移轉至 AppScan 來源 現行版本

本主題包含的移轉資訊是針對此 AppScan® 來源 版本已發生的變更。如果是從舊版的 AppScan 來源 升級,請注意您目前所升級的 AppScan 來源 版本及截至此現行版本為止的所有版本所發生的變更。

從 9.0.2 版移轉

註: 從 9.0.3.11 版起,AppScan 來源 不再支援 macOS 或 iOS Xcode 掃描。

新的規則屬性可能會導致現有掃描中的發現項目分類變更

9.0.2 版之後引進 Attribute.Likelihood.HighAttribute.Likelihood.Low 規則屬性。使用這些屬性時,AppScan 來源 可以更正確地判斷發現項目是明確的及/或可疑的。因此,如果您在 AppScan 來源 9.0.2 版或更舊版本中掃描原始碼,您可能會發現在 9.0.2 之後的產品版本中掃描相同的原始碼時,某些發現項目分類會變更。對於很容易遭到惡意探索的 Web 原始碼相關的發現項目,或是較不易遭到惡意探索的內容或環境原始碼,這種情形最明顯。

依預設會使用這些規則屬性。您可以依下列方式將其停用:

  1. 以文字編輯器開啟 <data_dir>\config\ipva.ozsettings(其中 <data_dir>AppScan 來源 程式資料的位置,如安裝和使用者資料檔位置。在檔案中找出 allow_likelihood 設定。這項設定看起來如下:
    <Setting
  name="allow_likelihood"
  value="true"
  default_value="true"
  description="Allow the processing of the Likelihood 
    attributes to help determine trace confidence based 
    on the source API"
  display_name="Allow Likelihood"
  type="bool"
/>
    在這項設定中,修改 value 屬性。如果該屬性設為 true,這項設定即會開啟。如果設為 falseAppScan 來源 在掃描期間不會使用這些規則屬性。
  2. 修改好這項設定之後儲存檔案,再啟動或重新啟動 AppScan 來源

自動產生遺失的接收槽

在 9.0.2 版之後,為結尾為 getters/setters 的追蹤資料以及傳回布林值的方法建立了遺失的接收槽自動解析。這是透過自動為這些應用程式設計介面 (API) 推斷標記來完成。因此,如果您在 AppScan 來源 9.0.2 版或更舊版本中掃描原始碼,您可能會注意到當相同的原始碼在 9.0.2 之後的產品版本中掃描時,含有未解析的遺失接收槽的發現項目結果有些變更。

依預設會開啟自動產生標記。如果您想要使用遺失的接收槽解析的其他方法,例如自訂規則,您可以停用它,如下所示:

  1. 以文字編輯器開啟 <data_dir>\config\ipva.ozsettings(其中 <data_dir>AppScan 來源 程式資料的位置,如安裝和使用者資料檔位置。在檔案中找出 automatic_lost_sink_resolution 設定。這項設定看起來如下:
    <name="automatic_lost_sink_resolution"
  value="true"
  default_value="true"
  description="This setting tries to perform automatic 
    lost sink resolution by assuming taint propagation 
    for getters, setters and APIs which return boolean 
    with no arguments."
  display_name="Auto Lost Sink Resolution"
  type="bool"
/>
    在這項設定中,修改 value 屬性。如果該屬性設為 true,這項設定即會開啟。如果設為 falseAppScan 來源 不會自動產生這些方法的標記。
  2. 修改好這項設定之後儲存檔案,再啟動或重新啟動 AppScan 來源

從 9.0 版移轉

AppScanEnterprise Server 鑑別:使用 IBM® WebSphere® Liberty 取代 IBM Rational® Jazz™ 使用者鑑別元件時的移轉考量

  • 從只有本端 Jazz 使用者的 Enterprise Server 移轉:在此升級實務中,原先的 Jazz 使用者在 AppScan 來源資料庫 中會顯示為 AppScanEnterprise Server 使用者,但是將會無效。您可以從 資料庫中移除這些使用者,或轉換成 AppScan 來源 使用者。如需在 AppScan 來源 中啟用原先 Jazz 使用者的相關資訊,請聯絡 HCL 支援中心
  • 從已配置 LDAP 的 Enterprise Server 移轉:在 Enterprise Server 升級期間,您可以選擇重新以 LDAP 來配置 Enterprise Server。如果這樣做,則現有的使用者在 AppScan 來源 中仍然有效。
  • 從已配置 Windows™ 鑑別的 Enterprise Server 移轉:如果 Enterprise Server 已配置 Windows 鑑別,則只要新的 Enterprise Server Liberty 配置為使用 Windows 鑑別,現有的使用者在 AppScan 來源 中仍然有效。

從 8.7 版移轉

發現項目分類的變更

8.7 版之後,發現項目分類已變更。本表列出對映到新分類的舊分類:

表 1. 發現項目分類變更
AppScan 來源 8.8 版之前的發現項目分類 AppScan 來源 8.8 版開始的分類
漏洞 最後安全發現項目
類型 I 異常狀況 可疑安全發現項目
類型 II 異常狀況 掃描涵蓋面發現項目

可在「漏洞矩陣」視圖中看到這些變更的範例。


8.8 版之前的 AppScan 來源 版本中的「漏洞矩陣」視圖

從 8.8 版開始,此視圖的外觀如下:


AppScan 來源 8.8 版中的「漏洞矩陣」視圖

將改進掃描涵蓋面的預設值變更

AppScan 來源 8.8 版開始:

  • scan.ozsettings 中的 show_informational_findings 的預設值已從 true 變更為 false
  • ipva.ozsettings 中的 wafl_globals_tracking 的預設值已從 false 變更為 true。這項設定可讓 AppScan 來源 在架構型應用程式的不同元件之間尋找資料流(例如,從控制器到視圖的資料流)。

show_informational_findings 經過這樣變更後,將導致評量依預設不包括嚴重性層次為參考資訊的發現項目。

註: 如果您在 8.8 版之前建立的掃描配置還有尚未明確設定這些設定的值,則掃描配置現在會使用其新的預設值。

從舊版還原 AppScan 來源 預先定義的過濾器

AppScan 來源 8.8 版,預先定義的過濾器已改良,可提供更好的掃描結果。如果您需要繼續使用 AppScan 來源 舊版本中預先定義的過濾器(保存的過濾器是列在 AppScan 來源 預先定義的過濾器(8.7.x 版及更舊版本)中),請遵循還原保存的預先定義過濾器中的指示。