AppScan ソース の新機能

AppScan ソース バージョン 10.0.4 の新機能

HCL® AppScan ソース バージョン 10.0.4 は、HCL AppScan ソース メジャー・バージョン 10.0.0 をリリースして以来、4 番目のフィックス・パック・リリースです。

AppScan ソース バージョン 10.0.4 の強化機能と新機能

  • バージョン 10.0.4 では、 AppScan ソース は以下のオペレーティング・システムをサポートします。
    • Windows Server 2019
    • Red Hat Linux バージョン 7.8 および 7.9

    詳しくは、システム要件およびインストールの前提条件を参照してください。

  • AppScan ソース バージョン 10.0.4 では、以下の言語と言語バージョンがサポートされています。
    • Java バージョン 9、10、11:
      • AdoptOpenJDK 11 がデフォルトです
      • 指定する代替 JDK は 64 ビットである必要があります
    • .NET Core 3.1
    • Infrastructure as Code (IaC)

    詳細については、システム要件およびインストールの前提条件を参照してください。

AppScan ソース バージョン 10.0.4 の既知の問題

  • AppScan ソース バージョン 9.3.14 以前で作成され、「プロパティー」ビューで除外済みとしてマークされたバンドルが、AppScan ソース バージョン 10.0.0 以降にアップグレードした後では、検出で除外されません。バンドルは、AppScan ソース バージョン 10.0.0 以上で再作成する必要があります。
  • AppScan Source for Analysis クライアント内のすべてのアプリケーションでスキャンを実行すると、修正グループにデータを取り込まなくても「結果」ビューにデータが取り込まれる可能性があります。この結果を回避し、修正グループの検出結果を適切に表示するために、個々のアプリケーションでスキャンを実行します。
  • 評価ファイル名にネイティブ文字が含まれていると、英語以外のロケールで評価の AppScan Enterprise への公開が失敗します。ファイル名からネイティブ文字を削除し、再公開します。

AppScan ソース バージョン 10.0.3 の新機能

HCL AppScan ソース バージョン 10.0.3 は、HCL AppScan ソース メジャー・バージョン 10.0.0 をリリースして以来、3 番目のフィックス・パック・リリースです。

AppScan ソース バージョン 10.0.3 の強化機能と新機能

  • バージョン 10.0.3 の AppScan ソース では次の言語のサポートが追加されました。
    • Android Java
    • Ionic
    • Objective C
    • React Native
    • SAP ABAP
    • Vue.js
    • Xamarin

    詳細については、「システム要件」を参照してください。

  • 静的分析の修正グループのサポート。

    修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan ソース は問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。詳細については、「静的分析修正グループの操作」を参照してください。

  • 修正グループのサポートの一部として、Companion レポートのテクニカル・プレビューが「検出レポートの選択」ダイアログ・ボックスに表示されます。このレポートには、現在、修正グループ・タイプに関する高レベルの情報だけが表示されます。今後のリリースでは、修正グループの最適な修正場所を含め、レポート機能にさらに深さが追加されます。

AppScan ソース バージョン 10.0.3 の既知の問題

  • CLI コマンド details は断続的にエラーをレポートします。ただし、コマンドの機能は影響を受けません。
    ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
  • 修正グループ情報を表示するために AppScan ソース データベースに公開された評価を開くと、修正グループ・タイプまたは修正グループ ID の代わりに NULL が表示されます。ローカル・ファイル・システムに評価を保存してから、「評価を開く」コマンドを使用してその評価を開き、公開された静的分析評価の修正グループ情報を表示します。

AppScan Source バージョン 10.0.3 のインストールおよび相互運用性に関する追加情報

  • AppScan ソース のアップグレードまたは AppScan ソース バージョン 10.0.3 の修復インストールを実行するときに、以前のインストールがデータベースを使用して構成されていた場合は、 AppScan Source DB サービスを手動で開始する必要があります。

AppScan ソース バージョン 10.0.2 の新機能

HCL AppScan ソース バージョン 10.0.2 は、HCL AppScan ソース メジャー・バージョン 10.0.0 をリリースして以来、2 番目のフィックス・パック・リリースです。

AppScan ソース バージョン 10.0.2 の強化機能と新規機能

  • AppScan ソース バージョン 10.0.2 以後は、HCL ライセンスが必要です。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
  • AppScan ソース 分析の場合、バージョン 10.0.2 ではスキャンを実行するためにデータベース接続は不要です。スキャン構成と結果を共有するための AppScan Enterprise との統合は、AppScan Enterprise で構成されます。切断された機能の詳細については、こちらで説明されています。
  • AppScan ソース 次の言語のサポートについて紹介されています。Angular 8、Angular 9、Groovy、Symfony、および TypeScript。詳細については、「システム要件」を参照してください。

AppScan ソース バージョン 10.0.2 のインストールおよび相互運用性に関する追加情報

  • AppScan ソース バージョン 10.0.2 をクリーンなシステムにインストールする場合は、インストールするデータベースがないため、データベース構成は行われません。共有情報を保管および取得するには、AppScan Enterprise との統合を構成します。
  • 接続モードで使用するために AppScan ソース バージョン 10.0.2 をクリーンなシステムにインストールする場合は、AppScan Enterprise バージョン 10.0.2 が必要です。古いバージョンの AppScan Enterprise はサポートされていません。さらに、AppScan Enterprise Server は、ユーザー管理Enterprise Console の両方とともにインストールする必要があります。
  • 以前のバージョンから AppScan ソース バージョン 10.0.2 にアップグレードする場合は、構成機能を含めて、以前にインストールされていたすべてのデータベースが完全にサポートされます。

  • AppScan ソース バージョン 10.0.2 の修復インストールを実行するときは、以前のインストールがデータベースを使用して構成されていた場合は、AppScan Source DB サービスを手動で開始する必要があります。
  • Automation Server またはクライアント・コンポーネントのみがインストールされている AppScan ソース をアップグレードし、後から修復インストールを実行する場合は、'ounce.ozsettings で以下のプロパティーを更新します。
    • name=core_provider value=1
    • name=connect_mode value=false
  • バージョン 10.0.2 より前に作成されたサイレント・インストーラーの応答ファイルはサポートされていません。AppScan ソース バージョン 10.0.2 で使用するには、新しいサイレント・インストーラーの応答ファイルを作成する必要があります。

AppScan ソース バージョン 10.0.2 で終了予定または削除予定の機能

  • AppScan Source は IBM ライセンスをサポートしなくなり、ライセンス・マネージャーで構成できなくなりました。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
  • AppScan ソース バージョン 10.0.2 では、Visual Studio 2010 のサポートがなくなります。
  • SolidDB は AppScan ソース に付属しなくなり、ソリューションの一部としてインストールされません。SolidDB の既存のインストールは引き続きサポートされます。
  • 「管理」メニューの下の「監査ログ」オプションは使用できなくなります。

AppScan ソース バージョン 10.0.1 の新機能

HCL AppScan ソース バージョン 10.0.1 は、HCL AppScan ソース メジャー・バージョン 10.0.0 をリリースして以来、最初のフィックス・パック・リリースです。このリリースでは、AppScan チームは、市場をリードするセキュリティースキャン製品ファミリーを定期的かつ頻繁に更新するという Continuous Release モデルに近づけつづあります。

AppScan ソース バージョン 10.0.1 の強化機能と新規機能

  • AppScan ソース バージョン10.0.1 では、ユーザー・インターフェースにおける HCL ベース・ライセンスのプロキシー・サポートや信頼できない証明書を使用してローカル・ライセンス・サーバーに接続する機能など、ライセンス機能を強化しました。
  • AppScan ソース バージョン 10.0.1 では、AppScanDelta を導入しました。この機能では、コマンド・ラインから 2 つの評価の差分を取得できます。
  • AppScan ソース は、NetCore 2.1 および 2.2 をサポートしています。
  • AppScan ソース バージョン 10.0.1 には、Scala、Swift、Kotlin、および ReactJS の言語サポートが含まれています。詳細については、「システム要件」を参照してください。
  • AppScan ソース バージョン 10.0.1 では、DISA STG v4r10 レポート形式をサポートします。

AppScan ソース バージョン 10.0.1 の既知の問題

  • 2015 以前から Visual Studio プロジェクトをスキャンすると、スキャンが失敗し、discoverymanager.exe.config を削除するようメッセージが表示されることがあります。指定されたファイルを削除してやり直してください。詳細については、ここを参照してください。

AppScan ソース 相互運用性 (interoperability)

  • AppScan ソース 10.0.4 と相互運用するには、AppScan Enterprise の 9.0.3x および 10.0.0 バージョンを次のように構成する必要があります。
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan ソース バージョン 10.0.1 で終了予定または削除予定の機能

次の機能は AppScan ソース バージョン 10.0.1 で終了を予定しています。それに従って計画してください。

  • 重要! 新しい AppScan リリースの IBM ライセンスのサポートは、2020 年第 3 四半期 (8 月/9 月) に終了します。AppScan 製品の新しい後続バージョンでは、HCL ライセンスのみをサポートします。ライセンスの詳細については、「ソフトウェアのアクティブ化」を参照してください。または、HCL 担当者または HCL サポートにお問い合わせください。
  • SolidDB は、2020 年第 3 四半期 (8 月/9 月) 以降の製品更新に付属しなくなります。既存のインストールは引き続きサポートされます。

AppScan ソースバージョン 10.0 の新機能

HCL AppScan ソース バージョン 10.0.0 は、AppScan 製品ファミリーの背景にある技術面での重要な進化を示しています。HCL では、市場をリードするセキュリティー・スキャン製品の強化の基盤となる DevSecOps 市場の製品の現在、そして未来に投資しています。

AppScan ソース バージョン 10.0.0 の強化機能と新規機能

  • IBM® セキュリティー AppScan ソースHCL AppScan ソース となりました。

    2019 年中頃、HCL Technologies は AppScan EnterpriseAppScan スタンダード、AppScan ソースAppScan on Cloud を含む AppScan 製品ファミリーを IBM より買収しました。すべての AppScan 製品は HCL Software によって所有され、開発、販売されることになりました。すべてのライセンス、ロゴ、命名規則、その他の知的財産権およびブランド権利は HCL が所有します。当該の AppScan 製品はすべて、この所有権ならびに新しい段階の開発と成長を反映するため、再ブランド化されています。

  • HCL ライセンスの導入 HCL AppScan ソース

    IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan 製品ファミリーのライセンス・パッケージを導入します。AppScan、AppScan スタンダード、AppScan ソース はローカル FlexLM サーバーを使用し、プロキシ・サーバーを介して認証します。AppScan on Cloud では市場で主流となっている Okta の CAIM (Customer Identity Access Management) システムを使用します。

  • AppScan ソース Go プログラミング言語 (Golang) がサポートされるようになりました。
  • AppScan ソース Visual Studio 2015、2017、2019 で C++ スキャンがサポートされるようになりました。
  • AppScan ソース Oracle 19c がサポートされるようになりました。
  • 新規データ・フロー・スキャン機能はより完璧なコード分析を実行し、結果としてより詳細な検出結果が得られます。
  • AppScan ソース にカスタム・スキャナーがある言語の場合、AppScan ソース v10 でスキャンすると、検出結果に大きな違いが見られる場合があります。スキャンがカスタム・スキャンに変換された場合、これは検出結果が減少することを意味する場合があります。カスタム・スキャナーのルールは進化し、定期的に追加されており、簡単に拡張できます。
  • Intelligent Code Analytics (ICA) および Intelligent Findings Analytics (IFA) との拡張統合。

    ICA/IFA を有効にすると、「除外された検出結果」タブにアクセスできるようになります。詳細は、AppScan ソース 資料の「Intelligent Findings Analytics (IFA)」を参照してください。

    デフォルトでは、IFA がすべてのスキャンで有効になっています。有効にすると、現在のスキャンと将来のスキャンに適用されます。以前のスキャンからの評価には適用できません。

  • AppScan ソース での .NET プロジェクト (ASP、WEB, Framework、Core) のスキャンは HCL AppScan on Cloud のプロセスをミラーリングします。.NET プロジェクトは、スキャン前にコンパイルでき、プロジェクトのプロパティーに適切なビルド仕様がある必要があります。
  • AppScan ソース をインストールし基本的なスキャンを実行するには、最低 15 GB の空き容量が必要です。ただし、必要なディスク空き容量は、スキャン対象のアプリケーションによって異なります。最低 8 GB の RAM および 15~20 GB のディスク空き容量があることを推奨します。また、Windows のページ・ファイル要件を増加する必要があります (詳細は、「Windows 10 で PC のパフォーマンスを向上させるヒント」を参照してください。
  • システム要件、スキャンとプラグインのサポートに関する詳細については、「システム要件およびインストールの前提条件」を参照するか、HCL サポートまでお問い合わせください。

追加の AppScan ソース バージョン 10.0.0 インストール手順

AppScan ソース バージョン 10.0.0 と Visual Studio 2019 プラグインをインストールすると、インストールが成功したように見えますが、Visual Studio 2019 プラグインが適切にインストールされていない可能性があります。

Visual Studio 2019 に AppScan ソース バージョン 10.0.0 のプラグインをインストールするには:

  1. ターゲット・システムに HCL AppScan ソース バージョン 10.0.0 がインストールされていることを確認します。インストール時に Microsoft Visual Studio 2019 プラグインを選択します。
  2. Visual Studio 2019 のターゲット・インスタンスに AppScan ソース の 10.0.0 より前のバージョンがインストールされている場合は、次の手順でアンインストールします。
    1. ターゲット Visual Studio 2019 インスタンスを開始します。
    2. 「Visual Studio」 > 「拡張機能」 > 「拡張機能の管理」を開きます。
    3. 「インストール済み」タブで、リストから「AppScan Source Plug-in」を選択します。
    4. 「プラグインのアンインストール」をクリックし、プロンプトに従ってアンインストールを完了します。
  3. HCL AppScan ソース バージョン 10.0.0 のプラグインを Visual Studio 2019 インスタンスに次の手順でインストールします。
    1. すべての Visual Studio 2019 インスタンスを閉じます。
    2. VS2019Plugin.zipHCL AppScan ソース リリース・ダウンロード・サイトからダウンロードします。
    3. zip ファイルの中身を <AppScan Source Install Dir> に抽出します (デフォルトの場所は C:\Program Files (x86)\IBM\AppScanSource です)。プロンプトに表示されるすべてのオプションで「はい」を選択します。
    4. <AppScan Source Install Dir>/bin ディレクトリーから AppScanSrcPlugin.vsix をダブルクリックします。
    5. 表示される VSIX インストーラーのダイアログで、「Visual Studio <Edition> 2019」を選択し、「インストール」をクリックします。

      マシンのインストール内容に応じて、エディションには Professional、Enterprise、または Community があります。利用可能な場合は、インストールするエディションを複数選択できます。

    6. インストールが完了したら、ダイアログを閉じます。
    7. Visual Studio 2019 を再起動します。「AppScan Source Plug-in」は、「拡張機能」の下に表示されます。

AppScan ソース バージョン 10.0.0 の相互運用性

HCL AppScan ソース 10.0.0 には、AppScan ソース 10.0.0 データベース (SolidDB または Oracle) が必要です。
  • AppScan ソース 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容が異なるため、10.0.0 以前の AppScan ソース データベースでは正しくスキャンしません。
  • 同様に、10.0.0 より前の AppScan ソース クライアントは、10.0.0 AppScan ソース データベースでは正しくスキャンしません。
AppScan ソース 10.0.0 は、AppScan Enterprise の 9.0.3.x より前のバージョンと相互運用します。
  • AppScan ソース 10.0.0 データベースのインスタンスで構成された AppScan Enterprise のインスタンスは、AppScan ソース の 9.0.3.x バージョンでは使用できません。逆も同様です。
  • AppScan ソース 10.0.0 と相互運用するには、AppScan Enterprise の 9.0.3x バージョンを次のように構成する必要があります。
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan ソース バージョン 10.0.0 の既知の問題

このセクションでは、AppScan ソース バージョン 10.0.0 の情報、既知の制限、および回避策について説明します。
  • 次の言語はサポートされていません。
    • Arxan C
    • WSDL
  • WebSphere では、デフォルトの JSP コンパイル・オプションのみがサポートされます。
  • 単一ファイル・スキャンは、すべての言語で利用できるわけではありません。
  • JSP ファイルのプリコンパイルを無効にするメカニズムはありません。JSP ファイルは常にプリコンパイルされます。
  • Linux システムでは、スキャンの停止/キャンセルは機能しません。
  • Windows システムでコマンド・ライン・インターフェースを使用するときは、停止/キャンセルが機能しないことがあります。この問題を回避するには、AppScan ソース を再起動し、バックグラウンド・プロセスを強制終了します。
  • Windows システムから AppScan ソース バージョン 10.0.0 をアンインストールするときに、アンインストール・プロセスがハングすることがあります。詳しくは、「Windows で AppScan ソース のアンインストールがハングする」を参照してください。
  • AppScan ソース バージョン 10.0.0 にアップグレードすると、PDF レポートが生成されません。詳細については、「アップグレード・シナリオで PDF レポートの生成時に、AppScan Source 10.0.0 が「java.lang.reflect.InvocationTargetException」をスローする」を参照してください。

AppScan ソース バージョン 10.0.0 で終了予定の機能

次の機能は AppScan ソース バージョン 10.0.0 で終了を予定しています。それに従って計画してください。

AppScan ソース バージョン 10.0.0 でサポートされない機能

  • 脆弱性キャッシュは、サポート対象外となりました。
  • インクリメント・スキャンはサポート外です。
  • 非 CPA スキャンはサポート外です。
  • バージョン 9.0.3.11 以降の AppScan ソース では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。

    AppScan ソース の一部のコンポーネントは 32 ビットです。MacOS 10.14 (Mojave) は、32 ビットのアプリケーションをサポートする最新の Mac OS バージョンです。

    10.12 までの Mac オペレーティング・システムでは、AppScan ソース バージョン 9.0.3.10 以前を引き続き使用できます。