HCL® AppScan® 版本 10.2.0 自述文件和发行 Notes®

2023 年 3 月

请在安装产品或其任何组件之前仔细阅读整个文档。

此文档列出了有关 AppScan® 的重要问题和主题。

AppScan® 许可

AppScan® 提供 License Manager 实用程序,用于在客户机上装入和更新许可证信息。通过此实用程序,可以查看当前许可证状态,或者可以使用该实用程序激活产品,方法是导入节点锁定许可证文件或使用许可证服务器上的浮动许可证。节点锁定许可证与个别机器绑定,而浮动许可证则可检出以在不同客户机上使用。

可以在安装完成后从产品安装向导打开 License Manager 实用程序,也可以从 Windows“开始”菜单将其启动。

AppScan® 许可证是从 HCL® License & Delivery Portal 获取的。有关获取许可证和激活许可证的详细信息,请参阅如何取得及应用 AppScan Source 的权限以及帮助系统中的 激活软件 许可证。

重要提示:Windows 的新安装文件名

在先前发行版中,Windows 安装文件名为 setup.exe。现在的安装文件名为 AppScanSrc_Installer.exe

AppScan® Source for Analysis 产品文档

使用 AppScan® Source for Analysis 中的帮助 > 帮助内容菜单项时,将会打开 AppScan®HCL 软件产品文档中的在线帮助。类似地,当您从 AppScan® Source for Analysis“欢迎”视图访问链接时,它们将在 HCL 软件产品文档中打开。

AppScan® Source for Analysis 还提供了许多视图、首选项页面和对话框的上下文相关帮助。上下文相关帮助的键盘快捷键在 Windows 上为 F1,在 Linux 上为 Shift+F1。此上下文相关帮助也会在 AppScan®HCL 软件产品文档中打开。

如果要在没有因特网连接的情况下使用产品,帮助可在本地使用,方法如下:

  • 某些 AppScan® Source for Analysis 功能的 Javadoc 位于 AppScan® 安装目录的 doc/Javadocdoc\Javadoc 目录中。从 V9.0.3.4 开始,这些功能的 Javadoc 可用:
    • 应用程序服务器导入框架 API 类和方法的 Javadoc 在 doc/Javadoc/appserverimporterdoc\Javadoc\appserverimporter 中提供。
    • 框架 API 类和方法的框架的 Javadoc 在 doc/Javadoc/frameworksdoc\Javadoc\frameworks 中提供。

    在这些文件夹中,打开 index.html 文件。

常规

停止扫描不再可用

AppScan® 不再允许您中断扫描和返回当前结果。必须完成此扫描才能看到结果。

升级 AppScan® 后,已排除的捆绑软件中的结果可能出现在扫描结果中。

升级 AppScan® 之后,某些结果的属性可能会发生改变,这可能会导致此已知限制。

IPv6 限制

AppScan® 支持因特网协议 V6 (IPv6),但有以下例外:

  • 不支持输入 IPv6 数字地址,必须输入主机名。支持输入 IPv4 数字地址。

当 Eclipse 工作空间的扫描因缺少类或库而失败时,请使用预编译的类

如果成功导入 Eclipse 工作空间但发现扫描因缺少类或库而失败,建议您使用通过预编译类扫描的选项。要完成该操作,请在项目属性中选择该选项,并浏览至 Eclipse 项目的 bin 目录。

“土耳其语”语言环境不支持静默安装。

在任何“土耳其语”语言环境(如 trtr_TR)中运行时创建定制静默安装的操作都将失败。

Oracle 数据库必须使用 UTF-8 字符集

如果将 AppScan®Enterprise Server 连接到 Oracle 数据库,那么创建数据库时必须将字符集设置为 UTF-8(通常,这不是缺省字符集)。

JSP 文件中的行号

.jsp 文件生成的 .java 文件的行号会随 JSP 文件名显示。

Ounce/Maven

ounce:report mojo 对现有评估 XML 文件无效,而仅适用于新扫描。

AppScan® Source for Analysis

如果在不结束所有 AppScan® java 进程的情况下升级 AppScan®,可能会导致 How to Fix(修复方式)视图失败

如果在 AppScan® java 进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件)AppScan® Source for Development(Visual Studio 插件) 组件的 AppScan® 安装之前,确保没有 AppScan® java 进程正在运行。

Linux 上的 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件) 必备组件

Linux 上,Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件,那么 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件) 可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。

LinuxAppScan® Source for Analysis 的间断关闭

要防止意外关闭,请升级 Pango。Pango 升级可能需要升级 glib。

切换本地语言时可能进行高速缓存

通过切换首选项中的本地语言并重新启动工作台可以其他语言显示 AppScan® Source for Analysis 用户界面。对字符串进行高速缓存并以先前使用的语言进行显示是 Eclipse 的常见行为,AppScan® Source for Analysis 即受到此行为的影响。如果切换显示的本地语言并重新启动工作台,那么激活高速缓存的字符串所描述的用户界面元素时,将刷新该字符串(例如,如果按钮标签已进行了高速缓存,那么单击此按钮会将字符串刷新为新的语言)。

不支持 AppScan® Source for Analysis 安装路径中的多字节字符

如果安装路径包含多字节字符,那么安装期间 AppScan® Source for Analysis 的所有版本都将失败,并出现目录无效错误。

Linux - 在安装期间将 AppScan® 守护程序配置为以非“ounce”用户身份运行后,启动 AppScan® Source for Analysis 时出错

通过 AppScan® Source for Analysis 安装程序,可以将 AppScan® 守护程序进程配置为以名为“ounce”的缺省用户省份或以现有用户身份运行。

变通方法:如果不选择缺省用户,那么必须在 AppScan® 安装目录(例如 /opt/hcl/appscansource)中创建包含以下行的 eclipse.ini 文件:

-configuration @user.home/.ounceconfig

以非管理用户身份除去 AppScan® Source for Analysis

Windows 上的 AppScan® Source for Analysis 需要管理员权限才能创建“添加或删除程序”条目。如果以非管理员用户身份安装 AppScan® Source for Analysis,请删除 AppScan® Source for Analysis,转到 <install_dir>\Uninstall_AppScan 并运行 AppScan_Uninstaller.exe(其中 <install_dir>AppScan® 的安装位置

要创建 PDF 报告,可能需要为某些非英语语言安装系统字体

对于以下非英语语言,可能需要安装指定的字体才能创建 PDF 报告:

  • 日语:MS Gothic 或 VL Gothic
  • 韩语:Gulim
  • 简体中文:SimSun-18030 或 MingLiU
  • 繁体中文:SimSun-18030 或 MingLiU

修改定制规则和插件使用

如果您在 AppScan® Source for Analysis 中创建定制的规则,并且已登录到 AppScan® Source for Development 插件,那么必需重新启动 IDE 才能看到更改。

不再支持“评估摘要”视图的图标样式选择

在“评估摘要”视图中,您可以不再选择显示图表样式。仅条形图的图标样式是可用的。

AppScan® Source for Development(Eclipse 插件)

如果在不结束所有 AppScan® java 进程的情况下升级 AppScan®,可能会导致 How to Fix(修复方式)视图失败

如果在 AppScan® java 进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件)AppScan® Source for Development(Visual Studio 插件) 组件的 AppScan® 安装之前,确保没有 AppScan® java 进程正在运行。

AppScan® Source for Development 应用于 Eclipse 之后,初次重新启动 Eclipse 后将不会提示您选择工作空间

AppScan® Source for Development 应用于 Eclipse 之后,会提示您重新启动工作台。重新启动之后,会提示您选择工作空间。但是,当您再次重新启动 Eclipse(或将其关闭然后启动),却不会提示您选择工作空间。

该问题与 https://bugs.eclipse.org/bugs/show_bug.cgi?id=409552 相关。

可使用以下某种方法来变通解决该问题:

  • 启动 Eclipse 时使用 -clean 选项。
  • 退出 Eclipse,然后在 Eclipse 安装目录中,再次启动 Eclipse 之前删除 configuration\org.eclipse.osgi\.manager 目录。

如果该问题没有解决,可通过使用文件 > 切换工作空间操作来确保使用的是正确的工作空间。

升级 AppScan® Source for Development(Eclipse 插件)

建议在升级到 AppScan® Source for DevelopmentAppScan® 的更新版本之前,先从 Eclipse IDE 卸载 AppScan® Source for Development

Linux 上的 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件) 必备组件

Linux 上,Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件,那么 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件) 可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。

AppScan® Source for Development 用于 Eclipse 和基于 Eclipse 产品的插件:针对 AppScan® 安装目录的多个提示

首次使用 AppScan® Source for Development Plug-in for Eclipse 和基于 Eclipse 的产品时,会出现对话框来提示您指定 AppScan® 安装目录的路径。如果指定安装目录并单击确定,但是之后再次收到同一对话框,请单击取消,重新启动工作台,然后继续进行正常产品使用。如果在收到多个针对安装目录的提示时重新启动工作台失败,可能会导致扫描失败。

AppScan® Source for Development 中的共享/全局过滤器没有一致地显示。

AppScan® Source for Development 中的过滤模型可使您打开已保存的资产并执行过滤操作,而无需登录 AppScan®Enterprise Server 和向其进行认证。由于共享过滤器存储在 AppScan® 源数据库 中(需要登录和认证才能访问),如果您尚未将当前插件会话登录到 AppScan®,那么共享过滤器在插件中不可用。

变通方法:在访问插件中的过滤模块之前执行扫描(或要求登录的任何其他操作)。一旦登录,共享过滤器就将可用。

重要: 在 Developer 插件中打开“编辑过滤器”视图时,将装入过滤器。如果此视图已打开,那么登录后并不会使用共享过滤器来更新该视图。变通方法是关闭该视图,重新启动插件,登录到 AppScan®,然后重新打开“编辑过滤器”视图。

修改定制规则和插件使用

如果您在 AppScan® Source for Analysis 中创建定制的规则,并且已登录到 AppScan® Source for Development 插件,那么必需重新启动 IDE 才能看到更改。

不再支持“评估摘要”视图的图标样式选择

在“评估摘要”视图中,您可以不再选择显示图表样式。仅条形图的图标样式是可用的。

AppScan® Source for Development(Visual Studio 插件)

如果在不结束所有 AppScan® java 进程的情况下升级 AppScan®,可能会导致 How to Fix(修复方式)视图失败

如果在 AppScan® java 进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件)AppScan® Source for Development(Visual Studio 插件) 组件的 AppScan® 安装之前,确保没有 AppScan® java 进程正在运行。

复制大型评估中的大量结果时发生延迟

当您在包含大量结果的评估中选择多个并复制多个结果时,在复制操作被添加到剪贴板之前可能遇到几秒钟的延迟。请确保在尝试粘贴所复制内容之前复制操作已完成。

扫描在未安装的 Microsoft Visual Studio 版本中创建的解决方案文件。

如果尝试扫描在系统上未安装的 Visual Studio 版本中创建的解决方案文件,AppScan® 将尝试在系统上查找 Visual Studio 的兼容版本并将其用于扫描。

Microsoft Visual Studio 中的 AppScan®“关于”对话框被截断

使用特定的国家语言时,AppScan® Source for Development(Visual Studio 插件) 的“关于”对话框显示为被截断。要解决该问题,请调整屏幕分辨率和/或字体大小,以获取最好的显示效果。

AppScan® Source for Development 中的共享/全局过滤器没有一致地显示。

AppScan® Source for Development 中的过滤模型可使您打开已保存的资产并执行过滤操作,而无需登录 AppScan®Enterprise Server 和向其进行认证。由于共享过滤器存储在 AppScan® 源数据库 中(需要登录和认证才能访问),如果您尚未将当前插件会话登录到 AppScan®,那么共享过滤器在插件中不可用。

变通方法:在访问插件中的过滤模块之前执行扫描(或要求登录的任何其他操作)。一旦登录,共享过滤器就将可用。

重要: 在 Developer 插件中打开“编辑过滤器”视图时,将装入过滤器。如果此视图已打开,那么登录后并不会使用共享过滤器来更新该视图。变通方法是关闭该视图,重新启动插件,登录到 AppScan®,然后重新打开“编辑过滤器”视图。

不再支持“评估摘要”视图的图标样式选择

在“评估摘要”视图中,您可以不再选择显示图表样式。仅条形图的图标样式是可用的。

AppScan® Source 命令行界面 (CLI)

发出 publishassessasepase 命令会导致 HttpAuthenticator 警告

如果要使用 CLI 来发布到仅启用了 Windows 认证的 AppScan® 企业控制台,那么在发出 publishassessasepase 命令时可能会看到类似于以下内容的警告:

WARN [main] (HttpAuthenticator.java:207) - NEGOTIATE authentication error: org.ietf.jgss.GSSException, major code: 2, minor code: 0
  major string: Unsupported mechanism
  minor string: No factory available to create name for mechanism x.x.x.x.x.x.x
Assessment successfully published to: https://<ase_hostname>/ase

这些警告将不会影响评估的发布并可被忽略。

Microsoft Windows

扫描 Windows C/C++ 应用程序

Windows C/C++ 应用程序现已以 64 位方式扫描。

非 64 位安全 C/C++ 应用程序可能会遇到扫描错误。

卸载 Windows 上的 AppScan® 挂起

在 Windows 系统上安装 AppScan Source v10.0.0 服务器和客户机功能集后,如果进程尝试删除 <InstallDir>\engine 中的 JRE 文件,请卸载挂起。

发生此情况时,请手动终止进程并完成卸载。

要终止并完成卸载进程,请执行以下操作:

  1. 首先单击右上角的“x”,尝试手动关闭安装程序对话框。
  2. 如果手动关闭此对话框失败:
    1. 打开 Windows 任务管理器。
    2. 详细信息选项卡上,找到 AppScanSrc_Uninstaller.exe 进程。
    3. 右键单击该进程并选择终止任务
  3. 从 Windows Explorer 中,删除安装目录。缺省情况下,AppScan® V10.0.6 和更早版本的安装目录是 C:\Program Files(x86)\IBM\AppScanSource
  4. 删除数据目录。缺省情况下,AppScan® V10.0.6 和更早版本的数据目录是 C:\ProgramData\IBM\AppScanSource
注: 仅卸载 AppScan Source v10.0.0 的客户机安装,不会导致挂起。

AppScan® 安装被 Windows Defender 中断

在旧版 Windows 中安装AppScan® Source时, Windows Defender 可能会中断安装进程并弹出警告框。单击弹出框继续安装。有关其他信息,请参阅https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-smartscreen/windows-defender-smartscreen-overview

如果在不结束所有 AppScan® java 进程的情况下升级 AppScan®,可能会导致 How to Fix(修复方式)视图失败

如果在 AppScan® java 进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件)AppScan® Source for Development(Visual Studio 插件) 组件的 AppScan® 安装之前,确保没有 AppScan® java 进程正在运行。

AppScan® 配置文件包含特殊字符时出错

Windows 上,配置文件(.ppf.paf.osc)的文件中的某些特殊字符(例如 Ç, à, ∾, ¥, §, Æ)可能会导致错误。

不支持库 idprogid 格式的 #import

Microsoft Visual C++ #import 前处理器指令具有多种形式。 AppScan® 不支持两个使用库 idprogid 的窗体。包含这些格式的文件将不进行扫描,并且在控制台中会出现错误消息。

引用的组合件必须与正在扫描的组合件位于同一目录,或者注册在全局组合件高速缓存 (GAC) 中

仅当所有引用的或从属的组合件与正在扫描或组合件位于同一文件夹中,或者注册在 GAC 中时,AppScan® 才能生成对 .NET 应用程序的完整扫描。如果组合件引用磁盘上其他位置的组合件中定义的类型,那么您可能会看到如下的错误:

Skipping file <assembly_name> due to error: Failed (0x80004005) in <type> call
     Referenced assembly <referenced assembly name> was not found.

要修正这些错误,请将引用的组合件复制到与正在扫描的组合件相同的目录,或者将其注册到 GAC 中。

使用 .NET Core 汇编的 .NET 组合件项目

AppScan® 不支持包含使用 .NET Core 生成的汇编文件的 .NET 组合件项目。.NET Core 项目的扫描方式与 .NET 解决方案文件相同。有关更多信息,请参阅 通过用户界面操作添加现有应用程序

Visual Basic 6 扫描必需完整函数声明

#if#else if#end if 必须包含函数的完整声明。例如:

#If NATIVEBINDING Then
Public Function TemplateFromRule(ByVal Rule As OrgMan.Rule) As AcDir.Template
          	Dim oOp As OrgMan.Operation
#Else
Public Function TemplateFromRule(ByVal Rule As Object) As AcDir.Template
          	Dim oOp As Object
#End If
          	If Rule Is Nothing Then Exit Function
          	oOp = Rule.Operation
          	If oOp Is Nothing Then Exit Function
          	TemplateFromRule = BuildTemplate(oOp.Command, Rule.Field, Rule.Value)
End Function

非英语语言环境中的对话框和消息截断

AppScan® 中,即使典型的 Microsoft Windows 控件指示其不具备调整大小的能力,某些对话框和消息的大小仍然可以调整。如果在非英语语言环境中运行 AppScan® 产品图形用户界面,而且对话框和消息包含截断的字符串,您可以调整对话框或消息的大小,以阅读对话框或消息的全部内容。

AppScan® Source for Development(Visual Studio 插件) 限制

适用于 AppScan® Source for Development(Visual Studio 插件) 的任何限制也特定于 Windows。请参阅 AppScan Source for Development(Visual Studio 插件)

Linux

节点锁定许可证和 Red Hat Enterprise Linux 7.4

IBM 源节点锁定许可证可能无法正确使用 Red Hat Enterprise Linux 7.4。移动到 HCL 源节点锁定许可证。请联系 HCL 支持人员以获取其他信息。

在 Red Hat Enterprise Linux 7.x 上卸载 AppScan Source

在 Red Hat Enterprise Linux 7.x 上,必须在卸载 AppScan Source V9.0.3.x 后重新启动系统,才能停止运行所有 AppScan Source 进程。

如果在不结束所有 AppScan® java 进程的情况下升级 AppScan®,可能会导致 How to Fix(修复方式)视图失败

如果在 AppScan® java 进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

或者

Error executing query and transform

升级包含 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件)AppScan® Source for Development(Visual Studio 插件) 组件的 AppScan® 安装之前,确保没有 AppScan® java 进程正在运行。

Linux “修复帮助”视图的 Mozilla 需求

Linux 上的“修复帮助”视图需要针对 GTK2 或更高版本来链接的 Mozilla。

安装针对 GTK2 或更高版本链接的 Mozilla。获取 Mozilla 后,将其解压缩,然后添加指向它的环境变量 MOZILLA_FIVE_HOME。例如,如果将存档解压到 /usr/local 并使用 bash shell,请将 export MOZILLA_FIVE_HOME=/usr/local/mozilla 添加到 ~/.bashrc

SELinux 防止安装、产品激活和运行

Security Enhanced Linux (SELinux) 是一个 Linux 功能部件,它通过 Linux 内核的 Linux 安全模块来提供更佳的安全性和访问控制。缺省情况下,它随附于 Red Hat Enterprise 5。

  1. 安装:在“强制”方式下无法使用 SELinux 来安装 AppScan®。必须将 SELinux 更改为“非强制”方式。要在“非强制”方式下运行 SELinux,请发出 /usr/bin/system-config-selinux 或(如果运行的是 GNOME)选择系统 > 管理 > SELinux 管理。系统将提示您输入 root 用户的密码。在左窗格中选择状态(如果尚未选定)。在右窗格中,将当前强制方式下拉列表更改为非强制。将 SELinux 设置为“非强制”后,照常运行 AppScan® 安装。安装完成后,可以将 SELinux 设置更改回强制
  2. 产品激活:在“强制”方式下无法使用 AppScan® License Manager。必须将 SELinux 更改为“非强制”方式。要在“非强制”方式下运行 SELinux,请发出 /usr/bin/system-config-selinux 或(如果运行的是 GNOME)选择系统 > 管理 > SELinux 管理。系统将提示您输入 root 用户的密码。在左窗格中选择状态(如果尚未选定)。在右窗格中,将当前强制方式下拉列表更改为非强制。将 SELinux 设置为“非强制”后,运行 License Manager。完成产品激活后,可以将 SELinux 设置更改回强制
  3. 运行中:在“强制”方式下,AppScan® 随附的 JRE 和 JDK 将不运行。不过,不必禁用“强制”方式,因为可以向触发 SELinux 的文件授予相应的许可权来进行操作。这是(通过发出 chcon -t textrel_shlib_t <filename>)使用 chcon 命令来完成的。需要针对 <installdir>/jre<installdir>/JDKS 目录下的所有共享对象文件 (.so) 来发出此命令。这可使用带 exec 参数的 find 命令以批处理方式执行。例如:
    cd /opt/ibm/appscansource/jre
    sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print
    cd ../JDKS
    sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print

Linux 上的 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件) 必备组件

Linux 上,Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件,那么 AppScan® Source for AnalysisAppScan® Source for Development(Eclipse 插件) 可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。

LinuxAppScan® Source for Analysis 的间断关闭

要防止意外关闭,请升级 Pango。Pango 升级可能需要升级 glib。

Linux - 在安装期间将 AppScan® 守护程序配置为以非“ounce”用户身份运行后,启动 AppScan® Source for Analysis 时出错

通过 AppScan® Source for Analysis 安装程序,可以将 AppScan® 守护程序进程配置为以名为“ounce”的缺省用户省份或以现有用户身份运行。

变通方法:如果不选择缺省用户,那么必须在 AppScan® 安装目录(例如 /opt/hcl/appscansource)中创建包含以下行的 eclipse.ini 文件:

-configuration @user.home/.ounceconfig

扫描使用旧版本的 gcc(如 2.95.4)编译的源代码会产生错误

例如,诸如以下的错误:

Skipping file: file.cpp due to error: "/home/file.cpp", line 97: error: namespace "std" has
          	no member "string"
          	std::string mystring;

可能出现。

变通方法:向项目的编译器选项中添加 --ignore_std 选项。此选项会启用 gcc 兼容性功能,该功能使 std 名称空间成为全局名称空间的同义词。在 AppScan® Source for Analysis 中项目“属性”视图的“项目依赖性”选项卡上添加此选项。或者,如果使用 Ounce/Make 来创建项目文件,请修改 Ounce/Make 属性文件中 GlobalProjectOptions 元素的 compiler_options 属性。

macOS

停止 macOS 支持

自 V9.0.3.11 起,AppScan® 不再支持 MacOS 或 iOS Xcode 项目扫描。

其他信息

AppScan® V10.2.0 中的增强功能和新增功能

附加 AppScan®AppScan® Enterprise 互操作性信息

  • AppScan® Enterprise V10.2.0 升级了对 CVSS 3.1 的支持。作为 AppScan® 用户,如果您升级到 AppScan® Enterprise V10.2.0,由于 CVSS 3.1 规范的性质,严重性值可能存在差异。单击此处了解更多信息。

AppScan® V10.2.0 中的修复和安全更新

此处列出了修复和安全更新。

AppScan® V10.2.0 中的已知问题

  • 在 Windows 2016 上运行 AppScan® 并使用非英语语言环境时,AppScan® 无法将评估发布到 AppScan® Enterprise
  • 使用 C# 文件扫描文件夹时,文件夹扫描使用 Xamarin 扫描程序。当用户并未同样使用 Xamarin 时,这可能导致大量误报。

AppScan® V10.1.0 中的增强功能和新增功能

  • AppScan® 支持 Red Hat Enterprise Linux 8.3
  • Eclipse IDE 2022-06 现在支持 HCL® AppScan® Source for Development(Eclipse 插件)
  • AppScan® 支持 Java 17,并将其包含在安装包中。
  • AppScan® 支持 Tomcat 9,并将其包含在安装包中。
  • AppScan® 现在允许扫描文件夹,而无需创建 .PAF 或 .PPF 文件。
  • 扩展了对 Ruby、Groovy、JavaScript 和 PHP 扫描的支持。单击此处查找系统需求信息。

附加 AppScan®AppScan® Enterprise 互操作性信息

AppScan® V10.1.0 支持 AppScan® Enterprise Server V10.1.0。AppScan® V10.0.8 和更低版本 支持 AppScan® Enterprise Server V10.1.0。请升级这两个产品,以确保适当的互操作性。

AppScan® V10.1.0 中的修复和安全更新

此处列出了修复和安全更新。

AppScan® V10.1.0 起即将停止提供或删除的功能

  • 已除去以下报告和报告过滤器:
    • CWE SANS Top 25 2011 报告
    • OWASP Top 10 2013 报告
    • CWE SANS Top 25 2011 报告过滤器
    • OWASP Top 25 2010 报告过滤器
    • OWASP Top 25 2013 报告过滤器
  • 不再支持缺陷跟踪系统集成。
  • 不再支持通过电子邮件发送结果。

  • 不再支持质量度量值。
  • Tomcat 7 不再包含在 AppScan® 安装包中。
  • AppScan® 将在未来的发行版中放弃对 SolidDB 和 OracleDB 的支持。

AppScan® V10.0.8 中的增强功能和新增功能

AppScan® V10.0.8 中的修复和安全更新

此处列出了修复和安全更新。

AppScan® V10.0.8 中的已知问题

  • 使用 Eclipse 插件时, AppScan® Source for Development 必须配置 Java 8。

AppScan® V10.0.7 中的增强功能和新增功能

AppScan® V10.0.7 中的修复和安全更新

此处列出了修复和安全更新。

AppScan® V10.0.7 中的已知问题

  • 在 Windows 上,从 AppScan® V9.0.3.x 或 V10.0.0 升级到 AppScan® V10.0.7 时,必须先执行到 AppScan® V10.0.1 至 V10.0.6 之间的临时升级。
    重要: 不要卸载然后重新安装。要维护数据库,必须分两个步骤进行升级。
  • 使用 Oracle 数据库配置的 AppScan® 需要使用 16 个或更多字符的强密码。

AppScan® V10.0.7 中即将停止提供或删除的功能

  • AppScan® 的未来版本中将删除对 SolidDB/Oracle 的支持。请立即制定计划,手动或通过数据库迁移实用程序将数据从 SolidDB/Oracle 迁移到 AppScan®Enterprise Server

AppScan® V10.0.6 中的高级功能和新增功能

  • 与在 AppScan® Source for Analysis 中一样,缺省情况下 Visual Studio 插件中的发现结果视图现在按修复组显示发现结果。
  • 用于 AppScan® Source for Analysis 中的评估比较 的算法已使用新算法进行更新。AppScan® Source for Analysis 客户机中的评估比较结果将与AppScanDelta命令一致;但是,与先前版本的 AppScan® 中的比较结果可能会有一些差异。
  • 现在,作为算法更新的一部分,您可以从 AppScan® Source for Analysis 中的评估差异视图中选择保存新发现结果和/或已解析发现结果的评估 。

  • AppScan® 支持对 C/C++、.Net 和 Java 进行仅源代码扫描
  • AppScan® 向行业标准报告添加了建议信息,以帮助修复发现结果。
  • AppScan® 支持使用“主题备用 名 - 多域 (SAN)” 证书进行 CAC 认证
  • AppScan® 支持 Dart 编程语言
  • 支持在 Linux 系统上停止/取消扫描。

AppScan® V10.0.6 中的已知问题

  • 如果您使用 AppScan® V10.0.5 或更旧版本创建的 Objective-C .paf/.ppf 文件运行扫描,则对 Objective-C 项目的执行扫描将失败。重新配置 AppScan® V10.0.6 中的 Objective-C 项目,然后重试。

AppScan® V10.0.6 中的修复和安全更新

  • 此处列出了修复和安全更新。

AppScan® V10.0.6 中即将停止提供或删除的功能

  • AppScan® 已停止对单文件扫描版本 10.0.0 的支持。

AppScan® V10.0.5 中的高级功能和新增功能

  • KBArticle 服务器已替换为 AppScan Security Info ServerAppScan Security Info Server 的内容和界面已更新,以便更好地为用户提供服务,但其用途与先前 AppScan® 版本中的 KBArticle 服务器相同:帮助用户缓解和解决应用程序安全发现结果。
  • AppScan® 向报告添加了建议信息,以帮助修复发现结果。
  • 修复帮助视图已重命名为如何修复
  • AppScan® 已添加对 DISA STIG V5r1 报告格式的支持。

    此新报告列出了应用程序安全核对表 V5.1 中指定的漏洞类别。在可能的情况下,AppScan® 会生成相关结果,以帮助审阅者确定应用程序是否符合 STIG 的要求。

  • WindowsLinux 上支持 HCL Common Local License Server 2.0。
  • AppScan® 支持生成结果报告,在其中,结果按修复组分组。

附加 AppScan® V10.0.5 和 AppScan® Enterprise V10.0.5 互操作性信息

  • 现在,可以使用 AppScan® Enterpriseasc.properties 文件中的新属性,根据预期用户响应来均衡从“监控”选项卡中将问题发布到 AppScan® Enterprise 或导入到 AppScan® Enterprise 的速度。请参阅AppScan® Enterprise 文档以获取关于如何使用 issue.import.batch.interval 的详细信息。

AppScan® V10.0.5 中的已知问题

  • AppScan Source 的语言环境设置应与系统语言环境设置匹配,以避免控制台输出中出现字符乱码。
  • 在 Linux 的如何修复视图中存在一些呈现问题。此外,外部引用链接不会从 Linux 的如何修复视图打开;可在外部浏览器中打开文章以正确呈现并访问外部链接。
  • 在使用 ounceauto 命令生成报告时,当自动化服务器无法启动 AppScan Security Info 服务器时,报告中未包含如何修复信息。要解决此问题,请在使用 ounceauto 生成报告前启动 AppScan® for Analysis 或命令行界面(CLI 客户机);AppScan Security Info 服务器由 AppScan® for Analysis 和 CLI 客户机自动启动。

AppScan® V10.0.4 中的高级功能和新增功能

  • 自 V10.0.4 起,AppScan® 支持以下操作系统:
    • Windows Server 2019
    • Red Hat Linux V7.8 和 V7.9

    有关其他信息,请参阅系统需求和安装必备软件

  • 自 V10.0.4 起,AppScan® 支持以下语言和语言版本:
    • Java V9、V10 和 V11。
      • AdoptOpenJDK 11 是缺省配置
      • 指定的任何备用 JDK 都必须为 64 位
    • .NET Core 3.1
    • 基础结构即代码 (IaC)

    有关其他信息,请参阅系统需求和安装必备软件

AppScan® V10.0.4 中的已知问题

  • AppScan® V9.3.14 或更低版本中创建并在“属性”视图中标记为排除的捆绑包在升级到 AppScan® V10.0.0 及更高版本后会排除结果。应在 AppScan® V10.0.0 或更高版本中重新创建捆绑包。
  • AppScan® Source for Analysis 客户机中的所有应用程序执行扫描可能会填充“结果”视图,而不会填充修订组。请对单个应用程序执行扫描以避免此结果并在修订组中恰当显示结果。
  • 如果评估文件名包含本机字符,则在非英语语言环境中将评估发布到 AppScan® Enterprise 会失败。请从文件名中删除本机字符并重新发布。

AppScan® V10.0.3 中的增强功能和新增功能

  • 自 V10.0.3 开始,AppScan® 添加了对以下语言的支持:
    • Android Java
    • Ionic
    • 目标 C
    • React Native
    • SAP ABAP
    • Vue.js
    • Xamarin

    有关更多信息,请参阅系统要求

  • 对静态分析的修订组支持。

    修订组是一种管理、分类和解决在静态分析扫描中发现的问题的新方法。运行静态扫描后,AppScan® 会根据漏洞类型和所需修复任务将问题组织到修订组中。有关更多信息,请参阅使用静态分析修订组

  • 作为修订组支持的一部分,在“选择结果报告”对话框中会显示辅助报告的技术预览。报告当前仅显示有关修订组类型的简要信息。在未来的版本中,将向报告功能添加其他深入信息,包括修订组的最佳修订位置。

AppScan® V10.0.3 中的已知问题

  • CLI 命令 details 间歇性地报告错误。但是,此命令的功能不受影响。
    ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
  • 打开发布到 AppScan® 数据库的评估查看修订组信息时,NULL 可能会显示在修订组类型或修订组标识的位置。将评估保存到本地文件系统,然后使用“打开评估”命令将其打开,以查看已发布静态分析评估的修订组信息。

附加 AppScan Source V10.0.3 安装和互操作性信息

  • 如果升级 AppScan® 或执行 AppScan® V10.0.3 的修复安装,则在先前安装配置了数据库的情况下,您必须手动启动 AppScan Source DB 服务。

AppScan® V10.0.2 中的高级功能和新功能

  • AppScan® V10.0.2 起,需要使用 HCL 许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证
  • AppScan® Analysis V10.0.2 不要求连接数据库,即可执行扫描。可在 AppScan® Enterprise 中配置与 AppScan Enterprise 的集成以共享扫描配置和结果。有关断开连接时的功能,详见此处
  • AppScan® 推出了对以下语言的支持:Angular 8、Angular 9、Groovy、Symfony 和 TypeScript。有关完整信息,请参阅系统要求

附加 AppScan® V10.0.2 安装和互操作性信息

  • AppScan® V10.0.2 安装到干净的系统中时,无需安装数据库,因此无需执行数据库配置。配置与 AppScan Enterprise 的集成以存储和检索共享信息。
  • AppScan® V10.0.2 安装到干净系统中以在连接模式下使用时,需要使用 AppScan® Enterprise V10.0.2。不支持更低版本的 AppScan® Enterprise。此外,AppScan Enterprise Server 必须安装有 User AdministrationEnterprise Console
  • 从先前版本升级至 AppScan® V10.0.2 后,完全支持先前安装的任何数据库,包括配置功能。

  • 如果执行 AppScan® V10.0.2 的修复安装,则在先前安装配置了数据库的情况下,您必须手动启动 AppScan Source DB 服务。
  • 如果升级仅安装了自动化服务器或客户机组件的 AppScan® 并且随后执行修复安装,则在 'ounce.ozsettings 中更新以下属性:
    • name=core_provider value=1
    • name=connect_mode value=false
  • 不支持在 V10.0.2 之前创建的静默安装程序响应文件。必须创建新的静默安装程序响应文件,才能用于 AppScan® V10.0.2。

AppScan® V10.0.2 中即将停止提供或删除的功能

  • AppScan Source 不再支持 IBM 许可证,也无法再在许可证管理器中配置这些许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证
  • AppScan® V10.0.2 不再支持 Visual Studio 2010。
  • SolidDB 不再附带 AppScan®,且不再作为解决方案的一部分进行安装。现已安装的 SolidDB 继续受支持。
  • “管理”菜单下的“审核日志”选项不再可用。

AppScan® V10.0.1 中的高级功能和新功能

  • AppScan® V10.0.1 具有增强的许可功能,在用户界面中包含对基于 HCL 的许可证的代理支持,允许使用不受信任的证书连接到本地许可证服务器。
  • AppScan® V10.0.1 引入了 AppScanDelta。此功能允许用户从命令行执行两个评估之间的差异比较
  • AppScan® 支持 NetCore 2.1 和 2.2。
  • AppScan® V10.0.1 支持 Scala、Swift、Kotlin 和 ReactJS 语言。请参阅系统需求获取更多信息。
  • AppScan® V10.0.1 支持 DISA STG v4r10 报告格式。

AppScan® V10.0.1 中的已知问题

  • 如果正在扫描一个来自 2015 版本或更早版本的 Visual Studio 项目,则扫描可能失败,并显示一条要删除 discoverymanager.exe.config 的消息。删除指定的文件并重试。有关更多信息,请参阅此处

AppScan® 互操作性

  • AppScan® Enterprise V9.0.3x 和 V10.0.0 必须进行如下配置才能与 AppScan® V10.0.1互操作:
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan® V10.0.1 中即将停止提供或删除的功能

AppScan® V10.0.1 起,即将停止提供以下功能。请进行相应规划。

  • 重要信息! 新版本 AppScan® 对 IBM 许可证的支持将于 2020 年第三季度(八月/九月)结束。AppScan® 产品的后续新版本将支持 HCL 许可证。有关许可的其他信息,请参阅 激活软件。您也可以联系 HCL 代表或 HCL 支持人员
  • 自 2020 年第三季度(八月/九月)起,SolidDB 将不再随产品更新一起提供。仍将支持现有安装。

AppScan® V10.0.0 中的高级功能和新功能

  • IBM® Security AppScan® Source 现在为 HCL® AppScan®

    在 2019 年中旬,HCL Technologies 从 IBM 收购了 AppScan® 系列产品,包括 AppScan® EnterpriseAppScan® Standard、AppScan®AppScan® on Cloud。现在,所有 AppScan® 产品均由 HCL Software 拥有、开发和推广。所有许可证、徽标、命名约定以及其他知识产权和/或商标权均由 HCL 拥有。因此,所有 AppScan® 产品均已更名,以反映这一所有权及其发展和增长的新阶段。

  • 有关 HCL 许可 的介绍 HCL® AppScan®

    作为从 IBM 到 HCL 过渡的一部分,HCL 正在为 AppScan® 系列产品引入以 HCL 为中心的许可证软件包。AppScan®AppScan® Standard 和 AppScan® 使用本地 FlexLM 许可证服务器,该服务器通过代理服务器进行认证;AppScan® on Cloud 使用 Okta 提供的市场租赁客户标识访问管理 (CAIM) 系统。

  • AppScan® 现支持 Go 编程语言 (Golang)。
  • AppScan® 现在在 Visual Studio 2015、2017 和 2019 中支持 C++ 扫描。
  • AppScan® 现在支持 Oracle 19c。
  • 新的数据流扫描功能可以执行更完整的代码分析,从而获得更多结果。
  • 对于 AppScan® 包含自定义扫描程序的语言,使用 AppScan® v10 进行扫描时您可能会发现结果存在显著差异。如果扫描已转换为自定义扫描,这可能会减少结果数量。自定义扫描程序规则不断变化,将进行定期添加,很容易增强。
  • 增强了与 Intelligent Code Analytics (ICA) 和 Intelligent Findings Analytics (IFA) 的集成。

    启用 ICA/IFA 后,您可以看到和访问“已排除发现结果”选项卡。有关其他信息,请参阅AppScan® 文档中的 Intelligent Findings Analytics (IFA)

    缺省情况下,所有扫描均启用 IFA。如果启用,将应用至当前扫描和未来扫描。不能应用至之前扫描的评估。

  • 扫描 AppScan® 中的 .NET 项目(ASP、WEB、Framework、Core)以反映 HCL AppScan on Cloud 中的进程。.NET 项目在扫描之前必须能够被编译,并且项目属性中必须具有正确的构建规范。
  • 要安装和 AppScan® 运行基本扫描,必须至少具有 15 GB 空间。但是,所需磁盘空间将随要扫描的应用程序不同而异。建议至少准备 8 GB 的 RAM 和 15-20 GB 的可用磁盘空间。您可能还需要增加 Windows 页面文件要求(有关详细信息,请参阅 Windows 10 中提高电脑性能的提示)。
  • 有关系统需求以及扫描和插件支持的其他信息,请参阅系统需求和安装必备软件或联系 HCL 支持人员

AppScan® V10.0.0 互操作性

HCL® AppScan® 10.0.0 要求使用 AppScan® 10.0.0 数据库(SolidDB 或 Oracle):
  • 由于数据库内容(与扫描规则相关)差异,因此 AppScan® V10.0.0 客户端无法正确使用 AppScan® V10.0.0 以下版本的数据库正确扫描。
  • 同样,AppScan® V10.0.0 之前的客户也将无法使用 AppScan® V10.0.0 数据库正确扫描。
AppScan® 10.0.0 将可与 V9.0.3.x 之前的 AppScan® Enterprise 互操作。
  • AppScan® V9.0.3.x 无法使用通过 AppScan® 10.0.0 数据库实例配置的 AppScan® Enterprise 实例,反之亦然
  • AppScan® Enterprise V9.0.3.x 必须按照如下说明配置,才能与 AppScan® V10.0.0 互操作:
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

其他 AppScan® V10.0.0 安装说明

安装 AppScan® V10.0.0 与 Visual Studio 2019 插件时,安装似乎成功完成,但 Visual Studio 2019 插件可能安装不正确。

要在 Visual Studio 2019 中安装 AppScan® V10.0.0 插件,请执行以下操作:

  1. 确保在目标系统上安装 HCL® AppScan® V10.0.0。在安装过程中选择 Microsoft Visual Studio 2019 插件。
  2. 如果已在 Visual Studio 2019 目标实例中安装了 V10.0.0 之前版本的 AppScan®,请按照以下步骤将其卸载:
    1. 启动目标 Visual Studio 2019 实例。
    2. 打开 Visual Studio > 扩展 > 管理扩展
    3. 已安装选项卡上,从列表中选择 AppScan Source 插件
    4. 单击卸载插件,然后按照提示完成卸载。
  3. 按照如下步骤操作,将 HCL® AppScan® V10.0.0 插件安装到 Visual Studio 2019 实例:
    1. 关闭所有 Visual Studio 2019 实例。
    2. HCL® AppScan® 版本下载网站下载 VS2019Plugin.zip
    3. 将压缩文件的内容解压到 <AppScan Source Install Dir>(缺省位置为 C:\Program Files (x86)\IBM\AppScanSource)。出现提示时,所有选项都选择
    4. <AppScan Source Install Dir>/bin 目录中双击 AppScanSrcPlugin.vsix
    5. 在生成的“VSIX 安装程序”对话框中,选择Visual Studio <Edition> 2019,然后单击安装

      基于机器上安装的内容,版本可以是专业版、企业版或社区版。可以选择安装多个版本(如有)。

    6. 安装完成后,关闭对话框。
    7. 重新启动 Visual Studio 2019。AppScan Source 插件显示在扩展下方。

AppScan® V10.0.0 中的已知问题

此部分介绍 AppScan® V10.0.0 的相关信息、已知问题和变通方法。

AppScan® V10.0.0 中即将即将停止提供的功能

AppScan® V10.0.0 起,即将停止提供以下功能。请进行相应规划。

AppScan® V10.0.0 中不再支持的功能和特性

  • 不再支持漏洞高速缓存。
  • 不支持增量扫描。
  • 不支持非 CPA 扫描。
  • 自 V9.0.3.11 起,AppScan® 不再支持 MacOS 或 iOS Xcode 项目扫描。

    AppScan® 的一些组件为 32 位。MacOS 10.14 (Mojave) 是支持 32 位应用程序的最后一个 Mac 操作系统版本。

    您可以在 Mac 操作系统(包括 10.12 及更高版本)上继续使用 AppScan® V9.0.3.10 和更低版本。

文档

可在可以找到 AppScan Source 文档的位置获取有关 AppScan® 文档的信息。

获取技术支持

有关获取本产品的技术支持的信息可在 https://support.hcltech.com/csm?id=csm_index 上获取。

产品 Web 站点位于 https://www.hcltechsw.com/wps/portal/products/appscan