美国政府法规遵从性

遵从美国政府的安全和信息技术法规有助于消除销售难题和障碍。这还向全球潜在客户提供了一个证据点,表明 HCL® 正在努力使其产品在行业中具有最高安全性。本主题列出了 AppScan® 源 支持的标准和准则。

因特网协议 V6 (IPV6)

AppScan 源 支持 IPV6,但以下情况例外:

  • 不支持输入 IPv6 数字地址,必须输入主机名。支持输入 IPv4 数字地址。
  • 连接到 Rational Team Concert™ 时不支持 IPv6。

联邦信息处理标准 (FIPS)

AppScan 源 支持的 Windows™ 和 Linux™ 平台上,AppScan 源 通过使用经 FIPS 140-2 验证的加密模块和批准的算法来支持 FIPS 规范 140-2。

要了解关于 AppScan 源 FIPS 合规性的背景信息以及了解如何启动和禁用 AppScan 源 FIPS 140-2 方式,请参阅以下技术说明:

美国国家标准技术学会 (NIST) 特殊规范 (SP) 800-131a

NIST SP 800-131A 准则提供加密密钥管理指导。这些准则包括:

  • 密钥管理过程。
  • 如何使用密码算法。
  • 要使用的算法及其最小强度。
  • 安全通信的密钥长度。

政府部门和金融机构使用 NIST SP 800-131A 准则来确保产品满足特定安全需求。

仅当 AppScan 源 在以 FIPS 140-2 方式运行时,才支持 NIST SP 800-131A。要了解如何启用和禁用 AppScan 源 FIPS 140-2 方式,请参阅联邦信息处理标准 (FIPS)

重要:
如果您将要连接到的 AppScanEnterprise Server 支持 NIST 800-131a 合规性,那么必须将 AppScan 源 设置为强制使用传输层安全性 V1.2。如果未强制执行传输层安全 V1.2,则与服务器的连接将失败。
  • 如果安装 AppScan 源数据库(例如,如果仅安装了客户机组件),那么可以通过修改 <data_dir>\config\ounce.ozsettings(其中 <data_dir>AppScan 源 程序数据的位置,如安装和用户数据文件位置 来强制使用传输层安全性 V1.2。在此文件中,找到以下设置:
    <Setting
    		 name="tls_protocol_version"
    		 read_only="false"
    		 default_value="0"
    		 value="0"
    		 description="Minor Version of the TLS Connection Protocol"
    		 type="text"
    		 display_name="TLS Protocol Version"
    		 display_name_id=""
    		 available_values="0:1:2"
    		 hidden="false"
    		 force_upgrade="false"
    	/>

    在此设置中,将 value="0" 更改为 value="2",然后保存文件。

  • 如果您安装了 AppScan 源数据库,请在安装 AppScan 源 以及 Enterprise Server 之后,在 HCL® AppScan Enterprise Server 数据库配置工具中强制使用传输层安全性 V1.2。

Windows 配置为使用美国政府配置基线 (USGCB) 的 Windows 计算机

AppScan 源 支持在使用 USGCB 规范来配置的 Windows 计算机上扫描应用程序。

注: 在使用 USGCB 规范来配置的机器上,AppScan 源 不支持将缺陷跟踪系统与 HP Quality Center 或 Rational® ClearQuest® 集成。