Fichier Readme HCL®AppScan® Source et notes sur l'édition, version HCL®AppScan® Source Notes®

Décembre 2023

Veuillez lire attentivement ce document dans son intégralité avant de procéder à l'installation du produit ou d'un de ses composants.

Il répertorie les sujets et les problèmes importants relatifs à AppScan® Source :

Octroi de licence AppScan® Source

AppScan® Source fournit un gestionnaire de licence (License Manager) pour chargement et mise à jour des informations de licence sur votre machine client. Cet utilitaire permet d'afficher l'état courant de votre licence, ou d'activer le produit en important un fichier de licence verrouillée (nodelocked) ou en utilisant une licence flottante sur un serveur de licence. Les licences verrouillées sont liées à des machines particulières, tandis que les licences flottantes peuvent être réservées pour une utilisation sur plusieurs machines.

Le gestionnaire de licence peut être ouvert à partir de l'assistant d'installation du produit une fois l'installation terminée ou vous pouvez le lancer à partir du menu Démarrer de Windows.

Vous pouvez vous procurer les licences AppScan® Source à partir d'AppScan® Source. Pour savoir comment obtenir des licences et les activer, voir Comment obtenir et appliquer les licences pour les produits AppScan Source et Activation du logiciel dans l'aide.

IMPORTANT : nouveau nom de fichier d'installation pour Windows

Dans les versions précédentes, le fichier d'installation de Windows s'appelait setup.exe. Le fichier d'installation s'appelle maintenant AppScanSrc_Installer.exe.

Documentation des produits AppScan® Source for Analysis

Lorsque vous utilisez l'élément de menu Aide > Contenu de l'aide dans AppScan® Source for Analysis, l'aide en ligne pour AppScan® Source for Analysis sur Documentation des produits logiciels HCL s'ouvre. De même, lorsque vous cliquez sur les liens dans la vue Bienvenue d'AppScan® Source for Analysis, ils s'ouvrent dans la Documentation des produits logiciels HCL.

AppScan® Source for Analysis propose aussi une aide contextuelle pour de nombreuses vues, pages de préférence et boîtes de dialogue. Le raccourci clavier pour l'aide contextuelle est F1 sous Windows, Maj+F1 sous Linux. Cette aide contextuelle aide également à ouvrir AppScan® Source dans la Documentation des produits logiciels HCL.

Si vous utilisez le produit sans connexion Internet, l'aide est disponible localement, comme suit :

  • La documentation Javadoc de certaines fonctions de AppScan® Source for Analysis se trouve dans le répertoire doc/Javadoc ou doc\Javadoc de votre répertoire d'installation de AppScan® Source for Analysis. A compter la version 9.0.3.4, la documentation Javadoc de ces fonctions est disponible :
    • La documentation Javadoc des classes et des méthodes de l'API de l'infrastructure d'importation du serveur d'application est disponible dans doc/Javadoc/appserverimporter ou doc\Javadoc\appserverimporter.
    • La documentation Javadoc des classes et des méthodes de l'API Framework for Frameworks est disponible dans doc/Javadoc/frameworks ou doc\Javadoc\frameworks.

    Dans ces dossiers, ouvrez le fichier index.html.

Général

L'option Arrêter l'examen n'est plus disponible

AppScan® Source ne vous permet plus d'interrompre un examen et de revenir aux résultats en cours. L'examen doit être terminé pour voir les résultats.

Après la mise à niveau d'AppScan® Source, des constatations de groupements exclus peuvent apparaître dans les résultats de l'examen

Après la mise à niveau d'AppScan® Source, les propriétés de certaines constatations peuvent changer, ce qui peut entraîner cette limitation connue.

Limitations IPv6

AppScan® Source est activé pour IPv6 (Internet Protocol version 6), avec les exceptions suivantes :

  • La saisie d'adresses numériques IPv6 n'est pas prise en charge et un nom d'hôte doit être entré à la place. La saisie d'adresses numériques IPv4 est prise en charge.

Utilisation de classes précompilées lorsque l'examen d'un espace de travail Eclipse échoue en raison de classes ou de bibliothèques manquantes

Si vous parvenez à importer un espace de travail Eclipse, et constatez que l'examen échoue en raison de classes ou de bibliothèques manquantes, il est recommandé d'utilisé l'option permettant d'examiner avec des classes précompilées. Pour ce faire, sélectionnez cette option dans les propriétés de projet et accédez au répertoire bin du projet Eclipse.

L'installation en mode silencieux n'est pas prise en charge dans les environnement locaux turcs

Si vous créez une installation personnalisée en mode silencieux, elle n'aboutira pas si vous l'exécutez dans un environnement local de langue turque (par exemple, tr et tr_TR).

Le jeu de caractères UTF-8 est nécessaire pour les bases de données Oracle

Si vous connectez AppScan® Enterprise Server à une base de données Oracle, vous devez spécifier UTF-8 comme jeu de caractères lors de la création de la base de données (en général, il ne s'agit pas du jeu de caractères par défaut).

Numéros de ligne dans les fichiers JSP

Les numéros de ligne relatifs au fichier .java généré à partir du fichier .jsp sont affichés avec le nom du fichier JSP.

Ounce/Maven

ounce:report mojo ne fonctionne pas pour les fichiers XML d'évaluation mais uniquement pour les nouveaux examens.

AppScan® Source for Analysis

La mise à niveau d'AppScan® Source avant la fin de tous les processus AppScan® Source java peut entraîner l'échec de la vue Comment résoudre le problème.

Si vous réalisez une mise à niveau de produit lorsqu'un processus AppScan® Source java est en cours d'exécution, la vue Comment résoudre le problème peut afficher une erreur similaire aux erreurs suivantes après l'opération :

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

ou

Error executing query and transform

Avant de mettre à niveau une installation AppScan® Source comprenant les composants AppScan® Source, AppScan® Source ou AppScan® Source, vérifiez qu'aucun processus AppScan® Source java n'est en cours d'exécution.

Prérequis pour les composants AppScan® Source for Analysis et AppScan® Source for Analysis sous Linux

Sous Linux, Eclipse requiert l'installation d'un composant tiers pour l'affichage du contenu du navigateur. Sans ce composant, AppScan® Source for Analysis et AppScan® Source for Analysis peuvent présenter des symptômes tels qu'un blocage après la connexion ou un échec pendant l'utilisation du produit.

Arrêt intermittent de AppScan® Source for Analysis sous Linux

Pour empêcher tout arrêt inattendu, mettez à niveau Pango. La mise à niveau de Pango peut nécessiter celle de glib.

Mise en cache possible des chaînes de l'interface lors d'un changement de langue

L'interface utilisateur de AppScan® Source for Analysis peut être affichée en différentes langues. Vous pouvez passer d'une langue à une autre en modifiant les préférences, puis en redémarrant le plan de travail. Cependant, le plan de travail Eclipse utilise un mécanisme de mise en cache des chaînes affichées et, si vous venez de changer de langue, il est possible qu'il réaffiche quand même certaines chaînes dans l'ancienne langue. Ce comportement typique d'Eclipse affecte également AppScan® Source for Analysis. Lorsque vous changez de langue d'affichage, une fois le plan de travail redémarré, chaque chaîne mise en cache est actualisée et affichée dans la bonne langue si vous activez l'élément correspondant de l'interface utilisateur (par exemple, si vous venez de passer de l'anglais au français, et si un libellé de bouton a été mis en cache et apparaît encore en anglais, cliquez sur ce bouton et le libellé s'affichera en français).

Les caractères multioctets dans le chemin d'installation d'AppScan® Source for Analysis ne sont pas pris en charge

Toutes les versions d'AppScan® Source for Analysis échoueront au cours de l'installation avec une erreur de type Répertoire non valide si le chemin d'installation contient des caractères multioctets.

Linux - Erreur de lancement de AppScan® Source for Analysis après la configuration des démons AppScan® Source for Analysis à exécuter en tant qu'utilisateurs autres que 'ounce' durant l'installation

Le programme d'installation de AppScan® Source for Analysis permet de configurer les processus de démon AppScan® Source for Analysis pour qu'ils s'exécutent en tant qu'utilisateur par défaut 'ounce' ou en tant qu'utilisateur existant.

Solution : Si vous ne choisissez pas l'utilisateur par défaut, vous devez créer dans le répertoire d'installation d'eclipse.ini (par exemple, AppScan® Source) un fichier /opt/hcl/appscansource comportant la ligne suivante :

-configuration @user.home/.ounceconfig

Suppression de AppScan® Source for Analysis en tant qu'utilisateur non administrateur

AppScan® Source for Analysis sous Windows requiert des droits d'administrateur pour la création d'entrées d'ajout ou de suppression de programmes. Si vous avez installé AppScan® Source for Analysis sans disposer de droits d'administrateur, pour supprimer AppScan® Source for Analysis, accédez à <install_dir>\Uninstall_AppScan et exécutez AppScan_Uninstaller.exeAppScan® Source for Analysis.

Pour créer des rapports au format PDF, il peut s'avérer nécessaire d'installer des polices système pour certaines langues autres que l'anglais

Pour ces langues, il se peut que vous deviez installer les polices suivantes pour pouvoir créer des rapports au format PDF :

  • Japonais : MS Gothic ou VL Gothic
  • Coréen : Gulim
  • Chinois simplifié : SimSun-18030 ou MingLiU
  • Chinois traditionnel : SimSun-18030 ou MingLiU

Modification des règles personnalisées et utilisation des plug-in

Si vous créez une règle personnalisée dans AppScan® Source for Analysis et que vous êtes connecté à un AppScan® Source for Analysis, vous devez redémarrer l'environnement de développement intégré pour afficher les modifications.

La sélection du style de diagramme de la vue Récapitulatif de l'évaluation n'est plus prise en charge

Dans la vue Récapitulatif de l'évaluation, vous ne pouvez plus choisir le style de diagramme à afficher. Le diagramme à barres est le seul style de diagramme disponible.

AppScan® Source for Development (plug-in Eclipse)

La mise à niveau d'AppScan® Source avant la fin de tous les processus AppScan® Source java peut entraîner l'échec de la vue Comment résoudre le problème.

Si vous réalisez une mise à niveau de produit lorsqu'un processus AppScan® Source java est en cours d'exécution, la vue Comment résoudre le problème peut afficher une erreur similaire aux erreurs suivantes après l'opération :

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

ou

Error executing query and transform

Avant de mettre à niveau une installation AppScan® Source comprenant les composants AppScan® Source, AppScan® Source ou AppScan® Source, vérifiez qu'aucun processus AppScan® Source java n'est en cours d'exécution.

Suite à l'application d'AppScan® Source for Development dans Eclipse, vous n'êtes pas invité à choisir un espace de travail après avoir relancé Eclipse

Après l'application d'AppScan® Source for Development dans Eclipse, vous êtes invité à redémarrer le plan de travail. Après le redémarrage, vous êtes invité à choisir un espace de travail. Cependant, lorsque vous redémarrez Eclipse à nouveau, ou fermez et démarrez Eclipse, vous n'êtes pas invité à choisir un espace de travail.

Ce problème est lié au bogue https://bugs.eclipse.org/bugs/show_bug.cgi?id=409552.

Vous pouvez contourner le problème en appliquant l'une des méthodes suivantes :

  • Utilisez l'option -clean lorsque vous démarrez Eclipse.
  • Quittez Eclipse puis, dans votre répertoire d'installation Eclipse, supprimez le répertoire configuration\org.eclipse.osgi\.manager avant de redémarrer Eclipse.

Si vous ne résolvez pas le problème, vous pouvez garantir que vous utilisez l'espace de travail correct en utilisant l'action Fichier > Changer d'espace de travail.

Mise à niveau de AppScan® Source for Development (plug-in Eclipse)

Il est recommandé de désinstaller AppScan® Source for Development de votre environnement de développement intégré Eclipse avant de procéder à la mise à niveau vers une version plus récente d'AppScan® Source for Development ou d'AppScan® Source for Development.

Prérequis pour les composants AppScan® Source for Analysis et AppScan® Source for Analysis sous Linux

Sous Linux, Eclipse requiert l'installation d'un composant tiers pour l'affichage du contenu du navigateur. Sans ce composant, AppScan® Source for Analysis et AppScan® Source for Analysis peuvent présenter des symptômes tels qu'un blocage après la connexion ou un échec pendant l'utilisation du produit.

AppScan® Source for Development plug-in pour les produits Eclipse et de technologie Eclipse : série d'invites pour le répertoire d'installation AppScan® Source for Development

Lors de la première utilisation du plug-in AppScan® Source for Development pour les produits Eclipse et de technologie Eclipse, une boîte de dialogue vous invite à indiquer le chemin d'accès à votre répertoire d'installation AppScan® Source for Development. Si après avoir indiqué le répertoire d'installation et cliqué sur OK la même boîte de dialogue s'affiche à nouveau, cliquez sur Annuler, redémarrez le plan de travail et poursuivez normalement avec le produit. Si le plan de travail ne peut pas être redémarré après la réception de plusieurs invites pour le répertoire d'installation, les examens risquent d'échouer.

Les filtres partagés/globaux dans AppScan® Source for Development ne s'affichent pas de façon cohérente

Le module de filtrage de AppScan® Source for Development permet d'ouvrir les évaluations sauvegardées et d'effectuer des actions de filtrage sans avoir à se connecter et à s'authentifier auprès de AppScan® Source for Development. Les filtres partagés étant enregistrés dans la AppScan® Base de données Source (connexion et authentification requises pour l'accès), ils ne sont pas disponibles dans les plug-in si vous n'avez pas encore ouvert votre session de plug-in dans AppScan® Base de données Source.

Solution de contournement : effectuez une analyse (ou toute autre action nécessitant une connexion) avant d'accéder au module de filtre dans le plug-in. Une fois connecté vous aurez accès aux filtres partagés.

Important : Les filtres sont chargés lorsque la vue de modification des filtres est ouverte dans le plug-in de développeur de logiciels. Si la vue est déjà ouverte, elle ne sera pas mise à jour avec les filtres partagés lors de la connexion. La solution consiste à fermer la vue, à redémarrer le plug-in et à se connecter à AppScan® Source, puis à ouvrir à nouveau la vue Edition de filtres.

Modification des règles personnalisées et utilisation des plug-in

Si vous créez une règle personnalisée dans AppScan® Source for Analysis et que vous êtes connecté à un AppScan® Source for Analysis, vous devez redémarrer l'environnement de développement intégré pour afficher les modifications.

La sélection du style de diagramme de la vue Récapitulatif de l'évaluation n'est plus prise en charge

Dans la vue Récapitulatif de l'évaluation, vous ne pouvez plus choisir le style de diagramme à afficher. Le diagramme à barres est le seul style de diagramme disponible.

AppScan® Source for Development (plug-in Visual Studio)

La mise à niveau d'AppScan® Source avant la fin de tous les processus AppScan® Source java peut entraîner l'échec de la vue Comment résoudre le problème.

Si vous réalisez une mise à niveau de produit lorsqu'un processus AppScan® Source java est en cours d'exécution, la vue Comment résoudre le problème peut afficher une erreur similaire aux erreurs suivantes après l'opération :

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

ou

Error executing query and transform

Avant de mettre à niveau une installation AppScan® Source comprenant les composants AppScan® Source, AppScan® Source ou AppScan® Source, vérifiez qu'aucun processus AppScan® Source java n'est en cours d'exécution.

Délai lors de la copie d'un grand nombre de constatations dans des évaluations de grande taille

Lorsque vous sélectionnez et copiez plusieurs constatations dans une évaluation qui contient un grand nombre de constatations, vous pouvez observer un délai de quelques secondes avant que l'action de copie soit ajoutée dans le presse-papiers. Assurez-vous que l'action de copie soit terminée avant d'essayer de coller ce qui a été copié.

Examen de fichiers de solution créés à l'aide d'une version de Microsoft Visual Studio non installée

Si vous essayez d'examiner un fichier de solution créé à l'aide d'une version de Visual Studio non installée sur votre système, AppScan® Source recherchera une version compatible et l'utilisera pour l'examen.

AppScan® Source La boîte de dialogue "A propos de" dans Microsoft Visual Studio est tronquée

Dans certaines langues, la boîte de dialogue "A propos de" de AppScan® Source for Development (plug-in Visual Studio) est tronquée. Afin de résoudre ce problème, ajustez la résolution de l'écran et/ou la taille de police pour un meilleur affichage.

Les filtres partagés/globaux dans AppScan® Source for Development ne s'affichent pas de façon cohérente

Le module de filtrage de AppScan® Source for Development permet d'ouvrir les évaluations sauvegardées et d'effectuer des actions de filtrage sans avoir à se connecter et à s'authentifier auprès de AppScan® Source for Development. Les filtres partagés étant enregistrés dans la AppScan® Base de données Source (connexion et authentification requises pour l'accès), ils ne sont pas disponibles dans les plug-in si vous n'avez pas encore ouvert votre session de plug-in dans AppScan® Base de données Source.

Solution de contournement : effectuez une analyse (ou toute autre action nécessitant une connexion) avant d'accéder au module de filtre dans le plug-in. Une fois connecté vous aurez accès aux filtres partagés.

Important : Les filtres sont chargés lorsque la vue de modification des filtres est ouverte dans le plug-in de développeur de logiciels. Si la vue est déjà ouverte, elle ne sera pas mise à jour avec les filtres partagés lors de la connexion. La solution consiste à fermer la vue, à redémarrer le plug-in et à se connecter à AppScan® Source, puis à ouvrir à nouveau la vue Edition de filtres.

La sélection du style de diagramme de la vue Récapitulatif de l'évaluation n'est plus prise en charge

Dans la vue Récapitulatif de l'évaluation, vous ne pouvez plus choisir le style de diagramme à afficher. Le diagramme à barres est le seul style de diagramme disponible.

AppScan® Source - Interface de ligne de commande (CLI)

L'exécution de la commande publishassessase ou pase produit des avertissements HttpAuthenticator.

Si vous utilisez l'interface CLI pour publier sur une console CLI sur laquelle seule l'authentification Windows est activée, vous pouvez recevoir des avertissements semblables à ceux émis lors de l'exécution de la commande publishassessase ou pase :

WARN [main] (HttpAuthenticator.java:207) - NEGOTIATE authentication error: org.ietf.jgss.GSSException, major code: 2, minor code: 0
  major string: Unsupported mechanism
  minor string: No factory available to create name for mechanism x.x.x.x.x.x.x
Assessment successfully published to: https://<ase_hostname>/ase

Ces avertissements n'ont aucune incidence sur la publication de vos évaluations et ils peuvent être ignorés.

MicrosoftWindows

Examen des applications Windows C/C++

Les applications Windows C/C++ sont maintenant examinées en 64 bits.

Les applications C/C++ qui ne sont pas adaptées au 64 bits peuvent retourner des erreurs d'examen.

La désinstallation d'AppScan® Source bloque sur Windows

Lorsque les ensembles de fonctionnalités serveur et client d'AppScan Source v10.0.0 sont installés sur un système Windows, la désinstallation se bloque lorsque le processus tente de supprimer les fichiers JRE d'<InstallDir>\engine.

Lorsque cela se produit, tuez le processus et terminez la désinstallation manuellement.

Pour terminer le processus de désinstallation et finaliser la désinstallation :

  1. Essayez d'abord de fermer le programme de désinstallation manuellement en cliquant sur le x dans le coin supérieur droit.
  2. Si la fermeture manuelle de la boîte de dialogue échoue :
    1. Ouvrez le gestionnaire des tâches de Windows.
    2. Sur l'onglet Détails, trouvez le processus AppScanSrc_Uninstaller.exe.
    3. Cliquez avec le bouton droit de la souris sur le processus et sélectionnez Terminer la tâche.
  3. Depuis l'explorateur Windows, supprimez le répertoire d'installation. Par défaut, le répertoire d'installation pour AppScan® Source version 10.0.6 et antérieures est C:\Program Files(x86)\IBM\AppScanSource.
  4. Supprimez le répertoire de données. Par défaut, le répertoire de données pour AppScan® Source version 10.0.6 et antérieures est C:\ProgramData\IBM\AppScanSource
Remarque : Désinstaller une installation Client uniquement d'AppScan Source v10.0.0 n'entraîne pas de blocage.

Installation d'AppScan® Source interrompue par Windows Defender

Lors de l'installation de AppScan®Source sur des versions antérieures de Windows, Windows Defender peut interrompre le processus d'installation avec une fenêtre contextuelle d'avertissement. Cliquez sur la fenêtre contextuelle pour poursuivre l'installation. Pour plus d'informations, voir https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-smartscreen/windows-defender-smartscreen-overview.

La mise à niveau d'AppScan® Source avant la fin de tous les processus AppScan® Source java peut entraîner l'échec de la vue Comment résoudre le problème.

Si vous réalisez une mise à niveau de produit lorsqu'un processus AppScan® Source java est en cours d'exécution, la vue Comment résoudre le problème peut afficher une erreur similaire aux erreurs suivantes après l'opération :

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

ou

Error executing query and transform

Avant de mettre à niveau une installation AppScan® Source comprenant les composants AppScan® Source, AppScan® Source ou AppScan® Source, vérifiez qu'aucun processus AppScan® Source java n'est en cours d'exécution.

Erreurs lorsque les fichiers de configuration AppScan® Source contiennent des caractères spéciaux

Sous Windows, certains caractères spéciaux (par exemple Ç, à, ∾, ¥, §, Æ) figurant dans les noms des fichiers de configuration (.ppf, .paf et .osc) peuvent générer des erreurs.

Les formats id et progid de bibliothèque pour #import ne sont pas pris en charge.

La directive de préprocesseur Microsoft Visual C++ #import a plusieurs formats. AppScan® Source ne prend pas en charge les deux formats utilisant un id ou un progid de bibliothèque. Les fichiers contenant ces formats ne sont pas analysés et un message d'erreur s'affiche dans la console.

Les assemblages référencés doivent figurer dans le même répertoire que l'assemblage en cours d'examen ou être enregistrés dans le cache d'assemblage global (GAC).

AppScan® Source ne peut générer un examen complet d'une application .NET que lorsque tous les assemblages référencés ou dépendants se trouvent dans le même dossier que l'assemblage en cours d'examen, ou sont enregistrés dans le cache d'assemblage global (GAC). Si vos assemblages référencent des types définis dans des assemblages à d'autres emplacements sur le disque, des erreurs similaires à l'erreur suivante peuvent survenir :

Skipping file <assembly_name> due to error: Failed (0x80004005) in <type> call
     Referenced assembly <referenced assembly name> was not found.

Pour corriger ces erreurs, copiez l'assemblage référencé dans le répertoire dans lequel se trouve l'assemblage en cours d'examen, ou enregistrez-le dans le cache d'assemblage global (GAC).

Projets .NET Assembly assemblés avec .NET Core

AppScan® Source ne prend pas en charge les projets .NET Assembly contenant des fichiers d'assemblage générés avec .NET Core. Les projets .NET Core peuvent être analysés de la même manière que les fichiers de solutions .NET. Voir Ajout d'une application existante à l'aide d'actions de l'interface utilisateur pour des informations supplémentaires.

L'examen Visual Basic 6 requiert la déclaration de fonction intégrale

#if, #else if et #end if doivent contenir la déclaration intégrale d'une fonction. Par exemple :

#If NATIVEBINDING Then
Public Function TemplateFromRule(ByVal Rule As OrgMan.Rule) As AcDir.Template
          	Dim oOp As OrgMan.Operation
#Else
Public Function TemplateFromRule(ByVal Rule As Object) As AcDir.Template
          	Dim oOp As Object
#End If
          	If Rule Is Nothing Then Exit Function
          	oOp = Rule.Operation
          	If oOp Is Nothing Then Exit Function
          	TemplateFromRule = BuildTemplate(oOp.Command, Rule.Field, Rule.Value)
End Function

Boîtes de dialogue et messages tronqués dans les environnements non anglais

Dans AppScan® Source, certains messages et boîtes de dialogue peuvent être redimensionnés, même si les commandes standard Microsoft Windows indiquent que le redimensionnement est impossible. Si vous exécutez une interface graphique du produit AppScan® Source dans un environnement non anglais et que des boîtes de dialogue et des messages sont tronqués, vous pouvez redimensionner les boîtes de dialogue et les messages pour pouvoir les lire en entier.

Limitations AppScan® Source for Development (plug-in Visual Studio)

Toute limitation applicable à AppScan® Source for Development (plug-in Visual Studio) s'applique également à Windows. Voir AppScan Source for Development (plug-in Visual Studio).

Linux

Licences verrouillées et Red Hat Enterprise Linux 7.4

Les licences verrouillées originaires d'IBM peuvent ne pas fonctionner correctement avec Red Hat Enterprise Linux 7.4. Procédez au déplacement vers des licences verrouillées originaires d'IBM. Contactez le support HCL pour en savoir plus.

Désinstallation d'AppScan Source sous Red Hat Enterprise Linux 7.x

Sous Red Hat Enterprise Linux 7.x, vous devez redémarrer votre système après avoir désinstallé AppScan Source version 9.0.3 pour arrêter l'exécution sur tous les processus AppScan Source.

La mise à niveau d'AppScan® Source avant la fin de tous les processus AppScan® Source java peut entraîner l'échec de la vue Comment résoudre le problème.

Si vous réalisez une mise à niveau de produit lorsqu'un processus AppScan® Source java est en cours d'exécution, la vue Comment résoudre le problème peut afficher une erreur similaire aux erreurs suivantes après l'opération :

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

ou

Error executing query and transform

Avant de mettre à niveau une installation AppScan® Source comprenant les composants AppScan® Source, AppScan® Source ou AppScan® Source, vérifiez qu'aucun processus AppScan® Source java n'est en cours d'exécution.

Linux Configuration requise Mozilla en mode Aide au rattrapage

Le mode Aide au Rattrapage sous Linux nécessite que Mozilla soit lié GTK2 ou version supérieure.

Installez Mozilla lié à GTK2 ou version supérieure. Après avoir acquis Mozilla, décompressez le module et ajoutez la variable d'environnement MOZILLA_FIVE_HOME pour qu'elle lui fasse référence. Par exemple, si vous décompressez l'archive dans /usr/local et utilisez l'interpréteur de commandes bash, ajoutez export export MOZILLA_FIVE_HOME=/usr/local/mozilla à votre chemin ~/.bashrc.

SELinux empêche l'installation, l'activation du produit et l'exécution

Security Enhanced Linux (SELinux) est une fonction Linux qui améliore la sécurité et le contrôle d'accès via les modules de sécurité Linux du noyau Linux. Il est inclus à Red Hat Enterprise 5 par défaut.

  1. Installation : AppScan® Source ne peut pas être installé avec SELinux en mode application (Enforcing). SELinux doit passer en mode autorisation (Permissive). Pour exécuter SELinux en mode autorisation, entrez /usr/bin/system-config-selinux ou, si vous exécutez GNOME, sélectionnez System > Administration > SELinux Management. Vous serez invité à entrer votre mot de passe racine. Sélectionnez, le cas échéant, Status dans la sous-fenêtre de gauche. Dans la sous-fenêtre de droite, passez de Current Enforcing Mode à Permissive. Après avoir défini SELinux sur Permissive, exécutez l'installation AppScan® Source en mode normal. Vous pouvez redéfinir le paramètre SELinux sur Enforcing une fois l'installation terminée.
  2. Activation du produit : Le gestionnaire de licence AppScan® Source ne peut pas être utilisé en mode application (Enforcing). SELinux doit passer en mode autorisation (Permissive). Pour exécuter SELinux en mode autorisation, entrez /usr/bin/system-config-selinux ou, si vous exécutez GNOME, sélectionnez System > Administration > SELinux Management. Vous serez invité à entrer votre mot de passe racine. Sélectionnez, le cas échéant, Status dans la sous-fenêtre de gauche. Dans la sous-fenêtre de droite, passez de Current Enforcing Mode à Permissive. Après avoir défini SELinux sur Permissive, exécutez le gestionnaire de licence. Vous pouvez redéfinir le paramètre SELinux sur Enforcing une fois l'activation terminée.
  3. Exécution : l'environnement JRE et les kits JDK fournis avec AppScan® Source ne fonctionnent pas avec SELinux en mode application (Enforcing). Cependant, il n'est pas nécessaire de désactiver le mode application car il est possible d'autoriser l'exécution des fichiers qui déclenchent SELinux. Pour ce faire, exécutez la commande chcon en entrant chcon -t textrel_shlib_t <filename>. Cette commande doit être exécutée pour tous les fichiers objet partagés (.so) des répertoires <installdir>/jre et <installdir>/JDKS. Cela peut être effectué en mode de traitement par lots à l'aide de la commande find et du paramètre exec. Par exemple :
    cd /opt/ibm/appscansource/jre
    sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print
    cd ../JDKS
    sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print

Prérequis pour les composants AppScan® Source for Analysis et AppScan® Source for Analysis sous Linux

Sous Linux, Eclipse requiert l'installation d'un composant tiers pour l'affichage du contenu du navigateur. Sans ce composant, AppScan® Source for Analysis et AppScan® Source for Analysis peuvent présenter des symptômes tels qu'un blocage après la connexion ou un échec pendant l'utilisation du produit.

Arrêt intermittent de AppScan® Source for Analysis sous Linux

Pour empêcher tout arrêt inattendu, mettez à niveau Pango. La mise à niveau de Pango peut nécessiter celle de glib.

Linux - Erreur de lancement de AppScan® Source for Analysis après la configuration des démons AppScan® Source for Analysis à exécuter en tant qu'utilisateurs autres que 'ounce' durant l'installation

Le programme d'installation de AppScan® Source for Analysis permet de configurer les processus de démon AppScan® Source for Analysis pour qu'ils s'exécutent en tant qu'utilisateur par défaut 'ounce' ou en tant qu'utilisateur existant.

Solution : Si vous ne choisissez pas l'utilisateur par défaut, vous devez créer dans le répertoire d'installation d'eclipse.ini (par exemple, AppScan® Source) un fichier /opt/hcl/appscansource comportant la ligne suivante :

-configuration @user.home/.ounceconfig

L'examen du code source compilé avec des versions inférieures de GCC, telle que 2.95.4, génère des erreurs

Par exemple, l'erreur suivante

Skipping file: file.cpp due to error: "/home/file.cpp", line 97: error: namespace "std" has
          	no member "string"
          	std::string mystring;

pourra être générée.

Solution : Ajoutez l'option --ignore_std aux options de compilateur pour le projet. Cette option active une fonction de compatibilité qui fait de GCC l'espace de nom std un synonyme de l'espace de nom global. Dans AppScan® Source for Analysis, ajoutez cette option dans l'onglet Dépendances de projet de la vue des propriétés pour le projet. Vous pouvez alternativement, si vous utilisez l'option Ounce/Make pour créer le fichier de projet, modifier l'attribut compiler_options de l'élément GlobalProjectOptions dans le fichier de propriétés Ounce/Make.

macOS

Dépréciation de la prise en charge macOS

A compter de la version 9.0.3.11, AppScan® Source ne prend plus en charge l'examen de projets macOS ou iOS.

Informations complémentaires

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.4.0

  • AppScan® Source prend en charge Windows 11.
  • AppScan® Source prend en charge Red Hat Enterprise Linux 8.8.
  • AppScan® Source prend en charge le lancement d'un examen avec un temps d'attente en cas d'indisponibilité de la licence à l'aide de la commande scan de l'interface de ligne de commande (CLI) ou de la commande ounceauto ScanApplication.

    Lorsqu'une licence AppScan® Source for Automation n'est pas disponible, un examen attend pendant une période configurée dans CLI.ozsettings ou avec une valeur transmise avec un argument -waitforlicense dans la commande scan. Désactivez la fonction de temps d'attente en définissant sa valeur sur zéro.

  • AppScan® Source prend en charge l'examen des codes secrets uniquement, soit avec un projet codes secrets uniquement, soit en utilisant le paramètre -secretsonly avec la commande d'interface de ligne de commande scan pour l'examen des dossiers.

    L'examen des codes secrets uniquement recherche les mots de passe codés en dur, les numéros de carte de crédit et les numéros de sécurité sociale (SSN) lorsque ces codes secrets sont détectés dans le code en cours d'examen.

  • AppScan® Source vous permet d'activer ou de désactiver l'examen des codes secrets pour les examens de code source uniquement en modifiant les propriétés de l'application ou du projet, ou en utilisant le paramètre -enablesecrets avec la commande d'interface de ligne de commande scan pour l'examen des dossiers. Vous pouvez également activer l'examen des codes secrets lors de la création du projet.

    L'examen des codes secrets recherche les mots de passe codés en dur, les numéros de carte de crédit et les numéros de sécurité sociale (SSN) lorsque ces codes secrets sont détectés dans le code en cours d'examen, avec les autres scanners pertinents.

  • AppScan® Source prend en charge l'automatisation des examens à l'aide de GitHub Action ou GitLab CI/CD et d'un conteneur d'interface de ligne de commande (CLI) AppScan® Source.

Correctifs et mises à jour de sécurité dans AppScan® Source version 10.4.0

Les correctifs et mises à jour de sécurité sont répertoriés ici.

Fonctionnalités en fin de vie ou supprimées à partir de AppScan® Source version 10.4.0

  • Le flux RSS n'est plus pris en charge.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.3.0

  • AppScan® Source prend en charge l'exportation de constatations d'examen vers des fichiers au format CSV et SARIF à l'aide de l'interface de ligne de commande (CLI), du menu Outils ou de la commande ounceauto.
  • HCL®AppScan® Source for Development (plug-in Eclipse) prend en charge Eclipse IDE 2022-09.
  • AppScan® Source prend en charge Rust.
  • La version 10.3.0 de AppScan® Source dispose d'une prise en charge améliorée pour les examens Java et Ruby.
  • AppScan® Source prend en charge l'examen des secrets.
  • Prise en charge de l'interface de ligne de commande AppScan® Source pour la comparaison de deux fichiers d'évaluation.
  • AppScan® Source prend en charge l'exécution d'un conteneur d'interface de ligne de commande dans un environnement Podman.
  • L'API d'accès aux données requiert le kit JDK 11 ou ultérieur.
  • AppScan® Source prend en charge l'automatisation des examens à l'aide de Jenkins ou Azure et d'un conteneur d'interface de ligne de commande AppScan® Source.

Correctifs et mises à jour de sécurité dans AppScan® Source version 10.3.0

Les correctifs et mises à jour de sécurité sont répertoriés ici.

Problèmes connus dans AppScan® Source version 10.3.0

  • Par défaut, AppScan® Source compile les projets Java à l'aide de Java 11. Si votre projet n'est pas compatible avec Java 11 et que vous souhaitez configurer l'examen pour utiliser une autre version de compilateur Java, suivez la procédure décrite ici.
  • Lors de l'utilisation de l'interface de ligne de commande AppScan® Source pour examiner un dossier contenant AndroidManifest.xml, l'examen échoue avec l'erreur An error occurred copying files to the staging directory.
    Pour éviter ce problème, deux solutions s'offrent à vous :
    • Utilisez appscan-config.xml pour configurer l'examen.
    • Supprimez (ou déplacez) AndroidManifest.xml du dossier et des sous-dossiers cibles.

Fonctionnalités en fin de vie ou supprimées à partir de AppScan® Source version 10.3.0

  • HCL®AppScan® Source for Development (plug-in RAD) n'est plus pris en charge.

  • HCL®AppScan® Source for Development (plug-in Eclipse) n'est plus pris en charge sur Eclipse IDE 4.13 (2019-09)

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.2.0

Informations supplémentaires sur l'interopérabilité de AppScan® Source et AppScan® Source

  • AppScan® Enterprise version 10.2.0 a mis à niveau la prise en charge de CVSS 3.1. En tant qu'utilisateur de AppScan® Source, si vous effectuez une mise à niveau vers AppScan® Source version 10.2.0, il peut y avoir une différence dans les valeurs de gravité en raison de la nature de la spécification CVSS 3.1. Learn more here.

Correctifs et mises à jour de sécurité dans AppScan® Source version 10.2.0

Les correctifs et mises à jour de sécurité sont répertoriés ici.

Problèmes connus dans AppScan® Source version 10.2.0

  • Lors de l'exécution de AppScan® Source sous Windows 2016 et à l'aide d'un paramètre régional non anglais, AppScan® Source ne peut pas publier d'évaluation dans AppScan® Source.
  • Lors de l'examen d'un dossier avec des fichiers C#, l'examen de dossier utilise le scanner Xamarin. Cela peut entraîner un nombre élevé de faux positifs lorsque l'utilisateur n'utilise pas également Xamarin.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.1.0

  • AppScan® Source prend en charge Red Hat Enterprise Linux 8.3.
  • Le HCL®AppScan® Source for Development (plug-in Eclipse) est désormais pris en charge sur Eclipse IDE 2022-06.
  • AppScan® Source prend en charge Java 17 et l'inclut dans le package d'installation.
  • AppScan® Source prend en charge Tomcat 9 et l'inclut dans le package d'installation.
  • AppScan® Source permet désormais d'examiner des dossiers sans créer des fichiers .PAF ou .PPF.
  • Prise en charge étendue de l'examen Ruby, Groovy, JavaScript et PHP. Pour plus d'informations sur la configuration système requise, consultez ce lien.

Informations supplémentaires sur l'interopérabilité de AppScan® Source et AppScan® Source

AppScan® Source version 10.1.0 prend en charge AppScan® Source Server version 10.1.0. AppScan® Source version 10.0.8 et antérieure ne prend pas en charge AppScan® Source Server version 10.1.0. Mettez à niveau les deux produits pour garantir une interopérabilité correcte.

Correctifs et mises à jour de sécurité dans AppScan® Source version 10.1.0

Les correctifs et mises à jour de sécurité sont répertoriés ici.

Fonctionnalités en fin de vie ou supprimées à partir de AppScan® Source version 10.1.0

  • Les rapports et filtres de rapport suivants ont été supprimés :
    • Rapport CWE/SANS Top 25 2011
    • Rapport OWASP Top 10 2013
    • Filtre de rapport CWE/SANS Top 25 2011
    • Filtre de rapport OWASP Top 25 2010
    • Filtre de rapport OWASP Top 25 2013
  • L'intégration à un système de suivi des incidents n'est plus prise en charge.
  • L'envoi de constatations par courrier électronique n'est plus pris en charge.

  • Les métriques de qualité ne sont plus prises en charge.
  • Tomcat 7 n'est plus inclus dans le package d'installation AppScan® Source.
  • AppScan® Source supprimera la prise en charge de SolidDB et d'OracleDB dans les futures éditions.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.8

Correctifs et mises à jour de sécurité dans AppScan® Source version 10.0.8

Les correctifs et mises à jour de sécurité sont répertoriés ici.

Problèmes connus dans AppScan® Source version 10.0.8

  • Lorsque vous utilisez le plug-in Eclipse, AppScan® Source for Development doit être configuré avec Java 8.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.7

Correctifs et mises à jour de sécurité dans AppScan® Source version 10.0.7

Les correctifs et mises à jour de sécurité sont répertoriés ici.

Problèmes connus dans AppScan® Source version 10.0.7

  • Sous Windows, lors de la mise à niveau vers AppScan® Source version 10.0.7 à partir des versions 9.0.3.x ou 10.0.0 de AppScan® Source, vous devez d'abord effectuer une mise à niveau temporaire vers une version AppScan® Source comprise entre 10.0.1 et 10.0.6.
    Important : Evitez de désinstaller, puis de réinstaller. Pour gérer les bases de données, vous devez effectuer une mise à niveau en deux étapes.
  • AppScan® Source configuré avec la base de données Oracle nécessite un mot de passe fort utilisant 16 caractères ou plus.

Fonctionnalités en fin de vie ou supprimées dans AppScan® Source version 10.0.7

  • La prise en charge de SolidDB/Oracle sera supprimée dans une version ultérieure de AppScan® Source. Planifiez maintenant la migration vers des données de SolidDB/Oracle vers AppScan® Enterprise Server, que ce soit manuellement ou via l'utilitaire de migration de base de données.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.6

  • Comme c'est le cas dans AppScan® Source for Analysis, la vue Constatations du plug-in Visual Studio affiche désormais par défaut les constatations par groupe de correctifs.
  • L'algorithme utilisé pour les comparaisons d'évaluation dans AppScan® Source for Analysis a été mis à jour avec un nouvel algorithme. Les résultats de comparaison d'évaluation provenant du client AppScan® Source for Analysis seront cohérents avec la commande AppScanDelta. Toutefois, il peut y avoir des différences dans les résultats de comparaison des versions précédentes de AppScan® Source for Analysis.
  • Dans le cadre de la mise à jour de l'algorithme, vous pouvez désormais choisir de sauvegarder des évaluations pour les constatations nouvelles et/ou résolues à partir de la vue Différences entre les évaluations dans AppScan® Source for Analysis.

  • AppScan® Source prise en charge l'examen de code source uniquement pour C/C++, .Net et Java.
  • AppScan® Source a ajouté des informations de conseil aux rapports sur les normes de l'industrie pour faciliter la résolution des constatations.
  • AppScan® Source prend en charge l'authentification CAC avec les certificats Subject Alternative Name - Multi-Domain (SAN).
  • AppScan® Source prend en charge le langage de programmation Dart.
  • Prise en charge de l'arrêt/annulation de l'examen sur les systèmes Linux.

Problèmes connus dans AppScan® Source version 10.0.6

  • Les examens des projets Objective-C échouent si vous exécutez l'examen à l'aide d'un fichier .paf/.ppf Objective-C créé avec AppScan® Source version 10.0.5 ou version antérieure. Reconfigurez les projets Objective-C dans AppScan® Source version 10.0.6 et réessayez.

Correctifs et mises à jour de sécurité dans AppScan® Source version 10.0.6

  • Les correctifs et mises à jour de sécurité sont répertoriés ici.

Fonctionnalités en fin de vie ou supprimées dans AppScan® Source version 10.0.6

  • AppScan® Source a cessé de prendre en charge le balayage de fichiers uniques dans la version 10.0.0.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.5

  • Le serveur KBArticle a été remplacé par AppScan Security Info Server. Le contenu et l'interface d'AppScan Security Info Server ont été mis à jour pour mieux servir les utilisateurs, mais ils ont le même objectif que le serveur KBArticle dans les versions précédentes de AppScan® Source : aider les utilisateurs à atténuer et résoudre les constatations liées à la sécurité de l'application.
  • AppScan® Source a ajouté des informations de conseil aux rapports pour faciliter la résolution des constatations.
  • La vue Aide à la résolution a été renommée Comment résoudre le problème.
  • AppScan® Source a ajouté la prise en charge du format de rapport DISA STIG v5r1.

    Ce nouveau rapport répertorie les catégories de vulnérabilités spécifiées dans la liste de contrôle de sécurité des applications version 5, édition 1. Dans la mesure du possible, AppScan® Source génère des résultats pertinents pour aider le réviseur à déterminer si une application est conforme aux exigences STIG.

  • Prise en charge d'HCL Common Local License Server 2.0 sous Windows et Linux.
  • AppScan® Source prend en charge la génération de rapports sur les constatations dans lequel elles sont regroupées par groupes de correctifs.

Informations supplémentaires sur l'interopérabilité de AppScan® Source version 10.0.5 et AppScan® Source version 10.0.5

  • La vitesse de publication dans AppScan® Enterprise ou d'importation des problèmes dans AppScan® Enterprise à partir de l'onglet Surveiller peut désormais être équilibrée en fonction de la réactivité de l'utilisateur souhaitée à l'aide d'une nouvelle propriété dans le fichier asc.properties dans AppScan® Enterprise. Consultez la AppScan® Enterprise documentation pour plus de détails sur l'utilisation de la propriété issue.import.batch.interval.

Problèmes connus dans AppScan® Source version 10.0.5

  • Le paramètre régional défini pour AppScan Source doit correspondre au paramètre régional du système pour éviter les caractères altérés dans la sortie de la console.
  • Il existe certains problèmes de rendu dans la vue Comment résoudre le problème sous Linux. En outre, les liens de références externes ne s'ouvrent pas à partir de la vue Comment résoudre le problème sous Linux. Ouvrez l'article dans un navigateur externe pour un rendu correct et pour accéder aux liens externes.
  • Les informations Comment résoudre le problème ne sont pas incluses dans les rapports lorsque des rapports sont générés à l'aide de la commande ounceauto, car le serveur d'automatisation ne parvient pas à démarrer le serveur AppScan Security Info. Pour contourner ce problème, démarrez AppScan® Source for Analysis ou l'interface de ligne de commande (client CLI) avant de générer un rapport à l'aide de ounceauto. Le serveur AppScan Security Info est démarré automatiquement par AppScan® Source for Analysis et par le client de CLI.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.4

Problèmes connus dans AppScan® Source version 10.0.4

  • Les groupements créés dans AppScan® Source version 9.3.14 ou antérieure et marqués comme exclus dans la vue Propriétés n'excluront pas les constatations après la mise à niveau vers AppScan® Source version 10.0.0 et versions supérieures. Le bundle doit être recréé dans AppScan® Source version 10.0.0 ou versions supérieures.
  • L'examen de toutes les applications dans un client AppScan® Source for Analysis peut remplir la vue Constatations sans remplir les groupes de correctifs. Effectuez l'examen sur des applications individuelles pour éviter ce résultat et affichez les constatations dans les groupes de correctifs correspondants.
  • La publication d'évaluations sur AppScan® Enterprise échoue pour les autres langues que l'anglais si le nom de fichier d'évaluation contient des caractères natifs. Supprimez les caractères natifs du nom de fichier et effectuez une nouvelle publication.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.3

  • À partir de la version 10.0.3, AppScan® Source ajoute la prise en charge des langues suivantes :
    • Android Java
    • Ionic
    • Objective C
    • React Native
    • SAP ABAP
    • Vue.js
    • Xamarin

    Pour plus d'informations, voir la section Configuration système requise.

  • Prise en charge des groupes de correctifs pour l'analyse statique.

    Les groupes de correctifs sont une nouvelle approche de la gestion, du triage et de la résolution de problèmes détectés dans l'analyse statique. Après l'exécution d'un examen statique, AppScan® Source organise les problèmes détectés en groupes de correctifs, en fonction du type de vulnérabilité et de la tâche de résolution requise. Pour plus d'informations, voir Utilisation de groupes de correctifs de l'analyse statique.

  • Dans le cadre de la prise en charge des groupes de correctifs, un aperçu technique d'un rapport d'accompagnement est visible dans la boîte de dialogue Sélectionner le rapport Constatations. Le rapport affiche actuellement des informations de haut niveau sur le type de groupe de correctifs uniquement. Dans une version ultérieure, une profondeur supplémentaire sera ajoutée à la fonctionnalité de rapport, y compris l'emplacement des meilleurs correctifs pour les groupes de correctifs.

Problèmes connus dans AppScan® Source version 10.0.3

  • La commande CLI details signale une erreur par intermittence. Toutefois, la fonctionnalité de la commande n'est pas affectée.
    ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
  • Lors de l'ouverture des évaluations publiées dans la base de données AppScan® Source pour afficher les informations des groupes de correctifs, NULL peut s'afficher à la place du type de groupe de correctifs ou de l'ID du groupe de correctifs. Enregistrez l'évaluation dans un système de fichiers local, puis ouvrez-la à l'aide de la commande Ouvrir une évaluation pour afficher les informations du groupe de correctifs pour les évaluations de l'analyse statique publiées.

Informations supplémentaires sur l'interopérabilité et l'installation d'AppScan Source version 10.0.3

  • Si vous effectuez une mise à niveau de AppScan® Source ou exécutez une réparation de l'installation de AppScan® Source version 10.0.3, lorsque l'installation précédente a été configurée avec une base de données, vous devez démarrer le service AppScan Source DB manuellement.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.2

  • À partir de AppScan® Source version 10.0.2, une licence HCL est requise. Reportez-vous à Comment obtenir et appliquer des licences pour les produits AppScan Source pour obtenir des informations supplémentaires.
  • AppScan® Source for Analysis version 10.0.2 ne nécessite pas de connexion à la base de données pour effectuer des examens. L'intégration à AppScan Enterprise pour le partage de résultats et de configurations d'examen est configurée dans AppScan® Enterprise. La fonctionnalité déconnectée est décrite plus en détail ici.
  • AppScan® Source introduit la prise en charge des langages suivants : Angular 8, Angular 9, Groovy, Symfony et TypeScript. Pour obtenir des informations détaillées, consultez Configuration système requise.

Informations supplémentaires sur l'interopérabilité et l'installation de AppScan® Source version 10.0.2

  • Lors de l'installation de AppScan® Source version 10.0.2 sur un système propre, il n'y a aucune base de données à installer, et donc aucune configuration de base de données à effectuer. Configurez l'intégration à AppScan Enterprise pour stocker et extraire des informations partagées.
  • Lors de l'installation de AppScan® Source version 10.0.2 sur un système propre pour une utilisation en mode connecté, AppScan® Source version 10.0.2 est nécessaire. Les versions antérieures d'AppScan® Enterprise ne sont pas prises en charge. En outre, il est nécessaire d'installer AppScan Enterprise Server avec les composants Administration des utilisateurs et Enterprise Console.
  • Lors de la mise à niveau vers AppScan® Source version 10.0.2 à partir d'une version précédente, toute base de données précédemment installée est entièrement prise en charge, y compris la fonctionnalité de configuration.

  • Si vous effectuez une réparation de l'installation de AppScan® Source version 10.0.2, lorsque l'installation précédente a été configurée avec une base de données, vous devez démarrer le service AppScan Source DB manuellement.
  • Si vous effectuez une mise à niveau AppScan® Sourcelà où seuls le serveur d'automatisation ou les composants client sont installés et effectuez ultérieurement une réparation de l'installation, mettez à jour les propriétés suivantes dans 'ounce.ozsettings :
    • name=core_provider value=1
    • name=connect_mode value=false
  • Les fichiers de réponse du programme d'installation en mode silencieux créés avant la version 10.0.2 ne sont pas pris en charge. Il est nécessaire de créer des fichiers de réponse du programme d'installation en mode silencieux en vue d'une utilisation avec AppScan® Source version 10.0.2.

Fonctionnalités en fin de vie ou supprimées dans AppScan® Source version 10.0.2

  • AppScan Source ne prend plus en charge les licences IBM et il n'est plus possible de les configurer dans le gestionnaire de licences. Reportez-vous à Comment obtenir et appliquer des licences pour les produits AppScan Source pour obtenir des informations supplémentaires.
  • AppScan® Source version 10.0.2 ne prend plus en charge Visual Studio 2010.
  • SolidDB n'est plus fourni avec AppScan® Source et n'est pas installé dans le cadre de la solution. Les installations existantes de SolidDB continuent à être prises en charge.
  • L'option Journal d'audit dans le menu Admin n'est plus disponible.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.1

  • AppScan® Source version 10.0.1 dispose de fonctionnalités de licence améliorées, notamment la prise en charge de proxy pour les licences HCL dans l'interface utilisateur et l'utilisation de certificats non accrédités pour se connecter à un serveur de licences local.
  • AppScan® Source version 10.0.1 introduit AppScanDelta. Cette fonction permet aux utilisateurs d'effectuer une différence à partir de la ligne de commande entre deux évaluations.
  • AppScan® Source prend en charge NetCore 2.1 et 2.2.
  • AppScan® Source version 10.0.1 prend en charge les langages Scala, Swift, Kotlin et ReactJS. Pour plus d'informations, consultez Configuration requise.
  • AppScan® Source version 10.0.1 prend en charge le format de rapport DISA STG v4r10.

Problèmes connus dans AppScan® Source version 10.0.1

  • Si vous examinez un projet Visual Studio de 2015 ou antérieur, il se peut que l'examen échoue et qu'un message vous invite à supprimer discoverymanager.exe.config. Supprimez le fichier spécifié et réessayez. Cliquez ici pour plus d'informations.

AppScan® Sourceinteropérabilité

  • Les versions 9.0.3x et 10.0.0 d'AppScan® Enterprise doivent être configurées de la manière suivante pour interopérer avec AppScan® Enterprise 10.0.1 :
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

Fonctionnalités en fin de vie ou supprimées dans AppScan® Source version 10.0.1

Les fonctionnalités suivantes sont en fin de vie à partir de AppScan® Source version 10.0.1. Veuillez planifier en conséquence.

  • IMPORTANT ! La prise en charge des licences IBM dans les nouvelles versions d'AppScan® prendra fin au troisième trimestre 2020 (août/septembre). Les nouvelles versions ultérieures des produits AppScan® prendront uniquement en charge les licences HCL. Pour plus d'informations sur les licences, consultez Activation du logiciel. Vous pouvez également contacter votre partenaire commercial HCL ou le service d'assistance HCL.
  • A partir du troisième trimestre 2020 (août/septembre), SolidDB ne sera plus accompagné de mises à jour de produits. Les installations existantes seront encore prises en charge.

Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.0

  • IBM® Security AppScan® Source est désormais IBM® Security AppScan® Source.

    Mi-2019, HCL Technologies a fait l'acquisition de la famille de produits d'IBM AppScan®, notamment de AppScan®, AppScan® Standard, AppScan® et AppScan® on Cloud. Tous les produits AppScan® sont à présent détenus, développés et promus par HCL Software. L'ensemble des licences, logos, conventions de dénominations et autres droits intellectuels et/ou de marque sont détenus par HCL. Par conséquent, tous les produits AppScan® ont été rebaptisés pour refléter ce changement de propriétaire et les nouvelles phases de développement et de croissance.

  • Présentation de la licence HCL pour HCL®AppScan® Source

    Dans le cadre de la transition entre IBM et HCL, HCL présente des packages de licences centrés sur HCL pour la famille de produits AppScan®. AppScan®, AppScan® Standard et AppScan® utilisent un serveur de licences FlexLM, dont l'authentification se fait via un serveur proxy. AppScan® on Cloud utilise un système de gestion de l'accès à l'identité client (CAIM) de pointe à partir d'Okta.

  • AppScan® Source prend désormais en charge le langage de programmation Go (Golang).
  • AppScan® Source prend désormais en charge l'examen C++ dans Visual Studio 2015, 2017 et 2019.
  • AppScan® Source prend désormais en charge Oracle 19c.
  • La nouvelle fonctionnalité d'examen des flux de données exécute une analyse du code plus complète et permet de découvrir plus de constatations.
  • Concernant les langages pour lesquels AppScan® Source dispose de scanners personnalisés, vous pouvez voir une différence nette dans les résultats lors d'un examen avec AppScan® Source v10. Dans les instances pour lesquelles l'examen a été converti en examen personnalisé, cela peut entraîner une réduction des résultats. Les règles des scanners personnalisés évoluent, sont ajoutées régulièrement et sont simples à améliorer.
  • Intégration améliorée aux technologies ICA (analyse de code intelligente) et IFA (analyse de résultats intelligente).

    Lorsque ICA/IFA est activée, vous pouvez voir l'onglet Constatations exclues et y accéder. Pour plus d'informations, consultez Analyse de résultats intelligente (IFA) dans la AppScan® Source documentation.

    La technologie IFA est activée par défaut pour tous les examens. Lorsqu'elle est activée, elle est appliquée à l'examen en cours et aux futurs examens. Elle ne peut pas être appliquées à des évaluations d'examens précédents.

  • L'examen des projets .NET (ASP, WEB, Framework, Core) dans AppScan® Source reflète le traitement dans AppScan® Source. Les projets .NET doivent pouvoir être compilés avant d'être examinés et des spécifications de génération adaptées doivent figurer dans leurs propriétés de projet.
  • 15 Go est la quantité d'espace minimale requise pour installer AppScan® Source et exécuter les examens de base. Cependant, l'espace disque varie en fonction de l'application qui est scannée. Nous recommandons un minimum de 8 Go de RAM et de 15 à 20 Go d'espace disque libre. Vous devez également augmenter l'exigence en matière de fichiers de votre page Windows (reportez-vous à Astuces pour améliorer les performances de l'ordinateur sous Windows 10 pour en savoir plus).
  • Pour en savoir plus sur la configuration système requise, ainsi que la prise en charge des examens et des plug-ins, reportez-vous à Configuration requise et composants prérequis pour l'installation ou contactez le support HCL.

AppScan® Source Interopérabilité de la version 10.0.0

HCL®AppScan® Source 10.0.0 nécessite une base de données HCL®AppScan® Source 10.0.0 (SolidDB ou Oracle) :
  • Un client AppScan® Source 10.0.0 n'examinera pas correctement avec une base de données antérieure à AppScan® Source 10.0.0 en raison de la différence de contenu des bases de données, puisqu'elles appartiennent à certaines règles d'examen.
  • De même, un client antérieur à AppScan® Source 10.0.0 ne pourra PAS examiner correctement avec une base de données AppScan® Source 10.0.0.
AppScan® Source 10.0.0 interopèrera avec des versions antérieures à 9.0.3.x d'AppScan® Source :
  • Une instance d'AppScan® Enterprise configurée avec une instance de la base de données AppScan® Enterprise 10.0.0 ne peut pas être utilisées par les versions 9.0.3.x d'AppScan® Enterprise, et vice versa.
  • Les versions 9.0.3.x d'AppScan® Enterprise doivent être configurées de la manière suivante pour interopérer avec AppScan® Enterprise 10.0.0 :
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

Instructions d'installation supplémentaires pour AppScan® Source version 10.0.0

Lors de l'installation d'AppScan® Source version 10.0.0 avec le plug-in Visual Studio 2019, il se peut que malgré la réussite de l'installation, le plug-in Visual Studio 2019 ne soit pas installé correctement.

Pour installer le plug-in d'AppScan® Source version 10.0.0 dans Visual Studio 2019 :

  1. Assurez-vous qu'HCL®AppScan® Source version 10.0.0 est installé sur le système cible. Sélectionnez le plug-in Microsoft Visual Studio 2019 pendant l'installation.
  2. Si une version antérieure à AppScan® Source version 10.0.0 a été installée dans l'instance cible de Visual Studio 2019, désinstallez-la comme suit :
    1. Lancez l'instance cible Visual Studio 2019.
    2. Ouvrez Visual Studio > Extensions > Gérer les extensions.
    3. Dans l'onglet Installé, sélectionnez Plug-in AppScan Source dans la liste.
    4. Cliquez sur Désinstaller le plug-in et suivez les instructions pour terminer la désinstallation.
  3. Installez le plug-in d'HCL®AppScan® Source version 10.0.0 dans l'instance Visual Studio 2019 comme suit :
    1. Fermez toutes les instances Visual Studio 2019.
    2. Téléchargez VS2019Plugin.zip à partir du HCL®AppScan® Source site de téléchargement de la version.
    3. Extrayez le contenu du fichier zip dans <AppScan Source Install Dir> (l'emplacement par défaut est C:\Program Files (x86)\IBM\AppScanSource). Choisissez Oui pour toutes les options lorsque vous y êtes invité.
    4. Double-cliquez sur AppScanSrcPlugin.vsix à partir du répertoire <AppScan Source Install Dir>/bin.
    5. Dans la boîte de dialogue de l'installateur VSIX qui apparaît, sélectionnez Visual Studio <Edition> 2019 et cliquez sur Installer.

      L'édition peut être Professional, Enterprise ou Community en fonction de ce qui est installé sur la machine. Vous pouvez sélectionner plus d'une édition à installer, le cas échéant.

    6. Lorsque l'installation est terminée, fermez la boîte de dialogue.
    7. Redémarrez Visual Studio 2019. Le plug-in AppScan Source apparaît sous Extensions.

Problèmes connus dans AppScan® Source version 10.0.0

Cette section couvre les informations, les limitations connues, ainsi que les solutions de contournement d'AppScan® Source version 10.0.0.
  • Les langages suivants ne sont pas pris en charge :
    • Arxan C
    • WSDL
  • Sur WebSphere, seules les options de compilation JSP par défaut sont prises en charge.
  • L'examen de fichier unique est indisponible pour tous les langages.
  • Il n'y a pas de mécanisme pour désactiver la précompilation des fichiers JSP. Les fichiers JSP seront toujours précompilés.
  • L'option Arrêter/Annuler l'examen ne fonctionne pas sur les systèmes Linux.
  • L'option Arrêter/Annuler risque de ne pas fonctionner sous Windows lorsque vous utilisez l'interface de ligne de commande. Pour éviter ce problème, redémarrez AppScan® Source et arrêtez tous les processus d'arrière-plan.
  • Lors de la désinstallation d'AppScan® Source version 10.0.0 depuis un système Windows, le processus de désinstallation se bloque parfois. Pour plus d'informations, voir La désinstallation d'AppScan Source bloque sur Windows.
  • Après la mise à niveau vers AppScan® Source version 10.0.0, les rapports PDF ne sont plus générés. Pour plus d'informations, consultez AppScan Source 10.0.0 génère "java.lang.reflect.InvocationTargetException" pendant la génération de rapports PDF dans un scénario de mise à niveau.

Fonctionnalités en fin de vie dans AppScan® Source version 10.0.0

Les fonctionnalités suivantes sont en fin de vie à partir de AppScan® Source version 10.0.0. Veuillez planifier en conséquence.

Fonctions et options qui ne sont plus prises en charge dans AppScan® Source version 10.0.0

  • Le cache de vulnérabilité n'est plus pris en charge.
  • L'examen incrémentiel n'est pas pris en charge.
  • L'examen Non-CPA n'est pas pris en charge.
  • A compter de la version 9.0.3.11, AppScan® Source ne prend plus en charge l'examen de projets macOS ou iOS.

    Certains composants d'AppScan® Source sont en 32 bits. MacOS 10.14 (Mojave) est la dernière version du système d'exploitation Mac qui prendra en charge les applications 32 bits.

    Vous pouvez continuer à utliser la version 9.0.3.10 et les versions antérieures d'AppScan® Source sur les systèmes d'exploitation Mac 10.12 et antérieurs.

Documentation

Des informations sur la documentation AppScan® Source sont disponibles sur Où trouver la documentation pour AppScan Source.

Accès au support technique

Vous trouverez les informations de prise de contact avec le support technique pour ce produit sur le site https://support.hcltech.com/csm?id=csm_index.

Le site Web du produit se trouve à l'adresse https://www.hcltechsw.com/wps/portal/products/appscan.