AppScan® 源 新增内容
探索已添加到 AppScan® 源 的以下新功能,并请注意该发行版中已不推荐使用的任何功能部件和功能。
AppScan® 源 V10.1.0 中的新增功能
AppScan® 源 V10.1.0 中的增强功能和新增功能
- AppScan® 源 支持 Red Hat Enterprise Linux 8.3。
- Eclipse IDE 2022-06 现在支持 HCL® AppScan® Source for Development(Eclipse 插件)。
- AppScan® 源 支持 Java 17,并将其包含在安装包中。
- AppScan® 源 支持 Tomcat 9,并将其包含在安装包中。
- AppScan® 源 现在允许扫描文件夹,而无需创建 .PAF 或 .PPF 文件。
附加 AppScan® 源 和 AppScan® Enterprise 互操作性信息
AppScan® 源 V10.1.0 支持 AppScan® Enterprise Server V10.1.0。AppScan® 源 V10.0.8 和更低版本 不支持 AppScan® Enterprise Server V10.1.0。请升级这两个产品,以确保适当的互操作性。
AppScan® 源 V10.1.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® 源 V10.1.0 起即将停止提供或删除的功能
- 已除去以下报告和报告过滤器:
- CWE SANS Top 25 2011 报告
- OWASP Top 10 2013 报告
- CWE SANS Top 25 2011 报告过滤器
- OWASP Top 25 2010 报告过滤器
- OWASP Top 25 2013 报告过滤器
- 不再支持缺陷跟踪系统集成。
- 不再支持通过电子邮件发送结果。
- 不再支持质量度量值。
- Tomcat 7 不再包含在 AppScan® 源 安装包中。
- AppScan® 源 将在未来的发行版中放弃对 SolidDB 和 OracleDB 的支持。
AppScan® 源 V10.0.8 中的新增功能
AppScan® 源 V10.0.8 中的增强功能和新增功能
- AppScan® 源 命令行界面 (CLI) 已容器化,提高了应用程序和安全扫描的效率和可靠性。安装并配置完成后,可以按需快速创建测试环境,并且可以并发运行扫描。有关容器化的更多信息,请参阅 HCL 支持中的此文档。
- AppScan® 源 支持通过命令行配置许可证信息。
- AppScan® 源 支持 Terraform。
- 支持以下报告:
- 支持以下报告过滤器:
AppScan® 源 V10.0.8 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® 源 V10.0.8 中的已知问题
- 使用 Eclipse 插件时, AppScan® Source for Development 必须配置 Java 8。
AppScan® 源 V10.0.7 中的新增功能
HCL® AppScan® 源 V10.0.7 是发布 HCL® AppScan® 源 主要版本 V10.0.0 之后的第七个修订包版本。
AppScan® 源 V10.0.7 中的增强功能和新增功能
- 自 V10.0.7 起,AppScan® 源 具有更新的安装路径,
IBM
替换为HCL
。但是,从 V10.0.6 或更早版本升级将保留在路径中使用
IBM
的原始安装路径。 - AppScan® 源 支持 IBM RPG 项目。
- AppScan® 源 支持 .NET 5/6。
- AppScan® 源 支持 OWASP Top 10 2021 报告。
- 启用通用访问卡 (CAC) 认证不再需要手动更新 java.security 文件。
AppScan® 源 V10.0.7 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® 源 V10.0.7 中的已知问题
- 在 Windows 上,从 AppScan® 源 V9.0.3.x 或 V10.0.0 升级到 AppScan® 源 V10.0.7 时,必须先执行到 AppScan® 源 V10.0.1 至 V10.0.6 之间的临时升级。 重要: 不要卸载然后重新安装。要维护数据库,必须分两个步骤进行升级。
- 使用 Oracle 数据库配置的 AppScan® 源 需要使用 16 个或更多字符的强密码。
AppScan® 源 V10.0.7 中即将停止提供或删除的功能
AppScan® 源 V10.0.6 中的新增功能
AppScan® 源 V10.0.6 中的高级功能和新增功能
- 与在 AppScan® Source for Analysis 中一样,缺省情况下 Visual Studio 插件中的发现结果视图现在按修复组显示发现结果。
- 用于 AppScan® Source for Analysis 中的评估比较 的算法已使用新算法进行更新。AppScan® Source for Analysis 客户机中的评估比较结果将与
AppScanDelta
命令一致;但是,与先前版本的 AppScan® 源 中的比较结果可能会有一些差异。 -
现在,作为算法更新的一部分,您可以从 AppScan® Source for Analysis 中的评估差异视图中选择保存新发现结果和/或已解析发现结果的评估 。
- AppScan® 源 支持对 C/C++、.Net 和 Java 进行仅源代码扫描。
- AppScan® 源 向行业标准报告添加了建议信息,以帮助修复发现结果。
- AppScan® 源 支持使用“主题备用 名 - 多域 (SAN)” 证书进行 CAC 认证。
- AppScan® 源 支持 Dart 编程语言。
- 支持在 Linux 系统上停止/取消扫描。
AppScan® 源 V10.0.6 中的修复和安全更新
- 此处列出了修复和安全更新。
AppScan® 源 V10.0.6 中的已知问题
- 如果您使用 AppScan® 源 V10.0.5 或更旧版本创建的 Objective-C .paf/.ppf 文件运行扫描,则对 Objective-C 项目的执行扫描将失败。重新配置 AppScan® 源 V10.0.6 中的 Objective-C 项目,然后重试。
AppScan® 源 V10.0.6 中即将停止提供或删除的功能
- AppScan® 源 已停止对单文件扫描版本 10.0.0 的支持。
AppScan® 源 V10.0.5 中的新增功能
AppScan® 源 V10.0.5 中的高级功能和新增功能
- KBArticle 服务器已替换为 AppScan Security Info Server。AppScan Security Info Server 的内容和界面已更新,以便更好地为用户提供服务,但其用途与先前 AppScan® 源 版本中的 KBArticle 服务器相同:帮助用户缓解和解决应用程序安全发现结果。
- AppScan® 源 向报告添加了建议信息,以帮助修复发现结果。
- 修复帮助视图已重命名为如何修复。
- AppScan® 源 已添加对 DISA STIG V5r1 报告格式的支持。
此新报告列出了应用程序安全核对表 V5.1 中指定的漏洞类别。在可能的情况下,AppScan® 源 会生成相关结果,以帮助审阅者确定应用程序是否符合 STIG 的要求。
- 在 Windows 和 Linux 上支持 HCL Common Local License Server 2.0。
- AppScan® 源 支持生成结果报告,在其中,结果按修复组分组。
附加 AppScan® 源 V10.0.5 和 AppScan® Enterprise V10.0.5 互操作性信息
- 现在,可以使用 AppScan® Enterprise 中 asc.properties 文件中的新属性,根据预期用户响应来均衡从“监控”选项卡中将问题发布到 AppScan® Enterprise 或导入到 AppScan® Enterprise 的速度。请参阅AppScan® Enterprise 文档以获取关于如何使用
issue.import.batch.interval
的详细信息。
AppScan® 源 V10.0.5 中的已知问题
- AppScan Source 的语言环境设置应与系统语言环境设置匹配,以避免控制台输出中出现字符乱码。
- 在 Linux 的如何修复视图中存在一些呈现问题。此外,外部引用链接不会从 Linux 的如何修复视图打开;可在外部浏览器中打开文章以正确呈现并访问外部链接。
- 在使用
ounceauto
命令生成报告时,当自动化服务器无法启动 AppScan Security Info 服务器时,报告中未包含如何修复信息。要解决此问题,请在使用ounceauto
生成报告前启动 AppScan® 源 for Analysis 或命令行界面(CLI 客户机);AppScan Security Info 服务器由 AppScan® 源 for Analysis 和 CLI 客户机自动启动。
AppScan® 源 V10.0.4 中的新增功能
AppScan® 源 V10.0.4 中的高级功能和新增功能
- 自 V10.0.4 起,AppScan® 源 支持以下操作系统:
- Windows Server 2019
- Red Hat Linux V7.8 和 V7.9
有关其他信息,请参阅系统需求和安装必备软件。
- 自 V10.0.4 起,AppScan® 源 支持以下语言和语言版本:
- Java V9、V10 和 V11。
- AdoptOpenJDK 11 是缺省配置
- 指定的任何备用 JDK 都必须为 64 位
- .NET Core 3.1
- 基础结构即代码 (IaC)
有关其他信息,请参阅系统需求和安装必备软件。
- Java V9、V10 和 V11。
AppScan® 源 V10.0.4 中的已知问题
- 在 AppScan® 源 V9.3.14 或更低版本中创建并在“属性”视图中标记为排除的捆绑包在升级到 AppScan® 源 V10.0.0 及更高版本后不会排除结果。应在 AppScan® 源 V10.0.0 或更高版本中重新创建捆绑包。
- 对 AppScan® Source for Analysis 客户机中的所有应用程序执行扫描可能会填充“结果”视图,而不会填充修订组。请对单个应用程序执行扫描以避免此结果并在修订组中恰当显示结果。
- 如果评估文件名包含本机字符,则在非英语语言环境中将评估发布到 AppScan® Enterprise 会失败。请从文件名中删除本机字符并重新发布。
AppScan® 源 V10.0.3 中的新增功能
AppScan® 源 V10.0.3 中的增强功能和新增功能
- 自 V10.0.3 开始,AppScan® 源 添加了对以下语言的支持:
- Android Java
- Ionic
- 目标 C
- React Native
- SAP ABAP
- Vue.js
- Xamarin
有关更多信息,请参阅系统要求。
- 对静态分析的修订组支持。
修订组是一种管理、分类和解决在静态分析扫描中发现的问题的新方法。运行静态扫描后,AppScan® 源 会根据漏洞类型和所需修复任务将问题组织到修订组中。有关更多信息,请参阅使用静态分析修订组。
- 作为修订组支持的一部分,在“选择结果报告”对话框中会显示辅助报告的技术预览。报告当前仅显示有关修订组类型的简要信息。在未来的版本中,将向报告功能添加其他深入信息,包括修订组的最佳修订位置。
AppScan® 源 V10.0.3 中的已知问题
- CLI 命令
details
间歇性地报告错误。但是,此命令的功能不受影响。ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
-
打开发布到 AppScan® 源 数据库的评估查看修订组信息时,
NULL
可能会显示在修订组类型或修订组标识的位置。将评估保存到本地文件系统,然后使用“打开评估”命令将其打开,以查看已发布静态分析评估的修订组信息。
附加 AppScan Source V10.0.3 安装和互操作性信息
- 如果升级 AppScan® 源 或执行 AppScan® 源 V10.0.3 的修复安装,则在先前安装配置了数据库的情况下,您必须手动启动
AppScan Source DB
服务。
V10.0.2 中的新增功能AppScan® 源
AppScan® 源 V10.0.2 中的高级功能和新功能
- 自 AppScan® 源 V10.0.2 起,需要使用 HCL 许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证。
- AppScan® 源 Analysis V10.0.2 不要求连接数据库,即可执行扫描。可在 AppScan® Enterprise 中配置与 AppScan Enterprise 的集成以共享扫描配置和结果。有关断开连接时的功能,详见此处。
- AppScan® 源 推出了对以下语言的支持:Angular 8、Angular 9、Groovy、Symfony 和 TypeScript。有关完整信息,请参阅系统要求。
附加 AppScan® 源 V10.0.2 安装和互操作性信息
- 将 AppScan® 源 V10.0.2 安装到干净的系统中时,无需安装数据库,因此无需执行数据库配置。配置与 AppScan Enterprise 的集成以存储和检索共享信息。
- 将 AppScan® 源 V10.0.2 安装到干净系统中以在连接模式下使用时,需要使用 AppScan® Enterprise V10.0.2。不支持更低版本的 AppScan® Enterprise。此外,AppScan Enterprise Server 必须安装有 User Administration 和 Enterprise Console。
-
从先前版本升级至 AppScan® 源 V10.0.2 后,完全支持先前安装的任何数据库,包括配置功能。
- 如果执行 AppScan® 源 V10.0.2 的修复安装,则在先前安装配置了数据库的情况下,您必须手动启动
AppScan Source DB
服务。 - 如果升级仅安装了自动化服务器或客户机组件的 AppScan® 源 并且随后执行修复安装,则在 'ounce.ozsettings 中更新以下属性:
name=core_provider value=1
name=connect_mode value=false
- 不支持在 V10.0.2 之前创建的静默安装程序响应文件。必须创建新的静默安装程序响应文件,才能用于 AppScan® 源 V10.0.2。
AppScan® 源 V10.0.2 中即将停止提供或删除的功能
- AppScan Source 不再支持 IBM 许可证,也无法再在许可证管理器中配置这些许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证。
- AppScan® 源 V10.0.2 不再支持 Visual Studio 2010。
- SolidDB 不再附带 AppScan® 源,且不再作为解决方案的一部分进行安装。现已安装的 SolidDB 继续受支持。
- “管理”菜单下的“审核日志”选项不再可用。
AppScan® 源 V10.0.1 中的新增功能
AppScan® 源 V10.0.1 中的高级功能和新功能
- AppScan® 源 V10.0.1 具有增强的许可功能,在用户界面中包含对基于 HCL 的许可证的代理支持,允许使用不受信任的证书连接到本地许可证服务器。
- AppScan® 源 V10.0.1 引入了
AppScanDelta
。此功能允许用户从命令行执行两个评估之间的差异比较。 - AppScan® 源 支持 NetCore 2.1 和 2.2。
- AppScan® 源 V10.0.1 支持 Scala、Swift、Kotlin 和 ReactJS 语言。请参阅系统需求获取更多信息。
- AppScan® 源 V10.0.1 支持 DISA STG v4r10 报告格式。
AppScan® 源 V10.0.1 中的已知问题
- 如果正在扫描一个来自 2015 版本或更早版本的 Visual Studio 项目,则扫描可能失败,并显示一条要删除 discoverymanager.exe.config 的消息。删除指定的文件并重试。有关更多信息,请参阅此处。
AppScan® 源 互操作性
- AppScan® Enterprise V9.0.3x 和 V10.0.0 必须进行如下配置才能与 AppScan® 源 V10.0.1互操作:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® 源 V10.0.1 中即将停止提供或删除的功能
自 AppScan® 源 V10.0.1 起,即将停止提供以下功能。请进行相应规划。
AppScan® 源 V10.0.0 中的新增内容
继 AppScan® 系列产品之后,HCL® AppScan® 源 V10.0.0 在技术方面取得了重大改进。HCL 已在 DevSecOps 市场中投资了产品,为现在和将来增强我们市场领先的安全扫描产品奠定了基础。
- 增强功能和新增功能
- AppScan 源 V10.0.0 互操作性
- 其他 AppScan 源 V10.0.0 安装说明
- V AppScan® 源 中的已知问题10.0.8
- AppScan 源 V10.0.0 中即将即将停止提供的功能
- V AppScan® 源 中不再支持的功能10.0.8
AppScan® 源 V10.0.0 中的高级功能和新功能
-
IBM® Security AppScan® Source 现在为 HCL® AppScan® 源。
在 2019 年中旬,HCL Technologies 从 IBM 收购了 AppScan® 系列产品,包括 AppScan® Enterprise,AppScan® Standard、AppScan® 源 和 AppScan® on Cloud。现在,所有 AppScan® 产品均由 HCL Software 拥有、开发和推广。所有许可证、徽标、命名约定以及其他知识产权和/或商标权均由 HCL 拥有。因此,所有 AppScan® 产品均已更名,以反映这一所有权及其发展和增长的新阶段。
-
有关 HCL 许可 的介绍 HCL® AppScan® 源
作为从 IBM 到 HCL 过渡的一部分,HCL 正在为 AppScan® 系列产品引入以 HCL 为中心的许可证软件包。AppScan®、AppScan® Standard 和 AppScan® 源 使用本地 FlexLM 许可证服务器,该服务器通过代理服务器进行认证;AppScan® on Cloud 使用 Okta 提供的市场租赁客户标识访问管理 (CAIM) 系统。
- AppScan® 源 现支持 Go 编程语言 (Golang)。
- AppScan® 源 现在在 Visual Studio 2015、2017 和 2019 中支持 C++ 扫描。
- AppScan® 源 现在支持 Oracle 19c。
- 新的数据流扫描功能可以执行更完整的代码分析,从而获得更多结果。
- 对于 AppScan® 源 包含自定义扫描程序的语言,使用 AppScan® 源 v10 进行扫描时您可能会发现结果存在显著差异。如果扫描已转换为自定义扫描,这可能会减少结果数量。自定义扫描程序规则不断变化,将进行定期添加,很容易增强。
- 增强了与 Intelligent Code Analytics (ICA) 和 Intelligent Findings Analytics (IFA) 的集成。
启用 ICA/IFA 后,您可以看到和访问“已排除发现结果”选项卡。有关其他信息,请参阅AppScan® 源 文档中的 Intelligent Findings Analytics (IFA)。
缺省情况下,所有扫描均启用 IFA。如果启用,将应用至当前扫描和未来扫描。不能应用至之前扫描的评估。
- 扫描 AppScan® 源 中的 .NET 项目(ASP、WEB、Framework、Core)以反映 HCL AppScan on Cloud 中的进程。.NET 项目在扫描之前必须能够被编译,并且项目属性中必须具有正确的构建规范。
- 要安装和 AppScan® 源 运行基本扫描,必须至少具有 15 GB 空间。但是,所需磁盘空间将随要扫描的应用程序不同而异。建议至少准备 8 GB 的 RAM 和 15-20 GB 的可用磁盘空间。您可能还需要增加 Windows 页面文件要求(有关详细信息,请参阅 Windows 10 中提高电脑性能的提示)。
-
有关系统需求以及扫描和插件支持的其他信息,请参阅系统需求和安装必备软件或联系 HCL 支持人员。
其他 AppScan® 源 V10.0.0 安装说明
安装 AppScan® 源 V10.0.0 与 Visual Studio 2019 插件时,安装似乎成功完成,但 Visual Studio 2019 插件可能安装不正确。要在 Visual Studio 2019 中安装 AppScan® 源 V10.0.0 插件,请执行以下操作:
- 确保在目标系统上安装 HCL® AppScan® 源 V10.0.0。在安装过程中选择 Microsoft Visual Studio 2019 插件。
- 如果已在 Visual Studio 2019 目标实例中安装了 V10.0.0 之前版本的 AppScan® 源,请按照以下步骤将其卸载:
- 启动目标 Visual Studio 2019 实例。
- 打开 。
- 在已安装选项卡上,从列表中选择 AppScan Source 插件。
- 单击卸载插件,然后按照提示完成卸载。
- 按照如下步骤操作,将 HCL® AppScan® 源 V10.0.0 插件安装到 Visual Studio 2019 实例:
- 关闭所有 Visual Studio 2019 实例。
- 从HCL® AppScan® 源 版本下载网站下载 VS2019Plugin.zip。
- 将压缩文件的内容解压到 <AppScan Source Install Dir>(缺省位置为 C:\Program Files (x86)\IBM\AppScanSource)。出现提示时,所有选项都选择是。
- 在 <AppScan Source Install Dir>/bin 目录中双击 AppScanSrcPlugin.vsix。
- 在生成的“VSIX 安装程序”对话框中,选择Visual Studio <Edition> 2019,然后单击安装。
基于机器上安装的内容,版本可以是专业版、企业版或社区版。可以选择安装多个版本(如有)。
- 安装完成后,关闭对话框。
- 重新启动 Visual Studio 2019。AppScan Source 插件显示在扩展下方。
AppScan® 源 V10.0.0 互操作性
- 由于数据库内容(与扫描规则相关)差异,因此 AppScan® 源 V10.0.0 客户端无法正确使用 AppScan® 源 V10.0.0 以下版本的数据库正确扫描。
- 同样,AppScan® 源 V10.0.0 之前的客户也将无法使用 AppScan® 源 V10.0.0 数据库正确扫描。
- AppScan® 源 V9.0.3.x 无法使用通过 AppScan® 源 10.0.0 数据库实例配置的 AppScan® Enterprise 实例,反之亦然
- AppScan® Enterprise V9.0.3.x 必须按照如下说明配置,才能与 AppScan® 源 V10.0.0 互操作:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® 源 V10.0.0 中的已知问题
- 以下语言不受支持:
- Arxan C
- WSDL
- 在 WebSphere 中,仅支持缺省 JSP 编译选项。
- 并非所有语言都支持单文件扫描。
- 没有禁用 JSP 文件预编译的机制。JSP 文件将始终进行预编译。
- 停止/取消扫描操作不适用于 Linux 系统。
- 使用命令行界面时,停止/取消操作在 Windows 系统中可能无效。要解决此问题,请重新启动 AppScan® 源 并终止后台进程。
- 从 Windows 系统中卸载 AppScan® 源 V10.0.0 时,卸载进程有时会挂起。有关更多信息,请参阅卸载 Windows 上的 AppScan 源 挂起。
- 升级至 AppScan® 源 V10.0.0 后, 未生成 PDF 报告。有关更多信息,请参阅在升级场景中 PDF 报告生成期间 AppScan Source 10.0.0 引发 “java.lang.reflect.InvocationTargetException” 异常。
AppScan® 源 V10.0.0 中即将即将停止提供的功能
- 定制结果
- 质量度量值
- 电子邮件/设置
- RSS 订阅源
- 应用程序属性
使用 AppScan Enterprise 存储应用程序信息。
- 缺陷跟踪系统集成
使用 AppScan® 问题网关从 AppScan Enterprise 级别集成
AppScan® 源 V10.0.0 中不再支持的功能
- 不再支持漏洞高速缓存。
- 不支持增量扫描。
- 不支持非 CPA 扫描。
-
自 V9.0.3.11 起,AppScan® 源 不再支持 MacOS 或 iOS Xcode 项目扫描。
AppScan® 源 的一些组件为 32 位。MacOS 10.14 (Mojave) 是支持 32 位应用程序的最后一个 Mac 操作系统版本。
您可以在 Mac 操作系统(包括 10.12 及更高版本)上继续使用 AppScan® 源 V9.0.3.10 和更低版本。