迁移到 AppScan 源 的当前版本
本主题包含了已对 AppScan® 源 的此版本所做更改的迁移信息。如果您是从 AppScan 源 的较低版本进行升级,请确保留意所升级 AppScan 源 版本以及引向此当前版本的所有版本的更改。
从 V9.0.2 迁移
新规则属性可能导致现有扫描中的结果分类更改。
在 9.0.2 版后,引入了 Attribute.Likelihood.High
和 Attribute.Likelihood.Low
规则属性。使用这些属性时,AppScan 源 可更准确地确定结果是确定的和/或可疑的。因此,如果扫描 AppScan 源 V9.0.2 中的源代码,可能发现在 V9.0.2 之后的产品版本中扫描相同源代码时某些结果分类将更改。对于与可高度利用的 web 源或者对于不太可利用的属性或环境源,这一点是最突出的。
缺省情况下,将使用这些规则属性。可禁用这些规则属性,如下所示:
- 在文本编辑器中打开 <data_dir>\config\ipva.ozsettings。(其中 <data_dir> 是 AppScan 源 程序数据的位置,如安装和用户数据文件位置)在文件中定位
allow_likelihood
设置。此设置将与以下类似:
在该设置中,修改<Setting name="allow_likelihood" value="true" default_value="true" description="Allow the processing of the Likelihood attributes to help determine trace confidence based on the source API" display_name="Allow Likelihood" type="bool" />
value
属性。如果属性设置为true
,该设置将打开。如果设置为false
,那么 AppScan 源 将不会在扫描期间使用这些规则属性。 - 在修改该设置后保存文件,并启动或重新启动 AppScan 源。
自动丢失的接收器生成
在 V9.0.2 之后,针对在 getters/setters 和返回布尔值的方法中结束的跟踪引入了自动丢失的接收器解决。这通过自动推断这些应用程序编程接口 (API) 的标记来完成。因此,如果扫描 AppScan 源 V9.0.2 中的源代码,可能注意到在 V9.0.2 之后的产品版本中扫描相同源代码时包含未解析的丢失的接收器的结果中的更改。
缺省情况下,自动标记生成已打开。如果想要使用其他方式的丢失的接收器解决(例如定制规则),可禁用该选项,如下所示:
- 在文本编辑器中打开 <data_dir>\config\ipva.ozsettings。(其中 <data_dir> 是 AppScan 源 程序数据的位置,如安装和用户数据文件位置)在文件中定位
automatic_lost_sink_resolution
设置。此设置将与以下类似:
在该设置中,修改<name="automatic_lost_sink_resolution" value="true" default_value="true" description="This setting tries to perform automatic lost sink resolution by assuming taint propagation for getters, setters and APIs which return boolean with no arguments." display_name="Auto Lost Sink Resolution" type="bool" />
value
属性。如果属性设置为true
,该设置将打开。如果设置为false
,那么 AppScan 源 将不会自动生成这些方法的标记。 - 在修改该设置后保存文件,并启动或重新启动 AppScan 源。
从 V9.0 迁移
AppScanEnterprise Server 认证:关于将 IBM® Rational® Jazz™用户认证组件替换为 IBM WebSphere® Liberty 的迁移注意事项
- 从仅具有本地 Jazz 用户的 Enterprise Server 迁移:在此升级方案中,先前的 Jazz 用户将作为 AppScanEnterprise Server 用户出现在 AppScan 源数据库 中,但他们将无效。可以从 数据库 中删除这些用户,也可以将他们转换为 AppScan 源 用户。有关在 AppScan 源 中启用前 Jazz 用户的信息,请联系 HCL 支持人员。
- 从已配置 LDAP 的 Enterprise Server 迁移:在 Enterprise Server 升级期间,可以选择再次为 Enterprise Server 配置 LDAP。如果执行此操作,那么现有用户在 AppScan 源 中仍将有效。
- 从已配置 Windows™ 认证的 Enterprise Server 迁移:如果 Enterprise Server 已配置 Windows 认证,那么现有用户在 AppScan 源 中将有效,前提是新 Enterprise Server Liberty 配置为使用 Windows 认证。
从 V8.7 迁移
对结果分类的更改
在 V8.7 之后,结果分类已更改。下表列出了旧分类与新分类的映射关系:
AppScan 源 V8.8 之前的发现项分类 | AppScan 源 V8.8 以来的分类 |
---|---|
漏洞 | 确定的安全性结果 |
I 类异常 | 可疑的安全性结果 |
II 类异常 | 扫描覆盖范围发现项 |
在“漏洞矩阵”视图中可以看到这些更改的示例。
在 V8.8 中,该视图看起来如下所示:
将改进扫描覆盖范围的缺省设置更改
在 AppScan 源 V8.8 中:
- scan.ozsettings 中
show_informational_findings
的默认值已从true
更改为false
。 - ipva.ozsettings 中
wafl_globals_tracking
的默认值已从false
更改为true
。此设置使 AppScan 源 能够查找基于框架的应用程序的不同组件之间的数据流(例如,从控制器到视图的数据流)。
缺省情况下,对 show_informational_findings
的更改将致使评估不包含严重性级别为参考的发现项。
复原先前版本的 AppScan 源 预定义过滤器
在 AppScan 源 V8.8 中,预定义过滤器已改进,从而提供更好的扫描结果。如果您需要继续使用较低版本的 AppScan 源 的预定义过滤器(已归档过滤器在 AppScan 源 预定义过滤器(V8.7.x 和更低版本)中列出),请按照复原已归档的预定义过滤器中的指示信息操作。