美国政府法规遵从性
遵从美国政府的安全和信息技术法规有助于消除销售难题和障碍。这还向全球潜在客户提供了一个证据点,表明 HCL® 正在努力使其产品在行业中具有最高安全性。本主题列出了 AppScan® 源 支持的标准和准则。
- 因特网协议 V6 (IPV6)
- 联邦信息处理标准 (FIPS)
- 美国国家标准技术学会 (NIST) 特殊规范 (SP) 800-131a
- Windows 配置为使用美国政府配置基线 (USGCB) 的 Windows 计算机
因特网协议 V6 (IPV6)
AppScan 源 支持 IPV6,但以下情况例外:
- 不支持输入 IPv6 数字地址,必须输入主机名。支持输入 IPv4 数字地址。
- 连接到 Rational Team Concert™ 时不支持 IPv6。
联邦信息处理标准 (FIPS)
在 AppScan 源 支持的 Windows™ 和 Linux™ 平台上,AppScan 源 通过使用经 FIPS 140-2 验证的加密模块和批准的算法来支持 FIPS 规范 140-2。
要了解关于 AppScan 源 FIPS 合规性的背景信息以及了解如何启动和禁用 AppScan 源 FIPS 140-2 方式,请参阅以下技术说明:
美国国家标准技术学会 (NIST) 特殊规范 (SP) 800-131a
NIST SP 800-131A 准则提供加密密钥管理指导。这些准则包括:
- 密钥管理过程。
- 如何使用密码算法。
- 要使用的算法及其最小强度。
- 安全通信的密钥长度。
政府部门和金融机构使用 NIST SP 800-131A 准则来确保产品满足特定安全需求。
仅当 AppScan 源 在以 FIPS 140-2 方式运行时,才支持 NIST SP 800-131A。要了解如何启用和禁用 AppScan 源 FIPS 140-2 方式,请参阅联邦信息处理标准 (FIPS)。
重要:
如果您将要连接到的 AppScanEnterprise Server 支持 NIST 800-131a 合规性,那么必须将 AppScan 源 设置为强制使用传输层安全性 V1.2。如果未强制执行传输层安全 V1.2,则与服务器的连接将失败。
- 如果未安装 AppScan 源数据库(例如,如果仅安装了客户机组件),那么可以通过修改 <data_dir>\config\ounce.ozsettings(其中 <data_dir> 是 AppScan 源 程序数据的位置,如安装和用户数据文件位置) 来强制使用传输层安全性 V1.2。在此文件中,找到以下设置:
<Setting name="tls_protocol_version" read_only="false" default_value="0" value="0" description="Minor Version of the TLS Connection Protocol" type="text" display_name="TLS Protocol Version" display_name_id="" available_values="0:1:2" hidden="false" force_upgrade="false" />
在此设置中,将
value="0"
更改为value="2"
,然后保存文件。 - 如果您安装了 AppScan 源数据库,请在安装 AppScan 源 以及 Enterprise Server 之后,在 HCL® AppScan Enterprise Server 数据库配置工具中强制使用传输层安全性 V1.2。
Windows 配置为使用美国政府配置基线 (USGCB) 的 Windows 计算机
AppScan 源 支持在使用 USGCB 规范来配置的 Windows 计算机上扫描应用程序。
注: 在使用 USGCB 规范来配置的机器上,AppScan 源 不支持将缺陷跟踪系统与 HP Quality Center 或 Rational® ClearQuest® 集成。