 市場の製品の現在、そして未来に投資しています。
- 強化機能と新規機能
- AppScan ソース バージョン 10.0.0 の相互運用性
- バージョン AppScan ソース の既知の問題10.0.0
- AppScan ソース バージョン 10.0.0 で終了予定の機能
- AppScan ソース バージョンでサポートされない機能 10.0.0
AppScan ソースバージョン10.0.0 の強化機能と新規機能
-
IBM® セキュリティー AppScan ソース は HCL AppScan ソース となりました。
2019 年中頃、HCL Technologies は AppScan Enterprise、AppScan スタンダード、AppScan ソース、 AppScan on Cloud を含む AppScan 製品ファミリーを IBM より買収しました。すべての AppScan 製品は HCL Software によって所有され、開発、販売されることになりました。すべてのライセンス、ロゴ、命名規則、その他の知的財産権およびブランド権利は HCL が所有します。当該の AppScan 製品はすべて、この所有権ならびに新しい段階の開発と成長を反映するため、再ブランド化されています。
-
HCL ライセンスの導入 HCL AppScan ソース
IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan 製品ファミリーのライセンス・パッケージを導入します。AppScan、AppScan スタンダード、AppScan ソース はローカル FlexLM サーバーを使用し、プロキシ・サーバーを介して認証します。AppScan on Cloud では市場で主流となっている Okta の CAIM (Customer Identity Access Management) システムを使用します。
- AppScan ソース Go プログラミング言語 (Golang) がサポートされるようになりました。
- AppScan ソース Visual Studio 2015、2017、2019 で C++ スキャンがサポートされるようになりました。
- AppScan ソース Oracle 19c がサポートされるようになりました。
- 新規データ・フロー・スキャン機能はより完璧なコード分析を実行し、結果としてより詳細な検出結果が得られます。
- AppScan ソース にカスタム・スキャナーがある言語の場合、AppScan ソース v10 でスキャンすると、検出結果に大きな違いが見られる場合があります。スキャンがカスタム・スキャンに変換された場合、これは検出結果が減少することを意味する場合があります。カスタム・スキャナーのルールは進化し、定期的に追加されており、簡単に拡張できます。
- Intelligent Code Analytics (ICA) および Intelligent Findings Analytics (IFA) との拡張統合。
ICA/IFA を有効にすると、「除外された検出結果」タブにアクセスできるようになります。詳細は、AppScan ソース の資料を参照してください。
デフォルトでは、IFA がすべてのスキャンで有効になっています。有効にすると、現在のスキャンと将来のスキャンに適用されます。以前のスキャンからの評価には適用できません。
- AppScan ソース での .NET プロジェクト (ASP、WEB, Framework、Core) のスキャンは HCL AppScan on Cloud のプロセスをミラーリングします。.NET プロジェクトは、スキャン前にコンパイルでき、プロジェクトのプロパティーに適切なビルド仕様がある必要があります。
-
システム要件、スキャンとプラグインのサポートに関する詳細については、「システム要件およびインストールの前提条件」を参照するか、HCL サポートまでお問い合わせください。
AppScan ソース バージョン 10.0.0 の相互運用性
- AppScan ソース 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容の違いにより、10.0.0 AppScan ソース より前のデータベースでは正しくスキャンしません。
- 同様に、10.0.0 AppScan ソース より前のクライアントは、10.0.0 AppScan ソース データベースでは正しくスキャンしません。
- AppScan ソース 10.0.0 データベースのインスタンスで構成された AppScan Enterprise のインスタンスは、AppScan ソース の 9.0.3.x バージョンでは使用できません。逆も同様です。
- AppScan ソース 10.0.0 と相互運用するには、AppScan Enterprise の 9.0.3x バージョンを次のように構成する必要があります。
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan ソースバージョン 10.0.0の既知の問題
- 次の言語はサポートされていません。
- ColdFusion
- Arxan C
- WSDL
- WebSphere では、デフォルトのコンパイル・オプションのみがサポートされています。
- 単一ファイル・スキャンは、すべての言語で利用できるわけではありません。
- JSP ファイルのプリコンパイルを無効にするメカニズムはありません。JSP ファイルは常にプリコンパイルされます。
- Linux システムでは、スキャンの停止/キャンセルは機能しません。
- Windows システムから AppScan ソース バージョン 10.0.0 をアンインストールするときに、アンインストール・プロセスがハングすることがあります。詳しくは、Windows で AppScan ソース のアンインストールがハングするを参照してください。
- C ++ をスキャンすると、グラフィカル・ユーザー・インターフェースからスキャンする場合と比較して、Visual Studio プラグインでスキャンした場合に検出結果が少なくなる場合があります。これは、アクティブに選択されたビルド構成と比較したときのデフォルトのビルド構成によるものです。この場合、プラグインを介したスキャンの一部として識別されます。
AppScan ソース バージョン 10.0.0 で終了予定の機能
- カスタム検出結果
- 品質メトリック
- E メール/設定
- RSS フィード
- アプリケーション属性
アプリケーション情報の保存には AppScan Enterprise を使用してください。
- 障害追跡システムの統合
AppScan 問題ゲートウェイを使用して、 AppScan Enterprise レベルから統合してください
AppScan ソース バージョン 10.0.0 でサポートされない機能
- 脆弱性キャッシュは、サポート対象外となりました。
- インクリメント・スキャンはサポート外です。
- 非 CPA スキャンはサポート外です。
-
バージョン 9.0.3.11 以降の AppScan ソース では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。
AppScan ソース の一部のコンポーネントは 32 ビットです。MacOS 10.14 (Mojave) は、32 ビットのアプリケーションをサポートする最新の Mac OS バージョンです。
10.12 までの Mac オペレーティング・システムでは、AppScan ソース バージョン 9.0.3.10 以前を引き続き使用できます。