Nouveautés dans AppScan Source

Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.

Nouveautés dans AppScan Source version 10.0.4

HCL® AppScan Source version 10.0.4 est le quatrième groupe de correctifs publié depuis l'édition majeure d'HCL AppScan Source version 10.0.0.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.0.4

Problèmes recensés dans AppScan Source version 10.0.4

  • Les groupements créés dans AppScan Source version 9.3.14 ou antérieure et marqués comme exclus dans la vue Propriétés n'excluront pas les constatations après la mise à niveau vers AppScan Source version 10.0.0 et versions supérieures. Le bundle doit être recréé dans AppScan Source version 10.0.0 ou versions supérieures.
  • L'examen de toutes les applications dans un client AppScan Source for Analysis peut remplir la vue Constatations sans remplir les groupes de correctifs. Effectuez l'examen sur des applications individuelles pour éviter ce résultat et affichez les constatations dans les groupes de correctifs correspondants.
  • La publication d'évaluations sur AppScan Enterprise échoue pour les autres langues que l'anglais si le nom de fichier d'évaluation contient des caractères natifs. Supprimez les caractères natifs du nom de fichier et effectuez une nouvelle publication.

Nouveautés dans AppScan Source version 10.0.3

HCL AppScan Source version 10.0.3 est le troisième groupe de correctifs publié depuis l'édition majeure d'HCL AppScan Source version 10.0.0.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.0.3

  • À partir de la version 10.0.3, AppScan Source ajoute la prise en charge des langues suivantes :
    • Android Java
    • Ionic
    • Objective C
    • React Native
    • SAP ABAP
    • Vue.js
    • Xamarin

    Pour plus d'informations, voir la section Configuration système requise.

  • Prise en charge des groupes de correctifs pour l'analyse statique.

    Les groupes de correctifs sont une nouvelle approche de la gestion, du triage et de la résolution de problèmes détectés dans l'analyse statique. Après l'exécution d'un examen statique, AppScan Source organise les problèmes détectés en groupes de correctifs, en fonction du type de vulnérabilité et de la tâche de résolution requise. Pour plus d'informations, voir Utilisation de groupes de correctifs de l'analyse statique.

  • Dans le cadre de la prise en charge des groupes de correctifs, un aperçu technique d'un rapport d'accompagnement est visible dans la boîte de dialogue Sélectionner le rapport Constatations. Le rapport affiche actuellement des informations de haut niveau sur le type de groupe de correctifs uniquement. Dans une version ultérieure, une profondeur supplémentaire sera ajoutée à la fonctionnalité de rapport, y compris l'emplacement des meilleurs correctifs pour les groupes de correctifs.

Problèmes recensés dans AppScan Source version 10.0.3

  • La commande CLI details signale une erreur par intermittence. Toutefois, la fonctionnalité de la commande n'est pas affectée.
    ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".

  • Lors de l'ouverture des évaluations publiées dans la base de données AppScan Source pour afficher les informations des groupes de correctifs, NULL peut s'afficher à la place du type de groupe de correctifs ou de l'ID du groupe de correctifs. Enregistrez l'évaluation dans un système de fichiers local, puis ouvrez-la à l'aide de la commande Ouvrir une évaluation pour afficher les informations du groupe de correctifs pour les évaluations de l'analyse statique publiées.

Informations supplémentaires sur l'interopérabilité et l'installation d'AppScan Source version 10.0.3

  • Si vous effectuez une mise à niveau de AppScan Source ou exécutez une réparation de l'installation de AppScan Source version 10.0.3, lorsque l'installation précédente a été configurée avec une base de données, vous devez démarrer le service AppScan Source DB manuellement.

Nouveautés dans AppScan Source version 10.0.2

HCL AppScan Source version 10.0.2 est le premier groupe de correctifs publié depuis l'édition majeure d'HCL AppScan Source version 10.0.0.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.0.2

  • À partir de AppScan Source version 10.0.2, une licence HCL est requise. Reportez-vous à Comment obtenir et appliquer des licences pour les produits AppScan Source pour obtenir des informations supplémentaires.
  • AppScan Source for Analysis version 10.0.2 ne nécessite pas de connexion à la base de données pour effectuer des examens. L'intégration à AppScan Enterprise pour le partage de résultats et de configurations d'examen est configurée dans AppScan Enterprise. La fonctionnalité déconnectée est décrite plus en détail ici.
  • AppScan Source introduit la prise en charge des langages suivants : Angular 8, Angular 9, Groovy, Symfony et TypeScript. Pour obtenir des informations détaillées, consultez Configuration système requise.

Informations supplémentaires sur l'interopérabilité et l'installation de AppScan Source version 10.0.2

  • Lors de l'installation de AppScan Source version 10.0.2 sur un système propre, il n'y a aucune base de données à installer, et donc aucune configuration de base de données à effectuer. Configurez l'intégration à AppScan Enterprise pour stocker et extraire des informations partagées.
  • Lors de l'installation de AppScan Source version 10.0.2 sur un système propre pour une utilisation en mode connecté, AppScan Enterprise version 10.0.2 est nécessaire. Les versions antérieures d'AppScan Enterprise ne sont pas prises en charge. En outre, il est nécessaire d'installer AppScan Enterprise Server avec les composants Administration des utilisateurs et Enterprise Console.

  • Lors de la mise à niveau vers AppScan Source version 10.0.2 à partir d'une version précédente, toute base de données précédemment installée est entièrement prise en charge, y compris la fonctionnalité de configuration.

  • Si vous effectuez une réparation de l'installation de AppScan Source version 10.0.2, lorsque l'installation précédente a été configurée avec une base de données, vous devez démarrer le service AppScan Source DB manuellement.
  • Si vous effectuez une mise à niveau AppScan Sourcelà où seuls le serveur d'automatisation ou les composants client sont installés et effectuez ultérieurement une réparation de l'installation, mettez à jour les propriétés suivantes dans 'ounce.ozsettings :
    • name=core_provider value=1
    • name=connect_mode value=false
  • Les fichiers de réponse du programme d'installation en mode silencieux créés avant la version 10.0.2 ne sont pas pris en charge. Il est nécessaire de créer des fichiers de réponse du programme d'installation en mode silencieux en vue d'une utilisation avec AppScan Source version 10.0.2.

Fonctionnalités en fin de vie ou supprimées dans AppScan Source version 10.0.2

  • AppScan Source ne prend plus en charge les licences IBM et il n'est plus possible de les configurer dans le gestionnaire de licences. Reportez-vous à Comment obtenir et appliquer des licences pour les produits AppScan Source pour obtenir des informations supplémentaires.
  • AppScan Source version 10.0.2 ne prend plus en charge Visual Studio 2010.
  • SolidDB n'est plus fourni avec AppScan Source et n'est pas installé dans le cadre de la solution. Les installations existantes de SolidDB continuent à être prises en charge.
  • L'option Journal d'audit dans le menu Admin n'est plus disponible.

Nouveautés dans AppScan Sourceversion 10.0.1

HCL AppScan Source version 10.0.1 est le premier groupe de correctifs publié depuis l'édition majeure d'HCL AppScan Source version 10.0.0. Cette édition permet à l'équipe d'AppScan de se rapprocher d'un modèle de publication continue de mises à jour régulières et fréquentes pour notre famille de produits d'analyse de sécurité à la pointe du secteur.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.0.1

  • AppScan Source version 10.0.1 dispose de fonctionnalités de licence améliorées, notamment la prise en charge de proxy pour les licences HCL dans l'interface utilisateur et l'utilisation de certificats non accrédités pour se connecter à un serveur de licences local.
  • AppScan Source version 10.0.1 introduit AppScanDelta. Cette fonction permet aux utilisateurs d'effectuer une différence à partir de la ligne de commande entre deux évaluations.
  • AppScan Source prend en charge NetCore 2.1 et 2.2.
  • AppScan Source version 10.0.1 prend en charge les langages Scala, Swift, Kotlin et ReactJS. Pour plus d'informations, consultez Configuration requise.
  • AppScan Source version 10.0.1 prend en charge le format de rapport DISA STG v4r10.

Problèmes connus dans AppScan Source version 10.0.1

  • Si vous examinez un projet Visual Studio de 2015 ou antérieur, il se peut que l'examen échoue et qu'un message vous invite à supprimer discoverymanager.exe.config. Supprimez le fichier spécifié et réessayez. Cliquez ici pour plus d'informations.

AppScan Sourceinteropérabilité

  • Les versions 9.0.3.x et 10.0.0 d'AppScan Enterprise doivent être configurées de la manière suivante pour interopérer avec AppScan Source 10.0.4 : 
    set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

Fonctionnalités en fin de vie ou supprimées dans AppScan Source version 10.0.1

Les fonctionnalités suivantes sont en fin de vie à partir de AppScan Source version 10.0.1. Veuillez planifier en conséquence.

  • IMPORTANT ! La prise en charge des licences IBM dans les nouvelles versions d'AppScan prendra fin au troisième trimestre 2020 (août/septembre). Les nouvelles versions ultérieures des produits AppScan prendront uniquement en charge les licences HCL. Pour plus d'informations sur les licences, consultez Activation du logiciel. Vous pouvez également contacter votre partenaire commercial HCL ou le service d'assistance HCL.
  • A partir du troisième trimestre 2020 (août/septembre), SolidDB ne sera plus accompagné de mises à jour de produits. Les installations existantes seront encore prises en charge.

Nouveautés dans AppScan Source version 10.0.0

HCL AppScan Source version 10.0.0 marque une avancée significative en matière de technologie derrière la famille de produits AppScan. HCL a investi dans les produits du marché DevSecOps, posant ainsi les bases des améliorations au niveau de nos produits d'examen de sécurité à la pointe du secteur, maintenant et à l'avenir.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.0.0

  • IBM® Security AppScan Source est désormais HCL AppScan Source.

    Mi-2019, HCL Technologies a fait l'acquisition de la famille de produits d'IBM AppScan, notamment de AppScan Enterprise, AppScan Standard, AppScan Source et AppScan on Cloud. Tous les produits AppScan sont à présent détenus, développés et promus par HCL Software. L'ensemble des licences, logos, conventions de dénominations et autres droits intellectuels et/ou de marque sont détenus par HCL. Par conséquent, tous les produits AppScan ont été rebaptisés pour refléter ce changement de propriétaire et les nouvelles phases de développement et de croissance.

  • Présentation de la licence HCL pour HCL AppScan Source

    Dans le cadre de la transition entre IBM et HCL, HCL présente des packages de licences centrés sur HCL pour la famille de produits AppScan. AppScan, AppScan Standard et AppScan Source utilisent un serveur de licences FlexLM, dont l'authentification se fait via un serveur proxy. AppScan on Cloud utilise un système de gestion de l'accès à l'identité client (CAIM) de pointe à partir d'Okta.

  • AppScan Source prend désormais en charge le langage de programmation Go (Golang).
  • AppScan Source prend désormais en charge l'examen C++ dans Visual Studio 2015, 2017 et 2019.
  • AppScan Source prend désormais en charge Oracle 19c.
  • La nouvelle fonctionnalité d'examen des flux de données exécute une analyse du code plus complète et permet de découvrir plus de constatations.
  • Concernant les langages pour lesquels AppScan Source dispose de scanners personnalisés, vous pouvez voir une différence nette dans les résultats lors d'un examen avec AppScan Source v10. Dans les instances pour lesquelles l'examen a été converti en examen personnalisé, cela peut entraîner une réduction des résultats. Les règles des scanners personnalisés évoluent, sont ajoutées régulièrement et sont simples à améliorer.
  • Intégration améliorée aux technologies ICA (analyse de code intelligente) et IFA (analyse de résultats intelligente).

    Lorsque ICA/IFA est activée, vous pouvez voir l'onglet Constatations exclues et y accéder. Pour plus d'informations, consultez Analyse de résultats intelligente (IFA) dans la AppScan Source documentation.

    La technologie IFA est activée par défaut pour tous les examens. Lorsqu'elle est activée, elle est appliquée à l'examen en cours et aux futurs examens. Elle ne peut pas être appliquées à des évaluations d'examens précédents.

  • L'examen des projets .NET (ASP, WEB, Framework, Core) dans AppScan Source reflète le traitement dans HCL AppScan on Cloud. Les projets .NET doivent pouvoir être compilés avant d'être examinés et des spécifications de génération adaptées doivent figurer dans leurs propriétés de projet.
  • 15 Go est la quantité d'espace minimale requise pour installer AppScan Source et exécuter les examens de base. Cependant, l'espace disque varie en fonction de l'application qui est scannée. Nous recommandons un minimum de 8 Go de RAM et de 15 à 20 Go d'espace disque libre. Vous devez également augmenter l'exigence en matière de fichiers de votre page Windows (reportez-vous à Astuces pour améliorer les performances de l'ordinateur sous Windows 10 pour en savoir plus).

  • Pour en savoir plus sur la configuration système requise, ainsi que la prise en charge des examens et des plug-in, reportez-vous à Configuration requise et composants prérequis pour l'installation ou contactez le support HCL.

Instructions d'installation supplémentaires pour AppScan Source version 10.0.0

Lors de l'installation d'AppScan Source version 10.0.0 avec le plug-in Visual Studio 2019, il se peut que malgré la réussite de l'installation, le plug-in Visual Studio 2019 ne soit pas installé correctement.

Pour installer le plug-in d'AppScan Source version 10.0.0 dans Visual Studio 2019 :

  1. Assurez-vous qu'HCL AppScan Source version 10.0.0 est installé sur le système cible. Sélectionnez le plug-in Microsoft Visual Studio 2019 pendant l'installation.
  2. Si une version antérieure à AppScan Source version 10.0.0 a été installée dans l'instance cible de Visual Studio 2019, désinstallez-la comme suit :
    1. Lancez l'instance cible Visual Studio 2019.
    2. Ouvrez Visual Studio > Extensions > Gérer les extensions.
    3. Dans l'onglet Installé, sélectionnez Plug-in AppScan Source dans la liste.
    4. Cliquez sur Désinstaller le plug-in et suivez les instructions pour terminer la désinstallation.
  3. Installez le plug-in d'HCL AppScan Source version 10.0.0 dans l'instance Visual Studio 2019 comme suit :
    1. Fermez toutes les instances Visual Studio 2019.
    2. Téléchargez VS2019Plugin.zip à partir du HCL AppScan Source site de téléchargement de la version.
    3. Extrayez le contenu du fichier zip dans <AppScan Source Install Dir> (l'emplacement par défaut est C:\Program Files (x86)\IBM\AppScanSource). Choisissez Oui pour toutes les options lorsque vous y êtes invité.
    4. Double-cliquez sur AppScanSrcPlugin.vsix à partir du répertoire <AppScan Source Install Dir>/bin.
    5. Dans la boîte de dialogue de l'installateur VSIX qui apparaît, sélectionnez Visual Studio <Edition> 2019 et cliquez sur Installer.

      L'édition peut être Professional, Enterprise ou Community en fonction de ce qui est installé sur la machine. Vous pouvez sélectionner plus d'une édition à installer, le cas échéant.

    6. Lorsque l'installation est terminée, fermez la boîte de dialogue.
    7. Redémarrez Visual Studio 2019. Le plug-in AppScan Source apparaît sous Extensions.

AppScan Source Interopérabilité de la version 10.0.0

HCL AppScan Source 10.0.0 nécessite une base de données AppScan Source 10.0.0 (SolidDB ou Oracle) :
  • Un client AppScan Source 10.0.0 n'examinera pas correctement avec une base de données antérieure à AppScan Source 10.0.0 en raison de la différence de contenu des bases de données, puisqu'elles appartiennent à certaines règles d'examen.
  • De même, un client antérieur à AppScan Source 10.0.0 ne pourra PAS examiner correctement avec une base de données AppScan Source 10.0.0.
AppScan Source 10.0.0 interopèrera avec des versions antérieures à 9.0.3.x d'AppScan Enterprise :
  • Une instance d'AppScan Enterprise configurée avec une instance de la base de données AppScan Source 10.0.0 ne peut pas être utilisées par les versions 9.0.3.x d'AppScan Source, et vice versa.
  • Les versions 9.0.3.x d'AppScan Enterprise doivent être configurées de la manière suivante pour interopérer avec AppScan Source 10.0.0 : 
    set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

Problèmes connus dans AppScan Source version 10.0.0

Cette section couvre les informations, les limitations connues, ainsi que les solutions de contournement d'AppScan Source version 10.0.0.
  • Les langages suivants ne sont pas pris en charge :
    • Arxan C
    • WSDL
  • Sur WebSphere, seules les options de compilation JSP par défaut sont prises en charge.
  • L'examen de fichier unique est indisponible pour tous les langages.
  • Il n'y a pas de mécanisme pour désactiver la précompilation des fichiers JSP. Les fichiers JSP seront toujours précompilés.
  • L'option Arrêter/Annuler l'examen ne fonctionne pas sur les systèmes Linux.
  • L'option Arrêter/Annuler risque de ne pas fonctionner sous Windows lorsque vous utilisez l'interface de ligne de commande. Pour éviter ce problème, redémarrez AppScan Source et arrêtez tous les processus d'arrière-plan.
  • Lors de la désinstallation d'AppScan Source version 10.0.0 depuis un système Windows, le processus de désinstallation se bloque parfois. Pour plus d'informations, voir La désinstallation d'AppScan Source bloque sur Windows.
  • Après la mise à niveau vers AppScan Source version 10.0.0, les rapports PDF ne sont plus générés. Pour plus d'informations, consultez AppScan Source 10.0.0 génère "java.lang.reflect.InvocationTargetException" pendant la génération de rapports PDF dans un scénario de mise à niveau.

Fonctionnalités en fin de vie dans AppScan Source version 10.0.0

Les fonctionnalités suivantes sont en fin de vie à partir de AppScan Source version 10.0.0. Veuillez planifier en conséquence.

Fonctionnalités qui ne sont plus prises en charge dans AppScan Source version 10.0.0

  • Le cache de vulnérabilité n'est plus pris en charge.
  • L'examen incrémentiel n'est pas pris en charge.
  • L'examen Non-CPA n'est pas pris en charge.

  • A compter de la version 9.0.3.11, AppScan Source ne prend plus en charge l'examen de projets macOS ou iOS.

    Certains composants d'AppScan Source sont en 32 bits. MacOS 10.14 (Mojave) est la dernière version du système d'exploitation Mac qui prendra en charge les applications 32 bits.

    Vous pouvez continuer à utliser la version 9.0.3.10 et les versions antérieures d'AppScan Source sur les systèmes d'exploitation Mac 10.12 et antérieurs.