現行バージョンの AppScan® ソース へのマイグレーション

このトピックには、このバージョンの AppScan® ソース で行われた変更についてのマイグレーション情報が記載されています。旧バージョンの AppScan® ソース からアップグレードしている場合は、必ず、アップグレードしている AppScan® ソース のバージョンと、この現行バージョンまでのすべてのバージョンにおける変更内容に注意してください。

バージョン 9.0.3 からのマイグレーション

HCL ライセンス

IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan 製品ファミリーのライセンス・パッケージを導入します。AppScan 製品は、バージョン 10.0.1 を通じて既存の IBM ライセンスのサポートを継続します。バージョン 10.0.2 以後は、HCL ライセンスが必要です。

新規ライセンスは HCL を通じてのみ取得可能です。

新しい AppScan Source ライセンスを取得して適用するには、まず HCL FlexNet ポータルから適切なライセンスを取得し、それから AppScan Source License Manager を使用してライセンスを適用します。

追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。

AppScan® ソース 相互運用性 (interoperability)

HCL® AppScan® ソース 10.0.0 には AppScan® ソース 10.0.0 データベースが必要です。
  • AppScan® ソース 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容が異なるため、10.0.0 以前の AppScan® ソース データベースでは正しくスキャンしません。
  • 同様に、10.0.0 より前の AppScan® ソース クライアントは、10.0.0 AppScan® ソース データベースでは正しくスキャンしません。
AppScan® ソース 10.0.0 は、AppScan® Enterprise の 9.0.3.x より前のバージョンと相互運用します。
  • AppScan® ソース 10.0.0 データベースのインスタンスで構成された AppScan® Enterprise のインスタンスは、AppScan® ソース の 9.0.3.x バージョンでは使用できません。逆も同様です。
  • AppScan® ソース 10.0.0 と相互運用するには、AppScan® Enterprise の 9.0.3x バージョンを次のように構成する必要があります。
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

バージョン 9.0.2 からのマイグレーション

注: バージョン 9.0.3.11 以降の AppScan® ソース では、macOS と iOS の Xcode スキャンを使用できません。

新規ルール属性により、既存スキャンの検出結果の分類が変更される可能性があります。

バージョン 9.0.2 以降、Attribute.Likelihood.HighAttribute.Likelihood.Low のルール属性が導入されました。これらの属性を使用すると、AppScan® ソース は、検出結果が「確定」または「要確認」 (あるいはその両方) かを正確に判別することができます。そのため、AppScan® ソース バージョン 9.0.2 以前でソース・コードをスキャンした場合、その同じソース・コードを 9.0.2 より後の製品バージョンでスキャンすると、検出結果の分類が変わる可能性があります。これは、悪用の可能性が高い Web ソースに関連する検出結果、または悪用の可能性が低いプロパティーや環境のソースにおいて最も顕著に現れます。

こうしたルール属性はデフォルトで使用されます。無効にするには、以下のようにします。

  1. <data_dir>\config\ipva.ozsettings をテキストエディター (<data_dir>AppScan® ソース プログラム・データの場所です。詳細は インストールとユーザー・データ・ファイルの場所) で開きます。ファイル内の allow_likelihood 設定を見つけます。この設定は、以下の例のようになります。
    <Setting
      name="allow_likelihood"
      value="true"
      default_value="true"
      description="Allow the processing of the Likelihood 
        attributes to help determine trace confidence based 
        on the source API"
      display_name="Allow Likelihood"
      type="bool"
    />
    この設定では、value 属性を変更します。属性が true に設定されている場合、この設定はオンになります。false に設定されている場合、AppScan® ソース はスキャン中にこれらの属性ルールを使用しません。
  2. この設定の変更後、ファイルを保存してAppScan® ソース を始動または再始動します。

自動逸失シンク生成

9.0.2 より後のバージョンでは、getter/setter、およびブール値を返すメソッドで終わるトレースに、自動逸失シンク解決が導入されました。これは、そのようなアプリケーション・プログラミング・インターフェース (API) のマークアップを自動的に推測することで実現します。そのため、AppScan® ソース バージョン 9.0.2 以前でソース・コードをスキャンした場合、同じソース・コードを 9.0.2 より後の製品バージョンでスキャンすると、未解決の逸失シンクが含まれる検出結果が変更される可能性があります。

自動マークアップ生成はデフォルトで有効になっています。カスタム・ルールなどの手段を使用して逸失シンクを解決する場合は、この機能を無効にすることができます。

  1. <data_dir>\config\ipva.ozsettings をテキストエディター (<data_dir>AppScan® ソース プログラム・データの場所です。詳細は インストールとユーザー・データ・ファイルの場所) で開きます。ファイル内の automatic_lost_sink_resolution 設定を見つけます。この設定は、以下の例のようになります。
    <name="automatic_lost_sink_resolution"
      value="true"
      default_value="true"
      description="This setting tries to perform automatic 
        lost sink resolution by assuming taint propagation 
        for getters, setters and APIs which return boolean 
        with no arguments."
      display_name="Auto Lost Sink Resolution"
      type="bool"
    />
    この設定では、value 属性を変更します。属性が true に設定されている場合、この設定はオンになります。false に設定されている場合、AppScan® ソース はこれらのメソッドのマークアップを自動生成しません。
  2. この設定の変更後、ファイルを保存してAppScan® ソース を始動または再始動します。

バージョン 9.0 からのマイグレーション

AppScan® Enterprise Server 認証:IBM® Rational® Jazz ユーザー認証コンポーネントの IBM® WebSphere® Liberty への置き換えに関するマイグレーションの考慮事項

  • ローカル Jazz ユーザーのみが含まれる Enterprise Server からのマイグレーション: このアップグレード・シナリオでは、以前の Jazz ユーザーが AppScan® Enterprise Server ユーザーとして AppScan® ソース・データベース に示されますが、それらのユーザーは有効になりません。これらのユーザーは データベース から削除できます。あるいは、AppScan® ソース ユーザーに変換できます。AppScan® ソース で以前の Jazz ユーザーを有効にする方法については、HCL Support にお問い合わせください。
  • LDAP を使用して構成された Enterprise Server からのマイグレーション:Enterprise Server のアップグレード時には、LDAP を使用して Enterprise Server を再構成するオプションがあります。これを行う場合、既存のユーザーは引き続き AppScan® ソース で機能します。
  • Windows 認証を使用して構成された Enterprise Server からのマイグレーション:Enterprise ServerWindows 認証を使用して構成されていた場合、Windows 認証を使用するように新しい Enterprise Server Liberty を構成することで、既存のユーザーは AppScan® ソース で問題なく使用できます。

バージョン 8.7 からのマイグレーション

検出結果の分類に関する変更

バージョン 8.7 より後のバージョンでは、検出結果の分類が変更されています。以下の表に、古い分類と新しい分類の対応関係を示します。

1. 検出結果の分類の変更
バージョン 8.8 より前の AppScan® ソース の検出結果分類 AppScan® ソース バージョン 8.8 での検出結果の分類
脆弱性 確定セキュリティー検出結果
タイプ I 例外 要確認セキュリティー検出結果
タイプ II 例外 スキャン範囲検出結果

これらの変更の例は、「脆弱性マトリックス」ビューで確認できます。


バージョン 8.8 より前の AppScan ソース の「脆弱性マトリックス」ビュー

バージョン 8.8 以降では、次のようになります。


AppScan ソース バージョン 8.8 の「脆弱性マトリックス」ビュー

スキャン範囲を改善するデフォルト設定の変更

AppScan® ソース バージョン 8.8 の場合:

  • scan.ozsettings の初期値 show_informational_findingstrue から false に変更されました。
  • ipva.ozsettings の初期値 wafl_globals_trackingfalse から true に変更されました。この設定により、AppScan® ソース がフレームワーク・ベースの各種コンポーネント間のデータ・フローを検出することが可能になります (例えば、コントローラーからビューへのデータ・フローなど)。

show_informational_findings に対する変更によって、重大度レベルが「情報」の検出結果は、デフォルトでは評価に組み込まれないようになります。

注: 8.8 より前のバージョンで作成したスキャン構成があり、該当する設定に明示的に値を設定していなかった場合、スキャン構成では新しいデフォルト値が使用されます。

以前のバージョンからの AppScan® ソース 事前定義フィルターの復元

AppScan® ソース バージョン 8.8 では、より有用なスキャン結果が得られるように定義済みフィルターが改善されました。AppScan® ソース の旧バージョンからの定義済みフィルターを引き続き使用する必要がある場合は (アーカイブ・フィルターのリストは AppScan ソース 事前定義フィルター (バージョン 8.7.x 以前)に記載されています)、アーカイブ済みの事前定義フィルターの復元の指示のとおりに行ってください。