HCL AppScan 源 版本 10.0.2 自述文件和发行 Notes

2020 年 9 月

请在安装产品或其任何组件之前仔细阅读整个文档。

此文档列出了有关 AppScan® 源 的重要问题和主题。

AppScan 源 许可

AppScan 源 提供 License Manager 实用程序,用于在客户机上装入和更新许可证信息。通过此实用程序,可以查看当前许可证状态,或者可以使用该实用程序激活产品,方法是导入节点锁定许可证文件或使用许可证服务器上的浮动许可证。节点锁定许可证与个别机器绑定,而浮动许可证则可检出以在不同客户机上使用。

可以在安装完成后从产品安装向导打开 License Manager 实用程序,也可以从 Windows™“开始”菜单将其启动。

AppScan 源 许可证是从 Rational® License Key Center 获取的。有关获取许可证和激活许可证的详细信息,请参阅如何取得及应用 AppScan Source 的权限以及帮助系统中的 激活软件 许可证。

重要提示:Windows 的新安装文件名

在先前发行版中,Windows 安装文件名为 setup.exe。现在的安装文件名为 AppScanSrc_Installer.exe

AppScan 源 V9.0.3.4 和更高版本发布到 AppScanEnterprise Server 时的更改

升级到 AppScan 源 V9.0.3.4 时,将注意到以下更改:

  • 在将评估发布到 AppScan 企业控制台 时,现在必须将评估与 AppScan Enterprise 中的应用程序关联(如果您正在运行 AppScanEnterprise Server V9.0.3 和更高版本)。因此,如果自动化脚本不包含应用程序关联,那么它们可能失败。在 AppScanEnterprise Server 中,如果想要利用 AppScanEnterprise Server 应用程序安全性风险管理功能,那么需要应用程序关联。请参阅http://help.hcltechsw.com/appscan/Enterprise/10.0.0/topics/c_overview.html
  • 此外,您必须从 AppScan Enterprise URL 中删除端口。
    1. AppScan Source for Analysis中,单击编辑 > 首选项
    2. AppScan Enterprise 控制台设置中,从 Enterprise Console URL 字段中删除端口。
  • 发布评估之后,它仅可在AppScan Enterprise “监视器”视图中可用(在先前发行版中,评估可在 AppScan Enterprise“扫描”视图中可用)。http://help.hcltechsw.com/appscan/Enterprise/10.0.0/topics/t_workflow_for_applications.html中描述了如何迁移到该视图。

这是使用通用访问卡 (CAC) 认证时 AppScan 源 与发布到 AppScanEnterprise Server 所需的 AppScanEnterprise Server 之间的已更改通信协议的结果。

如果不想在启用了 CAC 认证时将评估发布到 AppScanEnterprise Server,或者如果不想利用 Enterprise Server 应用程序安全性风险管理功能,可还原至先前的通信协议,如下所示:

  1. 打开 <data_dir>\config\ounce.ozsettings(其中 <data_dir>AppScan 源 程序数据的位置,如安装和用户数据文件位置)。
  2. 在此文件中,找到以下设置:
    <Setting 
		name="force_ase902_assessment_publish"
		value="false"
		default_value="false"
		description="Use ASE 9.0.2-style assessment publish"
		display_name="Use ASE 9.0.2-style assessment publish"
		type="boolean"
		read_only="true"
		hidden="true"
/>
  3. 在此设置中,将 value="false" 更改为 value="true",然后保存文件。
  4. 重新启动将从其中发布评估的 AppScan 源 产品。

当将此设置项设置为 value="true" 时:

  • 如果在发布时将评估与 AppScan Enterprise 中的应用程序关联,那么评估将在“监视器”和“扫描”视图中可用。
  • 如果在发布时不将评估与应用程序关联,评估将在“扫描”视图中可用。
  • 启用 CAC 认证后您将无法将评估发布到 AppScanEnterprise Server

有关详细信息,请参阅从 AppScan Source V9.0.3.4 以及更高版本发布到 AppScan Enterprise 需要使用应用程序

AppScan 源 V9.0.3.7 和更高版本发布到 AppScan Enterprise 时的更改

要从 AppScan 源 V9.0.3.7 发布到 AppScan Enterprise,必须先升级到 AppScan Enterprise V9.0.3.7,否则发布将失败,并显示消息 CRWSA1653E Error: Scanner AppScan Source has not been configured on the server

要解决该问题,请参阅从 AppScan 源 V9.0.3.7 或更高版本发布到 AppScan Enterprise V9.0.3.6 或更早版本。当 AppScan Enterprise 升级到 V9.0.3.7 后,撤消此更改。

有关向 AppScan Enterprise 执行发布的更多信息,请参阅将评估发布到 AppScan Enterprise Console

重要信息:安装 AppScan 源 V9.0.3.3 或更高版本之后,必须重新创建包含 AppScan Source for Automation 的定制安装文件

在 2016 年的 8 月,IBM Fix Central 上开始为 AppScan 源 V9.0.3.3 提供这些修订:

  • AppScanSource-9.0.3.3-Windows-PSIRT7-iFix
  • AppScanSource-9.0.3.3-MacOSX-PSIRT7-iFix
  • AppScanSource-9.0.3.3-Linux-PSIRT7-iFix

这些 PSIRT7 更新提供的修订需要您重新创建现有 AppScan 源 定制或客户机安装属性文件 - 仅当这些安装文件用于安装 AppScan Source for Automation 时。如果具有不包含 AppScan Source for Automation 安装的现有定制或客户机安装属性文件,那么该更改不会对您产生影响。

如果您已影响了 AppScan 源 通过低于上述修订版本 (PSIRT7) 的 AppScan 源 创建的定制或客户机安装属性文件,那么需要在安装 PSIRT7 修订或后续修订之后再次创建这些文件。一旦重新创建定制安装文件,在应用未来的更新之后就不再需要再次执行该操作。

示例:

  • 如果具有通过 AppScan 源 V9.0.3.3 或更低版本创建的定制或安装文件,将需要在安装上述修订以及上述修订之后发布的任何 AppScan 源 修订版本之后重新创建这些文件。
  • 如果具有通过 AppScan 源 V9.0.3.3 PSIRT7 或更高版本创建的定制或安装文件,那么应该未来的更新时无需重新创建这些文件。
  • 如果具有通过 AppScan 源 V9.0.3.4 或更高版本创建的定制或安装文件,那么应该未来的更新时无需重新创建这些文件。

如果尝试使用过期的静默或定制安装文件,那么 AppScan Source for Automation 的安装将显示为成功,但 HCL® AppScan Source for Automation 服务将无法启动。

要了解您安装的是哪个版本的 AppScan 源,请找到 AppScan 源 数据目录(详见安装和用户数据文件位置),并打开 config/install.propertiesconfig\install.properties。在该文件中,找到 install.versioninstall.build 属性。对于 PSIRT7,这些值是 install.version=9.0.3.3install.build=177

AppScan Source for Analysis 产品文档

使用 AppScan Source for Analysis 中的帮助 > 帮助内容菜单项时,将会打开 AppScan 源HCL 软件产品文档中的在线帮助。类似地,当您从 AppScan Source for Analysis“欢迎”视图访问链接时,它们将在 HCL 软件产品文档中打开

AppScan Source for Analysis 还提供了许多视图、首选项页面和对话框的上下文相关帮助。上下文相关帮助的键盘快捷键在 Windows 上为 F1,在 Linux 上为 Shift+F1,在 macOS 上为 command+F1。此上下文相关帮助也会在 AppScan 源HCL 软件产品文档中打开。

如果要在没有因特网连接的情况下使用产品,帮助可在本地使用,方法如下:

  • HCL AppScan 源 自述文件和发行说明在位于 AppScan 源 安装目录中的 readme.html 文件中。
  • 某些 AppScan Source for Analysis 功能的 Javadoc 位于 AppScan 源 安装目录的 doc/Javadocdoc\Javadoc 目录中。从 V9.0.3.4 开始,这些功能的 Javadoc 可用:
    • 应用程序服务器导入框架 API 类和方法的 Javadoc 在 doc/Javadoc/appserverimporterdoc\Javadoc\appserverimporter 中提供。
    • 框架 API 类和方法的框架的 Javadoc 在 doc/Javadoc/frameworksdoc\Javadoc\frameworks 中提供。

    在这些文件夹中,打开 index.html 文件。

常规

停止扫描不再可用

AppScan 源 不再允许您中断扫描和返回当前结果。必须完成此扫描才能看到结果。

升级 AppScan 源 后,已排除的捆绑软件中的结果可能出现在扫描结果中。

升级 AppScan 源 之后,某些结果的属性可能会发生改变,这可能会导致此已知限制。

AppScan 源 V9.0.3.7 或更高版本发布到 AppScan Enterprise V9.0.3.6 或更早版本

AppScan 源 将评估发布到 AppScan Enterprise 时,将显示错误数量的问题,并且问题始终显示为确定问题。为了在 AppScan 源 已更新到 V9.0.3.7 但 AppScan Enterprise 仍为 V9.0.3.6 或更早版本的情况下发布到 AppScan Enterprise,在 <data_dir>\config\ounce.ozsettings 中有一个新配置设置,其中的 <data_dir>AppScan 源 程序数据的位置,如安装和用户数据文件位置中所述。将 allow_publish_to_old_ase设置为 true
<Setting
                 name="allow_publish_to_old_ase"
                 value="false"
                 default_value="false"
                 description="Use this setting when Source for Analysis is at 9.0.3.7 level but ASE is still at older version."
                 display_name="Publishing from AppScan Source 9.0.3.7 to older version of ASE. "
                 type="boolean"
                 read_only="true"
                 hidden="true"
        />

通过将 allow_publish_to_old_ase 配置值设置为 true,允许从 AppScan 源 V9.0.3.7 发布到 AppScan Enterprise V9.0.3.4 至 9.0.3.6。

Note: 在将 AppScan Enterprise 升级到 V9.0.3.7 后撤消此更改。
Note: 如果用户希望发布到 V9.0.3.4 之前的 AppScan Enterprise(如从 AppScan 源 V9.0.3.4 和更高版本发布到 AppScanEnterprise Server 时的更改中所述),则使用配置设置 force_ase902_assessment_publish 仍然适用,但不能与上述新配置开关结合使用。

对于 AppScan 源 V8.5 和更高版本,比较由不同版本的 AppScan 源 生成的评估时存在已知限制

使用区别评估操作来比较由不同 AppScan 源 版本生成的两个评估时,某些发现项可能作为已修正/缺少项目出现,即使它们匹配也是如此。升级 AppScan 源 之后,某些结果的属性可能会发生改变,这可能会导致此已知限制。

该限制仅在 AppScan 源 V8.5 和更高版本中存在。

比较使用不同 iOS SDK 版本生成的评估

如果使用某个 iOS SDK 版本生成评估然后使用 AppScan Source for Analysis 将其与使用不同 iOS SDK 版本生成相同代码的评估进行比较,那么评估中的相同结果将显示为不同。这些 iOS SDK 版本中内部差异导致的结果。

Tomcat 7 与低于 Java™ V1.6 的 JDK 配合使用时出现编译错误

JSP 项目的缺省编译器是 Tomcat 7,后者需要 Java V1.6 或更高版本。如果 Tomcat 7 保留为缺省值,那么选择更低版本的 JDK 将导致编译错误,例如,在以下扫描期间:

bad class file: <AppScan Source>\tc70\servlet-api.jar(javax/servlet/ServletContext.class)
class file has wrong version 50.0, should be 49.0

要解决这些编译错误,确保您使用 JDK 1.6 或更高版本,或者选择其他版本的 Tomcat JSP 编译器。

IPv6 限制

AppScan 源 支持因特网协议 V6 (IPv6),但有以下例外:

  • 不支持输入 IPv6 数字地址,必须输入主机名。支持输入 IPv4 数字地址。
  • 连接到 Rational Team Concert™ 时不支持 IPv6。

当 Eclipse 工作空间的扫描因缺少类或库而失败时,请使用预编译的类

如果成功导入 Eclipse 工作空间但发现扫描因缺少类或库而失败,建议您使用通过预编译类扫描的选项。要完成该操作,请在属性文件中选择该选项,并浏览至 Eclipse 项目的 bin 目录。

弃用进程 VM 限制 (per_proc_VM_limit) 设置

AppScan 源 V8.7 开始,不推荐使用此设置。“扫描配置”视图中不再提供此设置,并且在 <data_dir>\config\memory.ozsettings 中标记为“不推荐”。

LDAP 用户帐户向 AppScan 源 V8.5 或更高版本的迁移

如果要将 Rational AppScan Source Edition for Core 升级到 AppScan 源 V8.5 或更高版本,那么 LDAP 认证的用户将迁移到 AppScan Source 用户资源库中非 LDAP 认证的用户账户。这些用户帐户将具有空的密码。强烈建议尽快向这些用户帐户提供密码。

“土耳其语”语言环境不支持静默安装。

在任何“土耳其语”语言环境(如 trtr_TR)中运行时创建定制静默安装的操作都将失败。

Oracle 数据库必须使用 UTF-8 字符集

如果将 AppScanEnterprise Server 连接到 Oracle 数据库,那么创建数据库时必须将字符集设置为 UTF-8(通常,这不是缺省字符集)。

JavaScript™ 跟踪支持仅可用于 .js.html 文件

可扫描其他 JavaScript 文件类型,但是仅提供 .js.html 文件的跟踪信息。

JSP 文件中的行号

.jsp 文件生成的 .java 文件的行号会随 JSP 文件名显示。

Ounce/Maven

ounce:report mojo 对现有评估 XML 文件无效,而仅适用于新扫描。

AppScan Source for Analysis

在不结束所有 AppScan 源 java 进程的情况下升级 AppScan 源 可能导致“补救助手”视图失败

如果当 AppScan 源 java 进程仍在运行时执行产品升级,“补救助手”视图可能显示与升级后的错误类似的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件)AppScan Source for Development(Visual Studio 插件) 组件的 AppScan 源 安装之前,确保没有 AppScan 源 java 进程正在运行。

Linux™ 上的 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件) 必备组件

在 Linux 上,Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件,那么 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件) 可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。请参阅HCL AppScan 源 安装和管理指南以了解如何为这些产品启用基于浏览器的内容。

Red Hat Enterprise Linux V6 可能需要 libstdc++.so.5 GCC 库

如果需要安装 Mozilla XULRunner 来为 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件) 启用 Linux 上的基于浏览器的内容(如产品文档中所述),那么需要 libstdc++.so.5。在许多情况下,该库已在机器上。如果不在机器上,那么您将收到一条错误消息,其中包含类似以下内容的文本:

libstdc++.so.5: cannot open shared object file: No such file or directory.

对于 libstdc++.so.5:如果您是 Red Hat 网络的成员并且具有 up2date,请以 root 用户身份运行此命令来安装 libstdc++.so.5

up2date --install compat-libstdc++-33

如果您不是 Red Hat 网络的成员或者不具有 up2date,那么将需要从 RPM 归档站点获取 compat-libstdc++ 的副本或者从其他来源获取 libstdc++.so.5。将其安装并放置在 LD_LIBRARY_PATH 上后,您将能够运行 AppScan 源 二进制安装文件。

Linux 上 AppScan Source for Analysis 的间断关闭

要防止意外关闭,请升级 Pango。Pango 升级可能需要升级 glib。

切换本地语言时可能进行高速缓存

通过切换首选项中的本地语言并重新启动工作台可以其他语言显示 AppScan Source for Analysis 用户界面。对字符串进行高速缓存并以先前使用的语言进行显示是 Eclipse 的常见行为,AppScan Source for Analysis 即受到此行为的影响。如果切换显示的本地语言并重新启动工作台,那么激活高速缓存的字符串所描述的用户界面元素时,将刷新该字符串(例如,如果按钮标签已进行了高速缓存,那么单击此按钮会将字符串刷新为新的语言)。

不支持 AppScan Source for Analysis 安装路径中的多字节字符

如果安装路径包含多字节字符,那么安装期间 AppScan Source for Analysis 的所有版本都将失败,并出现目录无效错误。

Linux - 在安装期间将 AppScan 源 守护程序配置为以非“ounce”用户身份运行后,启动 AppScan Source for Analysis 时出错

通过 AppScan Source for Analysis 安装程序,可以将 AppScan 源 守护程序进程配置为以名为“ounce”的缺省用户省份或以现有用户身份运行。

变通方法:如果不选择缺省用户,那么必须在 AppScan 源 安装目录(例如 /opt/ibm/appscansource)中创建包含以下行的 eclipse.ini 文件:

-configuration @user.home/.ounceconfig

以非管理用户身份除去 AppScan Source for Analysis

Windows 上的 AppScan Source for Analysis 需要管理员权限才能创建“添加或删除程序”条目。如果以非管理员用户身份安装 AppScan Source for Analysis,请删除 AppScan Source for Analysis,转到 <install_dir>\Uninstall_AppScan 并运行 AppScan_Uninstaller.exe(其中 <install_dir>AppScan 源 的安装位置

要创建 PDF 报告,可能需要为某些非英语语言安装系统字体

对于以下非英语语言,可能需要安装指定的字体才能创建 PDF 报告:

  • 日语:MS Gothic 或 VL Gothic
  • 韩语:Gulim
  • 简体中文:SimSun-18030 或 MingLiU
  • 繁体中文:SimSun-18030 或 MingLiU

修改定制规则和插件使用

如果您在 AppScan Source for Analysis 中创建定制的规则,并且已登录到 AppScan Source for Development 插件,那么必需重新启动 IDE 才能看到更改。

不再支持“评估摘要”视图的图标样式选择

在“评估摘要”视图中,您可以不再选择显示图表样式。仅条形图的图标样式是可用的。

将缺陷从非英语的机器上提交至 ClearQuest® 可能失败

如果您的 Rational ClearQuest 服务器的配置代码页不支持运行 AppScan 源 的语言环境中的字符,那么将缺陷提交至 Rational ClearQuest 可能失败,并带有与代码页相关的错误消息。

在 Linux 上需要密码来将发现项目提交到 Rational ClearQuest

将发现项目提交到 Rational ClearQuest 时,如果密码为空白,那么无法登录到 Rational ClearQuest

变通方法:使用 Rational ClearQuest User Administration 工具将密码更改为等于或大于一个字符。

在 Linux 上通过 IBM® WebSphere® Application Server 扫描 JSP 项目

缺省情况下,在 Linux 机器上,WebSphere Application Server JSP 编译器仅可供管理员 (root) 用户使用。要作为非 root 用户来运行 WebSphere Application Server JSP 编译器,您的管理员需要根据 IBM Knowledge Center 中的指示信息为您创建一个额外的 WebSphere Application Server 概要文件:

在创建概要文件时,管理员将需要知道登录用户标识。然后,管理员将需要为您提供新概要文件名称以及该概要文件的路径(例如,/opt/IBM/WebSphere7/AppServer/profiles/profile01 中的 profile01)。

在已创建概要文件后,您将需要通过遵循以下指导来定制 AppScan 源 所使用的 WebSphere JSP 编译器命令行:

  1. 启动 AppScan Source for Analysis
  2. 从主菜单中选择编辑 > 首选项
  3. 在“首选项”对话框中,选择应用程序服务器 > WebSphere 6.1应用程序服务器 > WebSphere 7.0,具体取决于您正在运行的 WebSphere Application Server 的版本。
  4. 在“WebSphere Application Server 安装目录”字段中,输入或浏览安装了应用程序服务器的本地目录。
  5. 选中启用高级配置选项复选框。
  6. WebSphere JSP 编译器命令行字段中编辑条目:
    • %JSP_COMPILER_INSTALL_DIR%/bin 替换为 <path_to_profile_directory>/bin,其中 <path_to_profile_directory> 是管理员提供的到新配置文件的路径。例如,将 %JSP_COMPILER_INSTALL_DIR%/bin 替换为 /opt/IBM/WebSphere7/AppServer/profiles/profile01/bin
    • -response.file 条目前插入 -profileName <new_profile>(其中 <new_profile> 是新概要文件名称,由您的管理员提供)。

    例如,如果原始条目如下所示:

    %CMD_EXE% %CMD_ARGS% '%FILE(%%JSP_COMPILER_INSTALL_DIR%/bin/JspBatchCompiler%BAT%%)%'
-response.file ...

    应将其更改为如下所示:

    %CMD_EXE% %CMD_ARGS% 
'%FILE(%/opt/IBM/WebSphere7/AppServer/profiles/profile01/bin/JspBatchCompiler%BAT%%)%'
-profileName profile01 -response.file ...
  7. 单击确定以将更改保存到首选项。

AppScan Source for Development(Eclipse 插件)

在不结束所有 AppScan 源 java 进程的情况下升级 AppScan 源 可能导致“补救助手”视图失败

如果当 AppScan 源 java 进程仍在运行时执行产品升级,“补救助手”视图可能显示与升级后的错误类似的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件)AppScan Source for Development(Visual Studio 插件) 组件的 AppScan 源 安装之前,确保没有 AppScan 源 java 进程正在运行。

AppScan Source for Development 应用于 Eclipse 之后,重新启动初始 Eclipse 后将不会提示您选择工作空间

AppScan Source for Development 应用于 Eclipse 之后,会提示您重新启动工作台。重新启动之后,会提示您选择工作空间。但是,当您再次重新启动 Eclipse(或将其关闭然后启动),却不会提示您选择工作空间。

该问题与 https://bugs.eclipse.org/bugs/show_bug.cgi?id=409552 相关。

可使用以下某种方法来变通解决该问题:

  • 启动 Eclipse 时使用 -clean 选项。
  • 退出 Eclipse,然后在 Eclipse 安装目录中,再次启动 Eclipse 之前删除 configuration\org.eclipse.osgi\.manager 目录。

如果该问题没有解决,可通过使用文件 > 切换工作空间操作来确保使用的是正确的工作空间。

尝试运行 AppScan Source for Development(Eclipse 插件) 将导致 Unable to link native library shared-win32-x64.dll 错误

AppScan Source for Development(Eclipse 插件) 中尝试运行某些操作(例如,启动扫描或启动需要登录的操作)可能导致该错误消息(或类似于此的消息):

Unable to link native library shared-win32-x64.dll. 
You may need to install an appropriate Microsoft Visual C++ 
2010 Redistributable Package for your system.

在 64 位 Java 运行时环境中运行时,这通常指示 64 位 Microsoft™ Visual C++ 运行时库不可用。要解决此问题,请安装 Microsoft Visual C++ 2010 Redistributable Package,该程序包可在 http://www.microsoft.com/en-ca/download/details.aspx?id=14632 获取。

安装 AppScan Source for Development Eclipse 插件 不再包含安装插件的必备软件的选项

在 V9.0 中,安装 Eclipse 插件的必备软件(图形编辑框架 (GEF) 和 Draw2d)的选项不再可用。AppScan Source for Development 支持的大多数 Eclipse 版本都包含这些功能部件。如果您的版本不包含这些功能部件,请在安装 AppScan Source for Development Eclipse 插件 之前,使用相应的 eclipse.org 更新站点将它们安装到 Eclipse 环境中。

升级 AppScan Source for Development(Eclipse 插件)

建议在升级到 AppScan Source for DevelopmentAppScan 源 的更新版本之前,先从 Eclipse IDE 卸载 AppScan Source for Development

Linux 上的 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件) 必备组件

在 Linux 上,Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件,那么 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件) 可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。请参阅HCL AppScan 源 安装和管理指南以了解如何为这些产品启用基于浏览器的内容。

Red Hat Enterprise Linux V6 可能需要 libstdc++.so.5 GCC 库

如果需要安装 Mozilla XULRunner 来为 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件) 启用 Linux 上的基于浏览器的内容(如产品文档中所述),那么需要 libstdc++.so.5。在许多情况下,该库已在机器上。如果不在机器上,那么您将收到一条错误消息,其中包含类似以下内容的文本:

libstdc++.so.5: cannot open shared object file: No such file or directory.

对于 libstdc++.so.5:如果您是 Red Hat 网络的成员并且具有 up2date,请以 root 用户身份运行此命令来安装 libstdc++.so.5

up2date --install compat-libstdc++-33

如果您不是 Red Hat 网络的成员或者不具有 up2date,那么将需要从 RPM 归档站点获取 compat-libstdc++ 的副本或者从其他来源获取 libstdc++.so.5。将其安装并放置在 LD_LIBRARY_PATH 上后,您将能够运行 AppScan 源 二进制安装文件。

AppScan Source for Development 用于 Eclipse 和基于 Eclipse 产品的插件:针对 AppScan 源 安装目录的多个提示

首次使用 AppScan Source for Development Plug-in for Eclipse 和基于 Eclipse 的产品时,会出现对话框来提示您指定 AppScan 源 安装目录的路径。如果指定安装目录并单击确定,但是之后再次收到同一对话框,请单击取消,重新启动工作台,然后继续进行正常产品使用。如果在收到多个针对安装目录的提示时重新启动工作台失败,可能会导致扫描失败。

AppScan Source for Development 中的共享/全局过滤器没有一致地显示。

AppScan Source for Development 中的过滤模型可使您打开已保存的资产并执行过滤操作,而无需登录 AppScanEnterprise Server 和向其进行认证。由于共享过滤器存储在 AppScan 源数据库 中(需要登录和认证才能访问),如果您尚未将当前插件会话登录到 AppScan 源,那么共享过滤器在插件中不可用。

变通方法:在访问插件中的过滤模块之前执行扫描(或要求登录的任何其他操作)。一旦登录,共享过滤器就将可用。

Important: 在 Developer 插件中打开“编辑过滤器”视图时,将装入过滤器。如果此视图已打开,那么登录后并不会使用共享过滤器来更新该视图。变通方法是关闭该视图,重新启动插件,登录到 AppScan 源,然后重新打开“编辑过滤器”视图。

配置 Eclipse 或 Rational Application Developer for WebSphere Software (RAD) 环境

AppScan 源 支持从外部 Eclipse 环境导入项目(请参见 配置应用程序和项目)。导入 Eclipse 或 RAD 项目之前,可能需要在 AppScan Source for Analysis 首选项中为其创建 Eclipse 导入器配置,并将 AppScan Source for Development 插件安装到环境中。

修改定制规则和插件使用

如果您在 AppScan Source for Analysis 中创建定制的规则,并且已登录到 AppScan Source for Development 插件,那么必需重新启动 IDE 才能看到更改。

不再支持“评估摘要”视图的图标样式选择

在“评估摘要”视图中,您可以不再选择显示图表样式。仅条形图的图标样式是可用的。

AppScan Source for Development(Visual Studio 插件)

在不结束所有 AppScan 源 java 进程的情况下升级 AppScan 源 可能导致“补救助手”视图失败

如果当 AppScan 源 java 进程仍在运行时执行产品升级,“补救助手”视图可能显示与升级后的错误类似的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件)AppScan Source for Development(Visual Studio 插件) 组件的 AppScan 源 安装之前,确保没有 AppScan 源 java 进程正在运行。

复制大型评估中的大量结果时发生延迟

当您在包含大量结果的评估中选择多个并复制多个结果时,在复制操作被添加到剪贴板之前可能遇到几秒钟的延迟。请确保在尝试粘贴所复制内容之前复制操作已完成。

扫描在未安装的 Microsoft Visual Studio 版本中创建的解决方案文件。

如果尝试扫描在系统上未安装的 Visual Studio 版本中创建的解决方案文件,AppScan 源 将尝试在系统上查找 Visual Studio 的兼容版本并将其用于扫描。

Microsoft Visual Studio 中的 AppScan 源“关于”对话框被截断

使用特定的国家语言时,AppScan Source for Development(Visual Studio 插件) 的“关于”对话框显示为被截断。要解决该问题,请调整屏幕分辨率和/或字体大小,以获取最好的显示效果。

AppScan Source for Development 安装到 Visual Studio 2012 时出现兼容性错误

如果安装 AppScan Source for Development for Visual Studio 92 收到了表示已知兼容性问题的错误,这是一个已知的 Microsoft 问题,在 http://support.microsoft.com/kb/2781514 中进行了概述。此问题在 AppScan 源 安装期间发生。要解决此问题:

  1. 通过单击取消关闭错误消息,然后允许 AppScan 源 完成安装(如果您多次接收到错误消息,请每次都单击取消)。
  2. 安装 http://support.microsoft.com/kb/2781514 中列出的更新。
  3. 再次启动 AppScan 源 安装程序。此安装程序将自动以修复方式启动。
  4. Visual Studio 2012 安装选项将已选定并灰显。请使用缺省选择来继续完成安装面板(在每个面板中均单击下一步)。
  5. 通过单击完成来完成安装。
  6. 安装完成时,AppScan Source for Development(Visual Studio 插件)将准备好供使用。

在 Windows 7 上使用 AppScan Source for Development(Visual Studio 插件) 时,可多次修改结果。

这是 64 位Microsoft Windows Windows 7 上的已知问题,会在 AppScan Source for Development 插件应用到 Microsoft Visual Studio 的多数版本时对该插件产生影响。一般可对发现项目进行一次或两次修改。然而,多次修改后,发现项目的某些方面将不能刷新。这包括修改严重性、设置漏洞类型和对发现项目进行注释。

AppScan Source for Development 中的共享/全局过滤器没有一致地显示。

AppScan Source for Development 中的过滤模型可使您打开已保存的资产并执行过滤操作,而无需登录 AppScanEnterprise Server 和向其进行认证。由于共享过滤器存储在 AppScan 源数据库 中(需要登录和认证才能访问),如果您尚未将当前插件会话登录到 AppScan 源,那么共享过滤器在插件中不可用。

变通方法:在访问插件中的过滤模块之前执行扫描(或要求登录的任何其他操作)。一旦登录,共享过滤器就将可用。

Important: 在 Developer 插件中打开“编辑过滤器”视图时,将装入过滤器。如果此视图已打开,那么登录后并不会使用共享过滤器来更新该视图。变通方法是关闭该视图,重新启动插件,登录到 AppScan 源,然后重新打开“编辑过滤器”视图。

不再支持“评估摘要”视图的图标样式选择

在“评估摘要”视图中,您可以不再选择显示图表样式。仅条形图的图标样式是可用的。

AppScan Source 命令行界面 (CLI)

从命令行接口发布到 AppScan Enterprise

已报告成功从命令行界面发布到 AppScan Enterprise,但 AppScan Enterprise 中不存在问题。要解决该问题,请执行以下某个步骤:
  1. AppScan Source for Analysis 中打开评估并从中进行发布。
  2. 使用 AppScan Enterprise V9.0.3.7 Web 界面中的新 AppScan 源 扫描仪导入 .ozasmt
  3. 要实现自动化,请使用 REST API 进行发布。

发出 publishassessasepase 命令会导致 HttpAuthenticator 警告

如果要使用 CLI 来发布到仅启用了 Windows 认证的 AppScan 企业控制台,那么在发出 publishassessasepase 命令时可能会看到类似于以下内容的警告:

WARN [main] (HttpAuthenticator.java:207) - NEGOTIATE authentication error: org.ietf.jgss.GSSException, major code: 2, minor code: 0
  major string: Unsupported mechanism
  minor string: No factory available to create name for mechanism x.x.x.x.x.x.x
Assessment successfully published to: https://<ase_hostname>/ase

这些警告将不会影响评估的发布并可被忽略。

Microsoft Windows

扫描 Windows C/C++ 应用程序

Windows C/C++ 应用程序现已以 64 位方式扫描。

非 64 位安全 C/C++ 应用程序可能会遇到扫描错误。

卸载 Windows 上的 AppScan 源 挂起

在 Windows 系统上安装 AppScan Source v10.0.0 服务器和客户机功能集后,如果进程尝试删除 <InstallDir>\engine 中的 JRE 文件,请卸载挂起。

发生此情况时,请手动终止进程并完成卸载。

要终止并完成卸载进程,请执行以下操作:

  1. 首先单击右上角的“x”,尝试手动关闭安装程序对话框。
  2. 如果手动关闭此对话框失败:
    1. 打开 Windows 任务管理器。
    2. 详细信息选项卡上,找到 AppScanSrc_Uninstaller.exe 进程。
    3. 右键单击该进程并选择终止任务
  3. 从 Windows Explorer 中,删除安装目录。缺省安装目录为 C:\Program files(x86)\ibm\appscansource
  4. 删除数据目录。缺省数据目录为 C:\Programdata\ibm\appscansource
Note: 仅卸载 AppScan Source v10.0.0 的客户机安装,不会导致挂起。

AppScan 源 安装被 Windows Defender 中断

在旧版 Windows 中安装AppScan Source时, Windows Defender 可能会中断安装进程并弹出警告框。单击弹出框继续安装。有关其他信息,请参阅https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-smartscreen/windows-defender-smartscreen-overview

在不结束所有 AppScan 源 java 进程的情况下升级 AppScan 源 可能导致“补救助手”视图失败

如果当 AppScan 源 java 进程仍在运行时执行产品升级,“补救助手”视图可能显示与升级后的错误类似的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件)AppScan Source for Development(Visual Studio 插件) 组件的 AppScan 源 安装之前,确保没有 AppScan 源 java 进程正在运行。

AppScan 源 配置文件包含特殊字符时出错

在 Windows 上,配置文件(.ppf.paf.osc)的文件中的某些特殊字符(例如 Ç, à, ∾, ¥, §, Æ)可能会导致错误。

发布到由 Windows 2008 上托管的 AppScanEnterprise Server 失败,显示 401 拒绝认证错误。

使用基于 Windows 2008 和 Internet Information Services (IIS) 的系统,且仅支持 Windows 认证的情况下,尝试测试连接或发布到 AppScanEnterprise Server 时将失败。还将禁用基本认证和匿名认证。

这是由 http://technet.microsoft.com/en-us/library/cc757582(v=ws.10).aspx 中描述的 Windows 设置导致的。

要解决此问题,请执行以下操作:

  1. 打开本地安全策略 applet,然后选择本地策略 > 安全选项 > 网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值项设置为禁用
  2. 设置网络安全: 不要在下次更改密码时存储 LAN Manager 的哈希值项设置为禁用
  3. 重新启动服务器。
  4. 重置您的密码。

有关以上正确操作的信息可以在以下网址中找到:http://social.technet.microsoft.com/Forums/en/exchangesvrdevelopment/thread/bf62848a-5ce8-49cb-b9f3-d7267dfbd53d

此变通方法假设 Windows 认证已配置(请参阅 http://technet.microsoft.com/en-us/library/cc757582(v=ws.10).aspx 了解更多信息)。

不支持库 idprogid 格式的 #import

Microsoft Visual C++ #import 前处理器指令具有多种形式。 AppScan 源 不支持两个使用库 idprogid 的窗体。包含这些格式的文件将不进行扫描,并且在控制台中会出现错误消息。

引用的组合件必须与正在扫描的组合件位于同一目录,或者注册在全局组合件高速缓存 (GAC) 中

仅当所有引用的或从属的组合件与正在扫描或组合件位于同一文件夹中,或者注册在 GAC 中时,AppScan 源 才能生成对 .NET 应用程序的完整扫描。如果组合件引用磁盘上其他位置的组合件中定义的类型,那么您可能会看到如下的错误:

Skipping file <assembly_name> due to error: Failed (0x80004005) in <type> call
     Referenced assembly <referenced assembly name> was not found.

要修正这些错误,请将引用的组合件复制到与正在扫描的组合件相同的目录,或者将其注册到 GAC 中。

Visual Basic 6 扫描必需完整函数声明

#if#else if#end if 必须包含函数的完整声明。例如:

#If NATIVEBINDING Then
Public Function TemplateFromRule(ByVal Rule As OrgMan.Rule) As AcDir.Template
          	Dim oOp As OrgMan.Operation
#Else
Public Function TemplateFromRule(ByVal Rule As Object) As AcDir.Template
          	Dim oOp As Object
#End If
          	If Rule Is Nothing Then Exit Function
          	oOp = Rule.Operation
          	If oOp Is Nothing Then Exit Function
          	TemplateFromRule = BuildTemplate(oOp.Command, Rule.Field, Rule.Value)
End Function

非英语语言环境中的对话框和消息截断

AppScan 源 中,即使典型的 Microsoft Windows 控件指示其不具备调整大小的能力,某些对话框和消息的大小仍然可以调整。如果在非英语语言环境中运行 AppScan 源 产品图形用户界面,而且对话框和消息包含截断的字符串,您可以调整对话框或消息的大小,以阅读对话框或消息的全部内容。

AppScan Source for Development(Visual Studio 插件) 限制

适用于 AppScan Source for Development(Visual Studio 插件) 的任何限制也特定于 Windows。请参阅 AppScan Source for Development(Visual Studio 插件)

Linux

节点锁定许可证和 Red Hat Enterprise Linux 7.4

IBM 源节点锁定许可证可能无法正确使用 Red Hat Enterprise Linux 7.4。移动到 HCL 源节点锁定许可证。请联系 HCL 支持人员以获取其他信息。

在 Red Hat Enterprise Linux 7.x 上卸载 AppScan Source

在 Red Hat Enterprise Linux 7.x 上,必须在卸载 AppScan Source V9.0.3.x 后重新启动系统,才能停止运行所有 AppScan Source 进程。

在不结束所有 AppScan 源 java 进程的情况下升级 AppScan 源 可能导致“补救助手”视图失败

如果当 AppScan 源 java 进程仍在运行时执行产品升级,“补救助手”视图可能显示与升级后的错误类似的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件)AppScan Source for Development(Visual Studio 插件) 组件的 AppScan 源 安装之前,确保没有 AppScan 源 java 进程正在运行。

IBM Rational Application Development and Remediation Assistance 视图

当运行 RHEL 7.3 或更高版本和 IBM Rational Application Developer 9.5 或更高版本时,查看 Remediation Assistance 是否首先正确安装 webkitgtk-2.4.9-el7.x86_64.rpm

有关 IBM RAD 的其他信息,请参阅:

Linux “修复帮助”视图的 Mozilla 需求

Linux 上的“修复帮助”视图需要针对 GTK2 或更高版本来链接的 Mozilla。

安装针对 GTK2 或更高版本链接的 Mozilla。获取 Mozilla 后,将其解压缩,然后添加指向它的环境变量 MOZILLA_FIVE_HOME。例如,如果将存档解压到 /usr/local 并使用 bash shell,请将 export MOZILLA_FIVE_HOME=/usr/local/mozilla 添加到 ~/.bashrc

SELinux 防止安装、产品激活和运行

Security Enhanced Linux (SELinux) 是一个 Linux 功能部件,它通过 Linux 内核的 Linux 安全模块来提供更佳的安全性和访问控制。缺省情况下,它随附于 Red Hat Enterprise 5。

  1. 安装:在“强制”方式下无法使用 SELinux 来安装 AppScan 源。必须将 SELinux 更改为“非强制”方式。要在“非强制”方式下运行 SELinux,请发出 /usr/bin/system-config-selinux 或(如果运行的是 GNOME)选择系统 > 管理 > SELinux 管理。系统将提示您输入 root 用户的密码。在左窗格中选择状态(如果尚未选定)。在右窗格中,将当前强制方式下拉列表更改为非强制。将 SELinux 设置为“非强制”后,照常运行 AppScan 源 安装。安装完成后,可以将 SELinux 设置更改回强制
  2. 产品激活:在“强制”方式下无法使用 AppScan 源 License Manager。必须将 SELinux 更改为“非强制”方式。要在“非强制”方式下运行 SELinux,请发出 /usr/bin/system-config-selinux 或(如果运行的是 GNOME)选择系统 > 管理 > SELinux 管理。系统将提示您输入 root 用户的密码。在左窗格中选择状态(如果尚未选定)。在右窗格中,将当前强制方式下拉列表更改为非强制。将 SELinux 设置为“非强制”后,运行 License Manager。完成产品激活后,可以将 SELinux 设置更改回强制
  3. 运行中:在“强制”方式下,AppScan 源 随附的 JRE 和 JDK 将不运行。不过,不必禁用“强制”方式,因为可以向触发 SELinux 的文件授予相应的许可权来进行操作。这是(通过发出 chcon -t textrel_shlib_t <filename>)使用 chcon 命令来完成的。需要针对 <installdir>/jre<installdir>/JDKS 目录下的所有共享对象文件 (.so) 来发出此命令。这可使用带 exec 参数的 find 命令以批处理方式执行。例如:
    cd /opt/ibm/appscansource/jre
sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print
cd ../JDKS
sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print

Linux 上的 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件) 必备组件

在 Linux 上,Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件,那么 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件) 可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。请参阅HCL AppScan 源 安装和管理指南以了解如何为这些产品启用基于浏览器的内容。

Red Hat Enterprise Linux V6 可能需要 libstdc++.so.5 GCC 库

如果需要安装 Mozilla XULRunner 来为 AppScan Source for AnalysisAppScan Source for Development(Eclipse 插件) 启用 Linux 上的基于浏览器的内容(如产品文档中所述),那么需要 libstdc++.so.5。在许多情况下,该库已在机器上。如果不在机器上,那么您将收到一条错误消息,其中包含类似以下内容的文本:

libstdc++.so.5: cannot open shared object file: No such file or directory.

对于 libstdc++.so.5:如果您是 Red Hat 网络的成员并且具有 up2date,请以 root 用户身份运行此命令来安装 libstdc++.so.5

up2date --install compat-libstdc++-33

如果您不是 Red Hat 网络的成员或者不具有 up2date,那么将需要从 RPM 归档站点获取 compat-libstdc++ 的副本或者从其他来源获取 libstdc++.so.5。将其安装并放置在 LD_LIBRARY_PATH 上后,您将能够运行 AppScan 源 二进制安装文件。

Linux 上 AppScan Source for Analysis 的间断关闭

要防止意外关闭,请升级 Pango。Pango 升级可能需要升级 glib。

Linux - 在安装期间将 AppScan 源 守护程序配置为以非“ounce”用户身份运行后,启动 AppScan Source for Analysis 时出错

通过 AppScan Source for Analysis 安装程序,可以将 AppScan 源 守护程序进程配置为以名为“ounce”的缺省用户省份或以现有用户身份运行。

变通方法:如果不选择缺省用户,那么必须在 AppScan 源 安装目录(例如 /opt/ibm/appscansource)中创建包含以下行的 eclipse.ini 文件:

-configuration @user.home/.ounceconfig

扫描使用旧版本的 gcc(如 2.95.4)编译的源代码会产生错误

例如,诸如以下的错误:

Skipping file: file.cpp due to error: "/home/file.cpp", line 97: error: namespace "std" has
          	no member "string"
          	std::string mystring;

可能出现。

变通方法:向项目的编译器选项中添加 --ignore_std 选项。此选项会启用 gcc 兼容性功能,该功能使 std 名称空间成为全局名称空间的同义词。在 AppScan Source for Analysis 中项目“属性”视图的“项目依赖性”选项卡上添加此选项。或者,如果使用 Ounce/Make 来创建项目文件,请修改 Ounce/Make 属性文件中 GlobalProjectOptions 元素的 compiler_options 属性。

在 Linux 上需要密码来将发现项目提交到 Rational ClearQuest

将发现项目提交到 Rational ClearQuest 时,如果密码为空白,那么无法登录到 Rational ClearQuest

变通方法:使用 Rational ClearQuest User Administration 工具将密码更改为等于或大于一个字符。

在 Linux 上通过 IBM WebSphere Application Server 扫描 JSP 项目

缺省情况下,在 Linux 机器上,WebSphere Application Server JSP 编译器仅可供管理员 (root) 用户使用。要作为非 root 用户来运行 WebSphere Application Server JSP 编译器,您的管理员需要根据 IBM Knowledge Center 中的指示信息为您创建一个额外的 WebSphere Application Server 概要文件:

在创建概要文件时,管理员将需要知道登录用户标识。然后,管理员将需要为您提供新概要文件名称以及该概要文件的路径(例如,/opt/IBM/WebSphere7/AppServer/profiles/profile01 中的 profile01)。

在已创建概要文件后,您将需要通过遵循以下指导来定制 AppScan 源 所使用的 WebSphere JSP 编译器命令行:

  1. 启动 AppScan Source for Analysis
  2. 从主菜单中选择编辑 > 首选项
  3. 在“首选项”对话框中,选择应用程序服务器 > WebSphere 6.1应用程序服务器 > WebSphere 7.0,具体取决于您正在运行的 WebSphere Application Server 的版本。
  4. 在“WebSphere Application Server 安装目录”字段中,输入或浏览安装了应用程序服务器的本地目录。
  5. 选中启用高级配置选项复选框。
  6. WebSphere JSP 编译器命令行字段中编辑条目:
    • %JSP_COMPILER_INSTALL_DIR%/bin 替换为 <path_to_profile_directory>/bin,其中 <path_to_profile_directory> 是管理员提供的到新配置文件的路径。例如,将 %JSP_COMPILER_INSTALL_DIR%/bin 替换为 /opt/IBM/WebSphere7/AppServer/profiles/profile01/bin
    • -response.file 条目前插入 -profileName <new_profile>(其中 <new_profile> 是新概要文件名称,由您的管理员提供)。

    例如,如果原始条目如下所示:

    %CMD_EXE% %CMD_ARGS% '%FILE(%%JSP_COMPILER_INSTALL_DIR%/bin/JspBatchCompiler%BAT%%)%'
-response.file ...

    应将其更改为如下所示:

    %CMD_EXE% %CMD_ARGS% 
'%FILE(%/opt/IBM/WebSphere7/AppServer/profiles/profile01/bin/JspBatchCompiler%BAT%%)%'
-profileName profile01 -response.file ...
  7. 单击确定以将更改保存到首选项。

macOS

停止 macOS 支持

自 V9.0.3.11 起,AppScan 源 不再支持 MacOS 或 iOS Xcode 项目扫描。

其他信息

AppScan 源 V10.0.2 中的高级功能和新功能

  • AppScan 源 V10.0.2 起,需要使用 HCL 许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证
  • AppScan 源 Analysis V10.0.2 不要求连接数据库,即可执行扫描。在 AppScan Enterprise 中配置了与 AppScan Enterprise 集成以共享扫描配置和结果。有关断开连接时的功能,详见此处
  • AppScan 源 推出了对以下语言的支持:Angular 8、Angular 9、Groovy、Symfony 和 TypeScript。有关完整信息,请参阅系统要求

附加 AppScan 源 V10.0.2 安装和互操作性信息

  • AppScan 源 V10.0.2 安装到干净的系统中时,无需安装数据库,因此无需执行数据库配置。配置与 AppScan Enterprise 的集成以存储和检索共享信息。
  • AppScan 源 V10.0.2 安装到干净的系统中以在连接模式下使用时,需要 AppScan Enterprise V10.0.2。不支持更低版本的 AppScan Enterprise。此外,AppScan Enterprise Server 必须安装有 User AdministrationEnterprise Console

  • 从先前版本升级至 AppScan 源 V10.0.2 后,完全支持先前安装的任何数据库,包括配置功能。

  • 如果执行 AppScan 源 V10.0.2 的修复安装,则在先前安装配置了数据库的情况下,您必须手动启动 AppScan Source DB 服务。
  • 如果升级仅安装了自动化服务器或客户机组件的 AppScan 源 并且随后执行修复安装,则在 'ounce.ozsettings 中更新以下属性:
    • name=core_provider value=1
    • name=connect_mode value=false
  • 不支持在 V10.0.2 之前创建的静默安装程序响应文件。必须创建新的静默安装程序响应文件,才能用于 AppScan 源 V10.0.2。

AppScan 源 V10.0.2 中即将停止提供或删除的功能

  • AppScan Source 不再支持 IBM 许可证,也无法再在许可证管理器中配置这些许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证
  • AppScan 源 V10.0.2 不再支持 Visual Studio 2010。
  • SolidDB 不再附带 AppScan 源,且不再作为解决方案的一部分进行安装。现已安装的 SolidDB 继续受支持。
  • “管理”菜单下的“审核日志”选项不再可用。

AppScan 源 V10.0.1 中的高级功能和新功能

  • AppScan 源 V10.0.1 具有增强的许可功能,在用户界面中包含对基于 HCL 的许可证的代理支持,允许使用不受信任的证书连接到本地许可证服务器。
  • AppScan 源 V10.0.1 引入了 AppScanDelta。此功能允许用户从命令行执行两个评估之间的差异比较
  • AppScan 源 支持 NetCore 2.1 和 2.2。
  • AppScan 源 V10.0.1 支持 Scala、Swift、Kotlin 和 ReactJS 语言。请参阅系统需求获取更多信息。
  • AppScan 源 V10.0.1 支持 DISA STG v4r10 报告格式。

AppScan 源 V10.0.1 中的已知问题

  • 如果正在扫描一个来自 2015 版本或更早版本的 Visual Studio 项目,则扫描可能失败,并显示一条要删除 discoverymanager.exe.config 的消息。删除指定的文件并重试。有关更多信息,请参阅此处

AppScan 源 互操作性

  • AppScan Enterprise V9.0.3x 和 V10.0.0 必须进行如下配置才能与 AppScan 源 10.0.2 进行互操作: 
    set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan 源 V10.0.1 中即将停止提供或删除的功能

AppScan 源 V10.0.1 起,即将停止提供以下功能。请进行相应规划。

  • 重要信息! 新版本 AppScan 对 IBM 许可证的支持将于 2020 年第三季度(八月/九月)结束。AppScan 产品的后续新版本将支持 HCL 许可证。有关许可的其他信息,请参阅 激活软件。您也可以联系 HCL 代表或 HCL 支持人员
  • 自 2020 年第三季度(八月/九月)起,SolidDB 将不再随产品更新一起提供。仍将支持现有安装。

AppScan 源 V10.0.0 中的高级功能和新功能

  • IBM Security AppScan Source 现在为 HCL AppScan 源

    在 2019 年中旬,HCL Technologies 从 IBM 收购了 AppScan 系列产品,包括 AppScan EnterpriseAppScan Standard、AppScan 源AppScan on Cloud。现在,所有 AppScan 产品均由 HCL Software 拥有、开发和推广。所有许可证、徽标、命名约定以及其他知识产权和/或商标权均由 HCL 拥有。因此,所有 AppScan 产品均已更名,以反映这一所有权及其发展和增长的新阶段。

  • 有关 HCL 许可 的介绍 HCL AppScan 源

    作为从 IBM 到 HCL 过渡的一部分,HCL 正在为 AppScan 系列产品引入以 HCL 为中心的许可证软件包。AppScan、AppScan Standard 和 AppScan 源 使用本地 FlexLM 许可证服务器,该服务器通过代理服务器进行认证;AppScan on Cloud 使用 Okta 提供的市场租赁客户标识访问管理 (CAIM) 系统。

  • AppScan 源 现支持 Go 编程语言 (Golang)。
  • AppScan 源 现在在 Visual Studio 2015、2017 和 2019 中支持 C++ 扫描。
  • AppScan 源 现在支持 Oracle 19c。
  • 新的数据流扫描功能可以执行更完整的代码分析,从而获得更多结果。
  • 对于 AppScan 源 包含自定义扫描程序的语言,使用 AppScan 源 v10 进行扫描时您可能会发现结果存在显著差异。如果扫描已转换为自定义扫描,这可能会减少结果数量。自定义扫描程序规则不断变化,将进行定期添加,很容易增强。
  • 增强了与 Intelligent Code Analytics (ICA) 和 Intelligent Findings Analytics (IFA) 的集成。

    启用 ICA/IFA 后,您可以看到和访问“已排除发现结果”选项卡。有关其他信息,请参阅AppScan 源 文档中的 Intelligent Findings Analytics (IFA)

    缺省情况下,所有扫描均启用 IFA。如果启用,将应用至当前扫描和未来扫描。不能应用至之前扫描的评估。

  • 扫描 AppScan 源 中的 .NET 项目(ASP、WEB、Framework、Core)以反映 HCL AppScan on Cloud 中的进程。.NET 项目在扫描之前必须能够被编译,并且项目属性中必须具有正确的构建规范。
  • 要安装和 AppScan 源 运行基本扫描,必须至少具有 15 GB 空间。但是,所需磁盘空间将随要扫描的应用程序不同而异。建议至少准备 8 GB 的 RAM 和 15-20 GB 的可用磁盘空间。您可能还需要增加 Windows 页面文件要求(有关详细信息,请参阅 Windows 10 中提高电脑性能的提示)。

  • 有关系统需求以及扫描和插件支持的其他信息,请参阅系统需求和安装必备软件或联系HCL 支持人员

AppScan 源 V10.0.0 互操作性

HCL AppScan 源 10.0.0 要求使用 AppScan 源 10.0.0 数据库(SolidDB 或 Oracle):
  • 由于数据库内容差异,而这些内容与扫描规则相关,因此 AppScan 源 10.0.0 客户端无法正确使用 10.0.0 以下版本的 AppScan 源 数据库正确扫描。
  • 同样,10.0.0 之前的 AppScan 源 客户也将无法使用 10.0.0 AppScan 源 数据库正确扫描。
AppScan 源 10.0.0 将可与 V9.0.3.x 之前的 AppScan Enterprise 互操作。
  • AppScan 源 V9.0.3.x 无法使用通过 AppScan 源 10.0.0 数据库实例配置的 AppScan Enterprise 实例,反之亦然
  • AppScan Enterprise 9.0.3.x 版本必须按照如下说明配置,方可与 AppScan 源 10.0.0 互操作: 
    set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

其他 AppScan 源 V10.0.0 安装说明

安装 AppScan 源 V10.0.0 与 Visual Studio 2019 插件时,安装似乎成功完成,但 Visual Studio 2019 插件可能安装不正确。

要在 Visual Studio 2019 中安装 AppScan 源 V10.0.0 插件,请执行以下操作:

  1. 确保在目标系统上安装 HCL AppScan 源 V10.0.0。在安装过程中选择 Microsoft Visual Studio 2019 插件。
  2. 如果已在 Visual Studio 2019 目标实例中安装了 V10.0.0 之前版本的 AppScan 源,请按照以下步骤将其卸载:
    1. 启动目标 Visual Studio 2019 实例。
    2. 打开 Visual Studio > 扩展 > 管理扩展
    3. 已安装选项卡上,从列表中选择 AppScan Source 插件
    4. 单击卸载插件,然后按照提示完成卸载。
  3. 按照如下步骤在 Visual Studio 2019 中安装 HCL AppScan 源 V10.0.0 插件。
    1. 关闭所有 Visual Studio 2019 实例。
    2. HCL AppScan 源 版本下载网站下载 VS2019Plugin.zip
    3. 将压缩文件的内容解压到 <AppScan Source Install Dir>(缺省位置为 C:\Program Files (x86)\IBM\AppScanSource)。出现提示时,所有选项都选择
    4. <AppScan Source Install Dir>/bin 目录中双击 AppScanSrcPlugin.vsix
    5. 在生成的“VSIX 安装程序”对话框中,选择Visual Studio <Edition> 2019,然后单击安装

      基于机器上安装的内容,版本可以是专业版、企业版或社区版。可以选择安装多个版本(如有)。

    6. 安装完成后,关闭对话框。
    7. 重新启动 Visual Studio 2019。AppScan Source 插件显示在扩展下方。

AppScan 源 V10.0.0 中的已知问题

此部分介绍 AppScan 源 V10.0.0 的相关信息、已知问题和变通方法。

AppScan 源 V10.0.0 中即将即将停止提供的功能

AppScan 源 V10.0.0 起,即将停止提供以下功能。请进行相应规划。

AppScan 源 V10.0.0 中不再支持的功能和特性

  • 不再支持漏洞高速缓存。
  • 不支持增量扫描。
  • 不支持非 CPA 扫描。

  • 自 V9.0.3.11 起,AppScan 源 不再支持 MacOS 或 iOS Xcode 项目扫描。

    AppScan 源 的一些组件为 32 位。MacOS 10.14 (Mojave) 是支持 32 位应用程序的最后一个 Mac 操作系统版本。

    您可以在 Mac 操作系统(包括 10.12 及更高版本)上继续使用 AppScan 源 V9.0.3.10 和更低版本。

文档

可在可以找到 AppScan Source 文档的位置获取有关 AppScan 源 文档的信息。

获取技术支持

有关获取本产品的技术支持的信息可在 https://support.hcltech.com/csm?id=csm_index 上获取。

产品 Web 站点位于 https://www.hcltechsw.com/wps/portal/products/appscan