AppScan® ソース の新機能

以下の、AppScan® ソース に追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。

AppScan® ソース バージョン 10.0.6 の新機能

HCL® AppScan® ソース バージョン 10.0.6 は、HCL® AppScan® ソース メジャー・バージョン 10.0.0 をリリースして以来、6 番目のフィックス・パック・リリースです。

AppScan® ソース バージョン 10.0.6 の強化機能と新機能

  • AppScan® Source for Analysis の場合と同様に、Visual Studio プラグインの「検出結果」 ビューには、デフォルトで修正グループ別の検出結果が表示されるようになりました。
  • AppScan® Source for Analysis での評価比較に使用されるアルゴリズムが、コマンド行インターフェース (CLI) で使用している新規 API をサポートする新しいアルゴリズムで更新されました。CLI と AppScan® Source for Analysis の結果は現在は同じになりますが、以前のアルゴリズムとの比較結果では多少の違いがある可能性があります。

  • アルゴリズムの更新の一環として、AppScan® Source for Analysis「差分評価」 ビューから、新規または解決済み検出結果 (あるいはその一方) の評価を保存することができるようになりました。

  • AppScan® ソース は C/C++、.NET、および Java のソース・コードのみのスキャンをサポートします。
  • 検出結果の修復を支援するため、AppScan® ソース では業界標準のレポートにアドバイザリー情報を追加しました。
  • AppScan® ソース は、サブジェクトの代替名 - マルチドメイン (SAN) 証明書を使用した CAC 認証をサポートします。
  • AppScan® ソース は、Dart プログラム言語をサポートします。
  • Linux システムでのスキャンの停止/キャンセルのサポート。

AppScan® ソース バージョン 10.0.6 の既知の問題

  • AppScan® ソース バージョン 10.0.5 以前で作成された Objective-C .paf/.ppf ファイルを使用してスキャンを実行すると、Objective-C プロジェクトのスキャンは失敗します。AppScan® ソース バージョン 10.0.6 で Objective-C プロジェクトを再構成し、再試行してください。

AppScan® ソース バージョン 10.0.6 で終了予定または削除予定の機能

  • AppScan® ソース は、単一ファイル・スキャン・バージョン 10.0.0 のサポートを停止しました。

AppScan® ソース バージョン 10.0.5 の新機能

HCL® AppScan® ソース バージョン 10.0.5 は、HCL® AppScan® ソース メジャー・バージョン 10.0.0 をリリースして以来、5 番目のフィックス・パック・リリースです。

AppScan® ソース バージョン 10.0.5 の強化機能と新機能

  • KBArticle サーバーは、AppScan セキュリティー情報サーバーに置き換えられました。AppScan セキュリティー情報サーバーのコンテンツとインターフェースは、ユーザーにより良いサービスを提供するために更新されましたが、以前の AppScan® ソース バージョンにおける KBArticle サーバーと同じ目的を持っています。アプリケーションのセキュリティー検出結果を緩和および解決するためにユーザーを支援します。
  • 検出結果の修復を支援するため、AppScan® ソース ではレポートにアドバイザリー情報を追加しました。
  • 「修復支援」ビューの名前が「修正方法」に変更されました。
  • AppScan® ソース に、DISA STIG v5r1 レポート形式のサポートが追加されました。

    この新しいレポートには、Application Security Checklist Version 5, Release 1 で指定された脆弱性のカテゴリーが一覧表示されます。アプリケーションが STIG の要件に準拠しているかどうかをレビュー担当者が判断できるように、可能な限り AppScan® ソース では適切な結果を生成します。

  • WindowsLinux の両方で、HCL 共通ローカル・ライセンス・サーバー 2.0 のサポート 。
  • AppScan® ソース は、修正グループ別にグループ化される検出結果レポートの生成をサポートしています。

AppScan® ソース バージョン 10.0.5 および AppScan® Enterprise バージョン 10.0.5 の相互運用性に関する追加情報

  • AppScan® Enterpriseasc.properties ファイルの新しいプロパティーを使用して、AppScan® Enterprise への公開または「モニター」タブからの AppScan® Enterprise への問題のインポートの速度を、必要なユーザーの応答性に応じてバランスさせることができるようになりました。issue.import.batch.interval プロパティーの使用の詳細については、AppScan® Enterprise 資料を参照してください。

AppScan® ソース バージョン 10.0.5 の既知の問題

  • コンソール出力が文字化けしないようにするため、AppScan Source のロケール・セットがシステムのロケールと一致している必要があります。
  • Linux での「修正方法」ビューにレンダリングの問題がいくつかあります。また、外部参照リンクは Linux の「修正方法」ビューから開かないでください。記事を外部ブラウザで開くと、正しくレンダリングされ、外部リンクにアクセスできます。
  • 自動化サーバーが AppScan Security Info サーバーの始動に失敗すると、ounceauto コマンドを使用してレポートが生成された場合に、レポートに「修正方法」情報は含まれません。この問題を回避するには、ounceauto を使用してレポートを生成する前に、AppScan® ソース for Analysis またはコマンド行インターフェース (CLI クライアント) を開始します。AppScan Security Info サーバーは、AppScan® ソース for Analysis および CLI クライアントによって自動的に開始されます。

AppScan® ソース バージョン 10.0.4 の新機能

HCL® AppScan® ソース バージョン 10.0.4 は、HCL® AppScan® ソース メジャー・バージョン 10.0.0 をリリースして以来、4 番目のフィックス・パック・リリースです。

AppScan® ソース バージョン 10.0.4 の強化機能と新機能

  • バージョン 10.0.4 では、AppScan® ソース は以下のオペレーティング・システムをサポートします。
    • Windows Server 2019
    • Red Hat Linux バージョン 7.8 および 7.9

    詳しくは、システム要件およびインストールの前提条件を参照してください。

  • AppScan® ソース バージョン 10.0.4 では、以下の言語と言語バージョンがサポートされています。
    • Java バージョン 9、10、11:
      • AdoptOpenJDK 11 がデフォルトです
      • 指定する代替 JDK は 64 ビットである必要があります
    • .NET Core 3.1
    • Infrastructure as Code (IaC)

    詳細については、システム要件およびインストールの前提条件を参照してください。

AppScan® ソース バージョン 10.0.4 の既知の問題

  • AppScan® ソース バージョン 9.3.14 以前で作成され、「プロパティー」ビューで除外済みとしてマークされたバンドルが、AppScan® ソース バージョン 10.0.0 以降にアップグレードした後では、検出で除外されません。バンドルは、AppScan® ソース バージョン 10.0.0 以上で再作成する必要があります。
  • AppScan® Source for Analysis クライアント内のすべてのアプリケーションでスキャンを実行すると、修正グループにデータを取り込まなくても「結果」ビューにデータが取り込まれる可能性があります。この結果を回避し、修正グループの検出結果を適切に表示するために、個々のアプリケーションでスキャンを実行します。
  • 評価ファイル名にネイティブ文字が含まれていると、英語以外のロケールで評価の AppScan® Enterprise への公開が失敗します。ファイル名からネイティブ文字を削除し、再公開します。

AppScan® ソース バージョン 1.0.3 の新機能

HCL® AppScan® ソース バージョン 10.0.3 は、HCL® AppScan® ソース メジャー・バージョン 10.0.0 をリリースして以来、3 番目のフィックス・パック・リリースです。

AppScan® ソース バージョン 10.0.3 の強化機能と新機能

  • バージョン 10.0.3 の AppScan® ソース では次の言語のサポートが追加されました。
    • Android Java
    • Ionic
    • Objective C
    • React Native
    • SAP ABAP
    • Vue.js
    • Xamarin

    詳細については、「システム要件」を参照してください。

  • 静的分析の修正グループのサポート。

    修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® ソース は問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。詳細については、「静的分析修正グループの操作」を参照してください。

  • 修正グループのサポートの一部として、Companion レポートのテクニカル・プレビューが「検出レポートの選択」ダイアログ・ボックスに表示されます。このレポートには、現在、修正グループ・タイプに関する高レベルの情報だけが表示されます。今後のリリースでは、修正グループの最適な修正場所を含め、レポート機能にさらに深さが追加されます。

AppScan® ソース バージョン 10.0.3 の既知の問題

  • CLI コマンド details は断続的にエラーをレポートします。ただし、コマンドの機能は影響を受けません。
    ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".

  • 修正グループ情報を表示するために AppScan® ソース データベースに公開された評価を開くと、修正グループ・タイプまたは修正グループ ID の代わりに NULL が表示されます。ローカル・ファイル・システムに評価を保存してから、「評価を開く」コマンドを使用してその評価を開き、公開された静的分析評価の修正グループ情報を表示します。

AppScan Source バージョン 10.0.3 のインストールおよび相互運用性に関する追加情報

  • AppScan® ソース のアップグレードまたは AppScan® ソース バージョン 10.0.3 の修復インストールを実行するときに、以前のインストールがデータベースを使用して構成されていた場合は、 AppScan Source DB サービスを手動で開始する必要があります。

AppScan® ソース バージョン 10.0.2 の新機能

HCL® AppScan® ソース バージョン 10.0.2 は、HCL® AppScan® ソース メジャー・バージョン 10.0.0 をリリースして以来、2 番目のフィックス・パック・リリースです。

AppScan® ソース バージョン 10.0.2 の強化機能と新規機能

  • AppScan® ソース バージョン 10.0.2 以後は、HCL ライセンスが必要です。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
  • AppScan® ソース 分析の場合、バージョン 10.0.2 ではスキャンを実行するためにデータベース接続は不要です。スキャン構成と結果を共有するための AppScan Enterprise との統合は、AppScan® Enterprise で構成されます。切断された機能の詳細については、こちらで説明されています。
  • AppScan® ソース 次の言語のサポートについて紹介されています。Angular 8、Angular 9、Groovy、Symfony、および TypeScript。詳細については、「システム要件」を参照してください。

AppScan® ソース バージョン 10.0.2 のインストールおよび相互運用性に関する追加情報

  • AppScan® ソース バージョン 10.0.2 をクリーンなシステムにインストールする場合は、インストールするデータベースがないため、データベース構成は行われません。共有情報を保管および取得するには、AppScan Enterprise との統合を構成します。
  • 接続モードで使用するために AppScan® ソース バージョン 10.0.2 をクリーンなシステムにインストールする場合は、AppScan® Enterprise バージョン 10.0.2 が必要です。古いバージョンの AppScan® Enterprise はサポートされていません。さらに、AppScan Enterprise Server は、ユーザー管理Enterprise Console の両方とともにインストールする必要があります。

  • 以前のバージョンから AppScan® ソース バージョン 10.0.2 にアップグレードする場合は、構成機能を含めて、以前にインストールされていたすべてのデータベースが完全にサポートされます。

  • AppScan® ソース バージョン 10.0.2 の修復インストールを実行するときは、以前のインストールがデータベースを使用して構成されていた場合は、AppScan Source DB サービスを手動で開始する必要があります。
  • Automation Server またはクライアント・コンポーネントのみがインストールされている AppScan® ソース をアップグレードし、後から修復インストールを実行する場合は、'ounce.ozsettings で以下のプロパティーを更新します。
    • name=core_provider value=1
    • name=connect_mode value=false
  • バージョン 10.0.2 より前に作成されたサイレント・インストーラーの応答ファイルはサポートされていません。AppScan® ソース バージョン 10.0.2 で使用するには、新しいサイレント・インストーラーの応答ファイルを作成する必要があります。

AppScan® ソース バージョン 10.0.2 で終了予定または削除予定の機能

  • AppScan Source は IBM ライセンスをサポートしなくなり、ライセンス・マネージャーで構成できなくなりました。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
  • AppScan® ソース バージョン 10.0.2 では、Visual Studio 2010 のサポートがなくなります。
  • SolidDB は AppScan® ソース に付属しなくなり、ソリューションの一部としてインストールされません。SolidDB の既存のインストールは引き続きサポートされます。
  • 「管理」メニューの下の「監査ログ」オプションは使用できなくなります。

AppScan® ソース バージョン 10.0.1 の新機能

HCL® AppScan® ソース バージョン 10.0.1 は、HCL® AppScan® ソース メジャー・バージョン 10.0.0 をリリースして以来、最初のフィックス・パック・リリースです。このリリースでは、AppScan® チームは、市場をリードするセキュリティースキャン製品ファミリーを定期的かつ頻繁に更新するという Continuous Release モデルに近づけつづあります。

AppScan® ソース バージョン 10.0.1 の強化機能と新規機能

  • AppScan® ソース バージョン 10.0.1 では、ユーザー・インターフェースにおける HCL ベース・ライセンスのプロキシー・サポートや信頼できない証明書を使用してローカル・ライセンス・サーバーに接続する機能など、ライセンス機能を強化しました。
  • AppScan® ソース バージョン 10.0.1 では、AppScanDelta を導入しました。この機能では、コマンド・ラインから 2 つの評価の差分を取得できます。
  • AppScan® ソース は、NetCore 2.1 および 2.2 をサポートしています。
  • AppScan® ソース バージョン 10.0.1 には、Scala、Swift、Kotlin、および ReactJS の言語サポートが含まれています。詳細については、「システム要件」を参照してください。
  • AppScan® ソース バージョン 10.0.1 では、DISA STG v4r10 レポート形式をサポートします。

AppScan® ソース バージョン 10.0.1 の既知の問題

  • 2015 以前から Visual Studio プロジェクトをスキャンすると、スキャンが失敗し、discoverymanager.exe.config を削除するようメッセージが表示されることがあります。指定されたファイルを削除してやり直してください。詳細については、ここを参照してください。

AppScan® ソース 相互運用性 (interoperability)

  • AppScan® ソース 10.0.1 と相互運用するには、AppScan® Enterprise の 9.0.3x および 10.0.0 バージョンを次のように構成する必要があります。 
    set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan® ソース バージョン 10.0.1 で終了予定または削除予定の機能

次の機能は AppScan® ソース バージョン 10.0.1 で終了を予定しています。それに従って計画してください。

  • 重要! 新しい AppScan® リリースの IBM ライセンスのサポートは、2020 年第 3 四半期 (8 月/9 月) に終了します。AppScan® 製品の新しい後続バージョンでは、HCL ライセンスのみをサポートします。ライセンスの詳細については、「ソフトウェアのアクティブ化」を参照してください。または、HCL 担当者または HCL サポートにお問い合わせください。
  • SolidDB は、2020 年第 3 四半期 (8 月/9 月) 以降の製品更新に付属しなくなります。既存のインストールは引き続きサポートされます。

AppScan® ソースバージョン 10.0 の新機能

HCL® AppScan® ソース バージョン 10.0.0 は、AppScan® 製品ファミリーの背景にある技術面での重要な進化を示しています。HCL では、市場をリードするセキュリティー・スキャン製品の強化の基盤となる DevSecOps 市場の製品の現在、そして未来に投資しています。

AppScan® ソース バージョン 10.0.0 の強化機能と新規機能

  • IBM® セキュリティー AppScan® ソースHCL® AppScan® ソース となりました。

    2019 年中頃、HCL Technologies は AppScan® EnterpriseAppScan® スタンダード、AppScan® ソースAppScan® on Cloud を含む AppScan® 製品ファミリーを IBM より買収しました。すべての AppScan® 製品は HCL Software によって所有され、開発、販売されることになりました。すべてのライセンス、ロゴ、命名規則、その他の知的財産権およびブランド権利は HCL が所有します。当該の AppScan® 製品はすべて、この所有権ならびに新しい段階の開発と成長を反映するため、再ブランド化されています。

  • HCL ライセンスの導入 HCL® AppScan® ソース

    IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan® 製品ファミリーのライセンス・パッケージを導入します。AppScan®AppScan® スタンダード、AppScan® ソース はローカル FlexLM サーバーを使用し、プロキシ・サーバーを介して認証します。AppScan® on Cloud では市場で主流となっている Okta の CAIM (Customer Identity Access Management) システムを使用します。

  • AppScan® ソース Go プログラミング言語 (Golang) がサポートされるようになりました。
  • AppScan® ソース Visual Studio 2015、2017、2019 で C++ スキャンがサポートされるようになりました。
  • AppScan® ソース Oracle 19c がサポートされるようになりました。
  • 新規データ・フロー・スキャン機能はより完璧なコード分析を実行し、結果としてより詳細な検出結果が得られます。
  • AppScan® ソース にカスタム・スキャナーがある言語の場合、AppScan® ソース v10 でスキャンすると、検出結果に大きな違いが見られる場合があります。スキャンがカスタム・スキャンに変換された場合、これは検出結果が減少することを意味する場合があります。カスタム・スキャナーのルールは進化し、定期的に追加されており、簡単に拡張できます。
  • Intelligent Code Analytics (ICA) および Intelligent Findings Analytics (IFA) との拡張統合。

    ICA/IFA を有効にすると、「除外された検出結果」タブにアクセスできるようになります。詳細は、AppScan® ソース 資料の「Intelligent Findings Analytics (IFA)」を参照してください。

    デフォルトでは、IFA がすべてのスキャンで有効になっています。有効にすると、現在のスキャンと将来のスキャンに適用されます。以前のスキャンからの評価には適用できません。

  • AppScan® ソース での .NET プロジェクト (ASP、WEB, Framework、Core) のスキャンは HCL AppScan on Cloud のプロセスをミラーリングします。.NET プロジェクトは、スキャン前にコンパイルでき、プロジェクトのプロパティーに適切なビルド仕様がある必要があります。
  • AppScan® ソース をインストールし基本的なスキャンを実行するには、最低 15 GB の空き容量が必要です。ただし、必要なディスク空き容量は、スキャン対象のアプリケーションによって異なります。最低 8 GB の RAM および 15~20 GB のディスク空き容量があることを推奨します。また、Windows のページ・ファイル要件を増加する必要があります (詳細は、「Windows 10 で PC のパフォーマンスを向上させるヒント」を参照してください。

  • システム要件、スキャンとプラグインのサポートに関する詳細については、「システム要件およびインストールの前提条件」を参照するか、HCL サポートまでお問い合わせください。

追加の AppScan® ソース バージョン 10.0.0 インストール手順

AppScan® ソース バージョン 10.0.0 と Visual Studio 2019 プラグインをインストールすると、インストールが成功したように見えますが、Visual Studio 2019 プラグインが適切にインストールされていない可能性があります。

Visual Studio 2019 に AppScan® ソース バージョン 10.0.0 のプラグインをインストールするには:

  1. ターゲット・システムに HCL® AppScan® ソース バージョン 10.0.0 がインストールされていることを確認します。インストール時に Microsoft Visual Studio 2019 プラグインを選択します。
  2. Visual Studio 2019 のターゲット・インスタンスに AppScan® ソース の 10.0.0 より前のバージョンがインストールされている場合は、次の手順でアンインストールします。
    1. ターゲット Visual Studio 2019 インスタンスを開始します。
    2. 「Visual Studio」 > 「拡張機能」 > 「拡張機能の管理」を開きます。
    3. 「インストール済み」タブで、リストから「AppScan Source Plug-in」を選択します。
    4. 「プラグインのアンインストール」をクリックし、プロンプトに従ってアンインストールを完了します。
  3. HCL® AppScan® ソース バージョン 10.0.0 のプラグインを Visual Studio 2019 インスタンスに次の手順でインストールします。
    1. すべての Visual Studio 2019 インスタンスを閉じます。
    2. VS2019Plugin.zipHCL® AppScan® ソース リリース・ダウンロード・サイトからダウンロードします。
    3. zip ファイルの中身を <AppScan Source Install Dir> に抽出します (デフォルトの場所は C:\Program Files (x86)\IBM\AppScanSource です)。プロンプトに表示されるすべてのオプションで「はい」を選択します。
    4. <AppScan Source Install Dir>/bin ディレクトリーから AppScanSrcPlugin.vsix をダブルクリックします。
    5. 表示される VSIX インストーラーのダイアログで、「Visual Studio <Edition> 2019」を選択し、「インストール」をクリックします。

      マシンのインストール内容に応じて、エディションには Professional、Enterprise、または Community があります。利用可能な場合は、インストールするエディションを複数選択できます。

    6. インストールが完了したら、ダイアログを閉じます。
    7. Visual Studio 2019 を再起動します。「AppScan Source Plug-in」は、「拡張機能」の下に表示されます。

AppScan® ソース バージョン 10.0.0 の相互運用性

HCL® AppScan® ソース 10.0.0 には、AppScan® ソース 10.0.0 データベース (SolidDB または Oracle) が必要です。
  • AppScan® ソース 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容が異なるため、10.0.0 以前の AppScan® ソース データベースでは正しくスキャンしません。
  • 同様に、10.0.0 より前の AppScan® ソース クライアントは、10.0.0 AppScan® ソース データベースでは正しくスキャンしません。
AppScan® ソース 10.0.0 は、AppScan® Enterprise の 9.0.3.x より前のバージョンと相互運用します。
  • AppScan® ソース 10.0.0 データベースのインスタンスで構成された AppScan® Enterprise のインスタンスは、AppScan® ソース の 9.0.3.x バージョンでは使用できません。逆も同様です。
  • AppScan® ソース 10.0.0 と相互運用するには、AppScan® Enterprise の 9.0.3.x バージョンを次のように構成する必要があります。 
    set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan® ソース バージョン 10.0.0 の既知の問題

このセクションでは、AppScan® ソース バージョン 10.0.0 の情報、既知の制限、および回避策について説明します。
  • 次の言語はサポートされていません。
    • Arxan C
    • WSDL
  • WebSphere では、デフォルトの JSP コンパイル・オプションのみがサポートされます。
  • 単一ファイル・スキャンは、すべての言語で利用できるわけではありません。
  • JSP ファイルのプリコンパイルを無効にするメカニズムはありません。JSP ファイルは常にプリコンパイルされます。
  • Linux システムでは、スキャンの停止/キャンセルは機能しません。
  • Windows システムでコマンド・ライン・インターフェースを使用するときは、停止/キャンセルが機能しないことがあります。この問題を回避するには、AppScan® ソース を再起動し、バックグラウンド・プロセスを強制終了します。
  • Windows システムから AppScan® ソース バージョン 10.0.0 をアンインストールするときに、アンインストール・プロセスがハングすることがあります。詳しくは、「Windows で AppScan ソース のアンインストールがハングする」を参照してください。
  • AppScan® ソース バージョン 10.0.0 にアップグレードすると、PDF レポートが生成されません。詳細については、「アップグレード・シナリオで PDF レポートの生成時に、AppScan Source 10.0.0 が「java.lang.reflect.InvocationTargetException」をスローする」を参照してください。

AppScan® ソース バージョン 10.0.0 で終了予定の機能

次の機能は AppScan® ソース バージョン 10.0.0 で終了を予定しています。それに従って計画してください。

AppScan® ソース バージョン 10.0.0 でサポートされない機能

  • 脆弱性キャッシュは、サポート対象外となりました。
  • インクリメント・スキャンはサポート外です。
  • 非 CPA スキャンはサポート外です。

  • バージョン 9.0.3.11 以降の AppScan® ソース では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。

    AppScan® ソース の一部のコンポーネントは 32 ビットです。MacOS 10.14 (Mojave) は、32 ビットのアプリケーションをサポートする最新の Mac OS バージョンです。

    10.12 までの Mac オペレーティング・システムでは、AppScan® ソース バージョン 9.0.3.10 以前を引き続き使用できます。