AppScan ソースの新機能

以下の、AppScan® ソースに追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。

AppScan ソースバージョン 10.0.1 の新機能
AppScan ソースバージョン 10.0.0 の新機能

AppScan ソースバージョン 10.0.1 の新機能

HCL® AppScan ソースバージョン 10.0.1 は、HCL AppScan ソースメジャー・バージョン 10.0.0 をリリースして以来の最初のフィックス・パック・リリースです。このリリースでは、AppScan チームは、市場をリードするセキュリティースキャン製品ファミリーを定期的かつ頻繁に更新するという Continuous Release モデルに近づけつづあります。

AppScan ソースバージョン10.0.1 の強化機能と新規機能
AppScan ソースバージョン 10.0.1 の既知の問題
AppScan ソース相互運用性 (interoperability)
AppScan ソースバージョン 10.0.1 で終了予定または削除予定の機能

AppScan ソースバージョン10.0.1 の強化機能と新規機能

AppScan ソースバージョン 10.0.1 では、ユーザーインターフェイスにおける HCL ベースライセンスのプロキシーサポートや信頼できない証明書を使用してローカル・ライセンス・サーバーに接続する機能など、ライセンス機能を強化しました。
AppScan ソースバージョン 10.0.1 では、AppScanDelta を導入しました。この機能では、コマンド・ラインから 2 つの評価の差分を取得できます。
AppScan ソースは、NetCore 2.1 および 2.2 をサポートしています。
AppScan ソースバージョン 10.0.1 には、Scala、Swift、Kotlin、および ReactJS の言語サポートが含まれています。詳細については、「システム要件」を参照してください。
AppScan ソースバージョン 10.0.1 では、DISA STG v4r10 レポート形式をサポートします。

AppScan ソースバージョン 10.0.1 の既知の問題

2015 以前から Visual Studio プロジェクトをスキャンすると、スキャンが失敗し、discoverymanager.exe.config を削除するようメッセージが表示されることがあります。指定されたファイルを削除してやり直してください。詳細については、ここを参照してください。

AppScan ソース相互運用性 (interoperability)

AppScan ソース 10.0.1 と相互運用するには、AppScan Enterprise の 9.0.3x および 10.0.0 バージョンを次のように構成する必要があります。
```
set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
```

AppScan ソースバージョン 10.0.1 で終了予定または削除予定の機能

次の機能は AppScan ソースバージョン 10.0.1 で終了を予定しています。それに従って計画してください。

重要! 新しい AppScan リリースの IBM ライセンスのサポートは、2020 年第 3 四半期 (8 月/9 月) に終了します。AppScan 製品の新しい後続バージョンでは、HCL ライセンスのみをサポートします。ライセンスの詳細については、「ソフトウェアのアクティブ化」を参照してください。または、HCL 担当者または HCL サポートにお問い合わせください。
SolidDB は、2020 年第 3 四半期 (8 月/9 月) 以降の製品更新に付属しなくなります。既存のインストールは引き続きサポートされます。

AppScan ソースバージョン 10.0.0 の新機能

HCL AppScan ソースバージョン 10.0.0は、 AppScan 製品ファミリーの背景にある技術面での重要な進化を示しています。HCL では、市場をリードするセキュリティー・スキャン製品の強化の基盤となる DevSecOps 市場の製品の現在、そして未来に投資しています。

強化機能と新規機能
AppScan ソースバージョン 10.0.0 の相互運用性
追加の AppScan ソースバージョン 10.0.0 インストール手順
バージョン AppScan ソースの既知の問題10.0.0
AppScan ソースバージョン 10.0.0 で終了予定の機能
AppScan ソースバージョンでサポートされない機能 10.0.0

AppScan ソースバージョン10.0.0 の強化機能と新規機能

IBM® セキュリティー AppScan ソースは HCL AppScan ソースとなりました。

2019 年中頃、HCL Technologies は AppScan Enterprise、AppScan スタンダード、AppScan ソース、 AppScan on Cloud を含む AppScan 製品ファミリーを IBM より買収しました。すべての AppScan 製品は HCL Software によって所有され、開発、販売されることになりました。すべてのライセンス、ロゴ、命名規則、その他の知的財産権およびブランド権利は HCL が所有します。当該の AppScan 製品はすべて、この所有権ならびに新しい段階の開発と成長を反映するため、再ブランド化されています。
HCL ライセンスの導入 HCL AppScan ソース

IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan 製品ファミリーのライセンス・パッケージを導入します。AppScan、AppScan スタンダード、AppScan ソースはローカル FlexLM サーバーを使用し、プロキシ・サーバーを介して認証します。AppScan on Cloud では市場で主流となっている Okta の CAIM (Customer Identity Access Management) システムを使用します。
AppScan ソース Go プログラミング言語 (Golang) がサポートされるようになりました。
AppScan ソース Visual Studio 2015、2017、2019 で C++ スキャンがサポートされるようになりました。
AppScan ソース Oracle 19c がサポートされるようになりました。
新規データ・フロー・スキャン機能はより完璧なコード分析を実行し、結果としてより詳細な検出結果が得られます。
AppScan ソースにカスタム・スキャナーがある言語の場合、AppScan ソース v10 でスキャンすると、検出結果に大きな違いが見られる場合があります。スキャンがカスタム・スキャンに変換された場合、これは検出結果が減少することを意味する場合があります。カスタム・スキャナーのルールは進化し、定期的に追加されており、簡単に拡張できます。
Intelligent Code Analytics (ICA) および Intelligent Findings Analytics (IFA) との拡張統合。
ICA/IFA を有効にすると、「除外された検出結果」タブにアクセスできるようになります。詳細は、AppScan ソース資料の「Intelligent Findings Analytics (IFA)」を参照してください。
デフォルトでは、IFA がすべてのスキャンで有効になっています。有効にすると、現在のスキャンと将来のスキャンに適用されます。以前のスキャンからの評価には適用できません。
AppScan ソースでの .NET プロジェクト (ASP、WEB, Framework、Core) のスキャンは HCL AppScan on Cloud のプロセスをミラーリングします。.NET プロジェクトは、スキャン前にコンパイルでき、プロジェクトのプロパティーに適切なビルド仕様がある必要があります。
AppScan ソースをインストールし基本的なスキャンを実行するには、最低 15 GB の空き容量が必要です。ただし、必要なディスク空き容量は、スキャン対象のアプリケーションによって異なります。最低 8 GB の RAM および 15～20 GB のディスク空き容量があることを推奨します。また、Windows のページ・ファイル要件を増加する必要があります (詳細は、「Windows 10 で PC のパフォーマンスを向上させるヒント」を参照してください。
システム要件、スキャンとプラグインのサポートに関する詳細については、「システム要件およびインストールの前提条件」を参照するか、HCL サポートまでお問い合わせください。

追加の AppScan ソースバージョン 10.0.0 インストール手順

AppScan ソースバージョン 10.0.0 と Visual Studio 2019 プラグインをインストールすると、インストールが成功したように見えますが、Visual Studio 2019 プラグインが適切にインストールされていない可能性があります。

Visual Studio 2019 に AppScan ソースバージョン 10.0.0 のプラグインをインストールするには:

ターゲット・システムに HCL AppScan ソースバージョン 10.0.0 がインストールされていることを確認します。インストール時に Microsoft Visual Studio 2019 プラグインを選択します。
Visual Studio 2019 のターゲット・インスタンスに AppScan ソースの 10.0.0 より前のバージョンがインストールされている場合は、次の手順でアンインストールします。
1. ターゲット Visual Studio 2019 インスタンスを開始します。
2. 「Visual Studio」 > 「拡張機能」 > 「拡張機能の管理」を開きます。
3. 「インストール済み」タブで、リストから「AppScan Source Plug-in」を選択します。
4. 「プラグインのアンインストール」をクリックし、プロンプトに従ってアンインストールを完了します。
HCL AppScan ソースバージョン 10.0.0 のプラグインを Visual Studio 2019 インスタンスに次の手順でインストールします。
1. すべての Visual Studio 2019 インスタンスを閉じます。
2. VS2019Plugin.zip をHCL AppScan ソースリリース・ダウンロード・サイトからダウンロードします。
3. zip ファイルの中身を <AppScan Source Install Dir> に抽出します (デフォルトの場所は C:\Program Files (x86)\IBM\AppScanSource です)。プロンプトに表示されるすべてのオプションで「はい」を選択します。
4. <AppScan Source Install Dir>/bin ディレクトリーから AppScanSrcPlugin.vsix をダブルクリックします。
5. 表示される VSIX インストーラーのダイアログで、「Visual Studio <Edition> 2019」を選択し、「インストール」をクリックします。
  マシンのインストール内容に応じて、エディションには Professional、Enterprise、または Community があります。利用可能な場合は、インストールするエディションを複数選択できます。
6. インストールが完了したら、ダイアログを閉じます。
7. Visual Studio 2019 を再起動します。「AppScan Source Plug-in」は、「拡張機能」の下に表示されます。

AppScan ソースバージョン 10.0.0 の相互運用性

HCL AppScan ソース 10.0.0 には AppScan ソース 10.0.0 データベース (SolidDB または Oracle) が必要です。

AppScan ソース 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容の違いにより、10.0.0 AppScan ソースより前のデータベースでは正しくスキャンしません。
同様に、10.0.0 AppScan ソースより前のクライアントは、10.0.0 AppScan ソースデータベースでは正しくスキャンしません。

AppScan ソース 10.0.0 は、AppScan Enterprise の 9.0.3.x より前のバージョンと相互運用します。

AppScan ソース 10.0.0 データベースのインスタンスで構成された AppScan Enterprise のインスタンスは、AppScan ソースの 9.0.3.x バージョンでは使用できません。逆も同様です。
AppScan ソース 10.0.0 と相互運用するには、AppScan Enterprise の 9.0.3x バージョンを次のように構成する必要があります。
```
set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
```

AppScan ソースバージョン 10.0.0 の既知の問題

このセクションでは、AppScan ソースバージョン 10.0.0 の情報、既知の制限、および回避策について説明します。

次の言語はサポートされていません。
- Arxan C
- WSDL
WebSphere では、デフォルトの JSP コンパイル・オプションのみがサポートされます。
単一ファイル・スキャンは、すべての言語で利用できるわけではありません。
JSP ファイルのプリコンパイルを無効にするメカニズムはありません。JSP ファイルは常にプリコンパイルされます。
Linux システムでは、スキャンの停止/キャンセルは機能しません。
Windows システムでコマンド・ライン・インターフェイスを使用するときは、停止/キャンセルが機能しないことがあります。この問題を回避するには、AppScan ソースを再起動し、バックグラウンド・プロセスを強制終了します。
Windows システムから AppScan ソースバージョン 10.0.0 をアンインストールするときに、アンインストール・プロセスがハングすることがあります。詳しくは、『Windows で AppScan ソースのアンインストールがハングする』を参照してください。
AppScan ソースバージョン 10.0.0 にアップグレードすると、PDF レポートが生成されません。詳細については、「アップグレード・シナリオで PDF レポートの生成時に、AppScan Source 10.0.0 が「java.lang.reflect.InvocationTargetException」をスローする」を参照してください。

AppScan ソースバージョン 10.0.0 で終了予定の機能

次の機能は AppScan ソースバージョン 10.0.0 で終了を予定しています。それに従って計画してください。

カスタム検出結果
品質メトリック
E メール/設定
RSS フィード
アプリケーション属性
アプリケーション情報の保存には AppScan Enterprise を使用してください。
障害追跡システムの統合
AppScan 問題ゲートウェイを使用して、 AppScan Enterprise レベルから統合してください

AppScan ソースバージョン 10.0.0 でサポートされない機能

脆弱性キャッシュは、サポート対象外となりました。
インクリメント・スキャンはサポート外です。
非 CPA スキャンはサポート外です。
バージョン 9.0.3.11 以降の AppScan ソースでは、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。

AppScan ソースの一部のコンポーネントは 32 ビットです。MacOS 10.14 (Mojave) は、32 ビットのアプリケーションをサポートする最新の Mac OS バージョンです。

10.12 までの Mac オペレーティング・システムでは、AppScan ソースバージョン 9.0.3.10 以前を引き続き使用できます。

AppScan ソース の新機能

AppScan ソース バージョン 10.0.1 の新機能

AppScan ソースバージョン10.0.1 の強化機能と新規機能

AppScan ソース バージョン 10.0.1 の既知の問題

AppScan ソース 相互運用性 (interoperability)

AppScan ソース バージョン 10.0.1 で終了予定または削除予定の機能

AppScan ソース バージョン 10.0.0 の新機能