Migration vers la version actuelle d'AppScan® Source

Cette rubrique contient des informations de migration pour les modifications qui ont été introduites dans cette version d'AppScan® Source. Si vous mettez à niveau une version antérieure d'AppScan® Source, notez bien les modifications apportées à la version d'AppScan® Source que vous mettez à niveau et à toutes les versions jusqu'à cette version actuelle.

Migrer depuis la version 9.0.3

Licence HCL

Dans le cadre de la transition d'IBM vers HCL, HCL a introduit des packages de licence centrés sur HCL pour la famille de produits AppScan. Les produits AppScan ont continué à prendre en charge les licences IBM existantes jusqu'à la version 10.0.1. À partir de la version 10.0.2, une licence HCL est requise.

Les nouvelles licences ne sont disponibles que via HCL.

Pour acquérir et appliquer une nouvelle licence AppScan Source, procurez-vous d'abord la licence appropriée via le portail HCL FlexNet, puis appliquez la licence à l'aide du gestionnaire de licences d'AppScan Source.

Pour plus d'informations, reportez-vous à Comment obtenir et appliquer des licences pour les produits AppScan Source.

AppScan® Sourceinteropérabilité

HCL® AppScan® Source 10.0.0 nécessite une base de données AppScan® Source 10.0.0 :
  • Un client AppScan® Source 10.0.0 n'examinera pas correctement avec une base de données antérieure à AppScan® Source 10.0.0 en raison de la différence de contenu des bases de données, puisqu'elles appartiennent à certaines règles d'examen.
  • De même, un client antérieur à AppScan® Source 10.0.0 ne pourra PAS examiner correctement avec une base de données AppScan® Source 10.0.0.
AppScan® Source 10.0.0 interopèrera avec des versions antérieures à 9.0.3.x d'AppScan® Enterprise :
  • Une instance d'AppScan® Enterprise configurée avec une instance de la base de données AppScan® Source 10.0.0 ne peut pas être utilisées par les versions 9.0.3.x d'AppScan® Source, et vice versa.
  • Les versions 9.0.3.x d'AppScan® Enterprise doivent être configurées de la manière suivante pour interopérer avec AppScan® Source 10.0.0 :
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

Migration à partir de la version 9.0.2

Remarque : A compter de la version 9.0.3.11, AppScan® Source ne prend plus en charge l'examen Xcode macOS ou iOS.

Il est possible que les nouveaux attributs de règle génèrent des modifications de classification des constatations dans les examens existants

Après la version 9.0.2, les attributs de règle Attribute.Likelihood.High et Attribute.Likelihood.Low ont été introduits. Lorsque ces attributs sont utilisés, AppScan® Source est en mesure de déterminer de manière plus précise si des constatations sont catégoriques et/ou suspectes. Par conséquent, si vous examinez du code source dans AppScan® Source version 9.0.2 ou antérieures, vous pouvez noter des changements dans certaines classifications de constatations lorsque ce même code source est examiné dans des versions du produit plus récentes. Ces changements sont particulièrement notables pour les constatations associées à des sources Web hautement exploitables, ou les sources de propriété ou d'environnement moins exploitables.

Ces attributs de règle sont utilisés par défaut. Vous pouvez les désactiver comme suit :

  1. Ouvrez <data_dir>\config\ipva.ozsettings dans l'éditeur de texte (où <data_dir> est l'emplacement de vos données de programme AppScan® Source, comme décrit dans Emplacements des fichiers de données utilisateur et des fichiers d'installation). Localisez le paramètre allow_likelihood dans le fichier. Ce paramètre est similaire à ce qui suit :
    <Setting
      name="allow_likelihood"
      value="true"
      default_value="true"
      description="Allow the processing of the Likelihood 
        attributes to help determine trace confidence based 
        on the source API"
      display_name="Allow Likelihood"
      type="bool"
    />
    Dans ce paramètre, modifiez l'attribut value. Si l'attribut est défini sur la valeur true, ce paramètre sera activé. Si l'attribut est défini sur la valeur false, AppScan® Source n'utilisera pas ces attributs de règle pendant les examens.
  2. Après avoir modifié ce paramètre, sauvegardez le fichier, puis démarrez ou redémarrez AppScan® Source.

Génération de collecteur indéterminé automatique

Après la version 9.0.2, la résolution de collecteur indéterminé automatique a été introduite pour les traces qui se terminent par des getters/setters et les méthodes qui retournent des valeurs booléennes. Cela est possible en déduisant automatiquement le marquage pour ces interfaces de programmation. Par conséquent, si vous examinez du code source dans AppScan® Source version 9.0.2 ou précédentes, vous pouvez noter des changements dans les résultats des constatations qui contenaient des collecteurs indéterminés non résolus lorsque ce même code source est examiné dans des versions du produit plus récentes.

La fonction de génération de marquage automatique est activée par défaut. Vous pouvez la désactiver si vous voulez utiliser d'autres moyens de résolution de collecteurs indéterminés, par exemples des règles personnalisées, comme suit :

  1. Ouvrez <data_dir>\config\ipva.ozsettings dans l'éditeur de texte (où <data_dir> est l'emplacement de vos données de programme AppScan® Source, comme décrit dans Emplacements des fichiers de données utilisateur et des fichiers d'installation). Localisez le paramètre automatic_lost_sink_resolution dans le fichier. Ce paramètre est similaire à ce qui suit :
    <name="automatic_lost_sink_resolution"
      value="true"
      default_value="true"
      description="This setting tries to perform automatic 
        lost sink resolution by assuming taint propagation 
        for getters, setters and APIs which return boolean 
        with no arguments."
      display_name="Auto Lost Sink Resolution"
      type="bool"
    />
    Dans ce paramètre, modifiez l'attribut value. Si l'attribut est défini sur la valeur true, ce paramètre sera activé. Si l'attribut est défini sur la valeur false, AppScan® Source ne générera pas automatiquement le marquage pour ces méthodes.
  2. Après avoir modifié ce paramètre, sauvegardez le fichier, puis démarrez ou redémarrez AppScan® Source.

Migration à partir de la version 9.0

Authentification AppScan®Enterprise Server : Considérations relatives à la migration pour le remplacement du composant d'authentification des utilisateurs IBM® Rational® Jazz par IBM® WebSphere® Liberty

  • Migration à partir d'un serveur Enterprise Server qui ne possède que des utilisateurs Jazz locaux : dans ce scénario de mise à niveau, les précédents utilisateurs Jazz apparaîtront dans la AppScan® Source Database comme utilisateurs AppScan®Enterprise Server, mais ils ne seront pas valides. Ces utilisateurs peuvent être supprimés de la base de documents ou être convertis en utilisateurs AppScan® Source. Contactez le support HCL pour obtenir des informations sur l'activation d'anciens utilisateurs Jazz dans AppScan® Source.
  • Migration à partir d'un serveur Enterprise Server configuré avec LDAP : lors de la mise à niveau du serveur Enterprise Server, vous avez la possibilité de configurer de nouveau le serveur Enterprise Server avec LDAP. Les utilisateurs existants continueront alors de fonctionner dans AppScan® Source.
  • Migration à partir d'un serveur Enterprise Server configuré avec l'authentification Windows : si votre serveur Enterprise Server était configuré avec l'authentification Windows, les utilisateurs existants fonctionneront dans AppScan® Source, à condition que le nouveau serveur Enterprise Server Liberty soit configuré pour utiliser l'authentification Windows.

Migration à partir de la version 8.7

Modifications apportées aux classifications des résultats

Depuis la version 8.7, les classifications des résultats ont changé. Ce tableau établit une comparaison entre les anciennes et les nouvelles classifications :

Tableau 1. Modifications apportées aux classifications des résultats
Classifications des constatations avant AppScan® Source version 8.8 Classifications à partir d'AppScan® Source version 8.8
Vulnérabilité Résultat de sécurité définitif
Exception de Type I Résultat de sécurité suspect
Exception de Type II Constatation de couverture d'examen

La vue Matrice de vulnérabilités propose un exemple de ces modifications.

Vue Matrice de vulnérabilités des versions de AppScan Source antérieures à la version 8.8

A partir de la version 8.8, la vue s'affiche comme suit :

Vue Matrice de vulnérabilités dans AppScan Source version 8.8

Modifications des paramètres par défaut qui améliorent la couverture d'examen

A partir d'AppScan® Source version 8.8 :

  • La valeur par défaut de show_informational_findings dans scan.ozsettings est passée de true à false.
  • La valeur par défaut de wafl_globals_tracking dans ipva.ozsettings est passée de false à true. Ce paramètre permet à AppScan® Source de rechercher un flux de données entre différents composants d'une application basée sur une structure (par exemple, un flux de données entre un contrôleur et une vue).

La modification apportée à show_informational_findings fait que les évaluations n'incluent pas les constatations d'un niveau de gravité de valeur Info par défaut.

Remarque : si des configurations d'examen ont été créées avant la version 8.8 sans définir explicitement des valeurs pour ces paramètres, elles utiliseront désormais leurs nouvelles valeurs par défaut.

Restauration des filtres prédéfinis d'AppScan® Source à partir de versions antérieures

Dans AppScan® Source version 8.8, les filtres prédéfinis ont été améliorés pour fournir de meilleurs résultats d'examen. Si vous devez continuer à utiliser les filtres prédéfinis des versions antérieures d'AppScan® Source (les filtres archivés sont répertoriés dans Filtres prédéfinis AppScan Source (versions 8.7.x et antérieures)), suivez les instructions de la section Restauration des filtres prédéfinis archivés.