Nouveautés
Découvrez les nouvelles fonctions qui ont été ajoutées à AppScan® Source et notez les fonctions et fonctionnalités devenues obsolètes dans cette édition.
- Nouveautés dans AppScan Source version 10.6.0
- Nouveautés dans AppScan Source version 10.5.0
- Nouveautés dans AppScan Source version 10.4.0
- Nouveautés dans AppScan Source version 10.3.0
- Nouveautés dans AppScan Source version 10.2.0
- Nouveautés dans AppScan Source version 10.1.0
- Nouveautés dans AppScan Source version 10.0.8
- Nouveautés dans AppScan Source version 10.0.7
- Nouveautés dans AppScan Source version 10.0.6
- Nouveautés dans AppScan Source version 10.0.5
- Nouveautés dans AppScan Source version 10.0.4
- Nouveautés dans AppScan Source version 10.0.3
- Nouveautés dans AppScan Source version 10.0.2
- Nouveautés dans AppScan Source version 10.0.1
- Nouveautés dans AppScan Source version 10.0.0
Nouveautés dans AppScan® Source version 10.6.0
- Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.6.0
- Correctifs et mises à jour de sécurité dans AppScan Source version 10.6.0
- Problèmes connus dans AppScan Source version 10.6.0
- Fonctionnalités en fin de vie ou supprimées à partir de AppScan Source version 10.6.0
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.6.0
- AppScan® Source prend en charge Windows Server 2022.
- AppScan® Source prend en charge WebSphere Application Server 9.0.
- AppScan® Source prend en charge .NET 8.
- Prise en charge de l'application DISA et du développement de sécurité STIG V5R3.
- AppScan® Source for Analysis améliorations de l'interface utilisateur pour l' analyse des dossiers :
- Prise en charge de l'exclusion des résultats dans les évaluations générées à l'aide de l'analyse des dossiers.
- Prise en charge des options de conservation sous les propriétés du dossier de base pour l'analyse d'un fichier individuel ou d'un ensemble de fichiers dans un dossier ou un sous-dossier.
- AppScan® Source for Development (Plug-in Eclipse) prend en charge Eclipse IDE 2022-09 à 2024-03.
- Prise en charge étendue des analyses de code source C/C++ uniquement grâce à la prise en charge de l'analyse pour Makefile et GNUMakefile
- AppScan® Source prend en charge l'analyse de dossiers avec
ounceauto
. - AppScan® Source prend en charge l'activation de l'analyse globale des secrets via le fichier
scan.ozsettings
. - Précision améliorée pour les langages Java, JavaScript et Python, et pour les secrets de l'analyse.
Correctifs et mises à jour de sécurité dans AppScan® Source version 10.6.0
Les correctifs et mises à jour de sécurité sont répertoriés ici.
Problèmes connus dans AppScan® Source version 10.6.0
- Le jar Draw2d requis pour le plugin Eclipse AppScan® Source n'est pas disponible dans l'IDE Eclipse pour les « développeurs Java ».
Pour résoudre ce problème, téléchargez ce fichier jar manuellement et copiez-le dans
eclipse\plugins
le dossier avant d'installer le plugin.
Fonctionnalités en fin de vie ou supprimées à partir de AppScan® Source version 10.6.0
- A partir de la version 10.7.0, la procédure de licence change. Cette modification n'a aucun impact sur l'utilisation existante. Restez à l'écoute pour plus de détails et de mises à jour sur HCL AppScan.
- Le rapport DISA Application and Security Development STIG V4R10 n'est plus pris en charge.
Nouveautés dans AppScan® Source version 10.5.0
- Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.5.0
- Informations supplémentaires sur la mise à niveau AppScan Source
- Correctifs et mises à jour de sécurité dans AppScan Source version 10.5.0
- Problèmes connus dans AppScan Source version 10.5.0
- Fonctionnalités en fin de vie ou supprimées à partir de AppScan Source version 10.5.0
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.5.0
- Le client AppScan® Source for Analysis prend en charge l'examen des dossiers via l'interface utilisateur.
- Prise en charge de l'examen des feuilles de style en cascade (CSS).
- Le plugin AppScan® Source Visual Studio prend en charge Visual Studio 2022.
- Support étendu pour IaC, RPG et VB.NET en prenant en charge de nouvelles extensions de fichiers :.
- IAC :
.conf
,.curl
,.ini
,.properties
,tf.json
- RPG :
.rpgl
,.sqlrpgle
- VB.NET :
.vbs
- IAC :
- Précision améliorée pour le balayage PHP.
- Prise en charge du rapport OWASP API Top 10 - 2023.
-
Prise en charge de AppScan® Source, y compris les informations de référentiel GitHub dans les fichiers d'évaluation et leur publication sur AppScan® Enterprise. Cette fonctionnalité peut être activée via le fichier
scan.ozsettings
. -
Nouvelle propriété ajoutée dans le fichier de configuration de licence pour l'utilisation de certificats SSL locaux (
use_local_ssl_cert
).
Informations supplémentaires sur la mise à niveau AppScan® Source
- Fermez toutes les instances Visual Studio 2022.
- Téléchargez
VS2022Plugin.zip
depuis le portail de téléchargement de logiciels et de gestion des licences HCL. - Extrayez le contenu du fichier zip dans le répertoire d'installation par défaut.
L'emplacement par défaut est
C:\Program Files\HCL\AppScanSource
. - Cliquez deux fois sur
AppScanSourcePlugin2022.vsix
à partir du répertoire<default_installation_directory>/bin
. - Dans la boîte de dialogue de l'installateur VSIX qui apparaît, sélectionnez Visual Studio <Edition> 2022 et cliquez sur Installer.
L'édition peut être Professional, Enterprise ou Community en fonction de ce qui est installé sur le serveur. Vous pouvez sélectionner plusieurs éditions à installer, si elles sont disponibles.
- Lorsque l'installation est terminée, fermez la boîte de dialogue.
- Redémarrez Visual Studio 2022.
Le plugin AppScan® Source apparaît sous Extensions.
Correctifs et mises à jour de sécurité dans AppScan® Source version 10.5.0
Les correctifs et mises à jour de sécurité sont répertoriés ici.
Problèmes connus dans AppScan® Source version 10.5.0
- L'authentification CAC ne fonctionne pas avec TLS 1.2 dans le plugin Eclipse AppScan® SourcePour contourner ce problème, ajoutez ce qui suit au fichier
eclipse.ini
sous-vmargs
:--add-exports=java.base/sun.security.internal.spec=ALL-UNNAMED
- L'option de menu contextuel pour analyser un fichier individuel ou une collection de fichiers dans un dossier ou un sous-dossier ne conserve pas les options sous les propriétés du dossier de base.
- Renommer un dossier configuré pour l'examen au niveau du système de fichiers peut entraîner des résultats inattendus.
Pour contourner ce problème, supprimez le dossier à l'aide de l'option Supprimer dossier, renommez-le, puis ajoutez-le à nouveau.
- Lorsque des évaluations sont générées à l'aide de l'examen de dossiers, les filtres permettant d'exclure les réponses incorrectes dans la vue Constatations et d'inclure les réponses incorrectes dans la vue Constatations exclues ne fonctionnent pas.
Fonctionnalités en fin de vie ou supprimées à partir de AppScan® Source version 10.5.0
- Microsoft Visual Studio 2013 arrivera en fin de service (EOS) le 9 avril 2024. HCL® AppScan® Source Ne prendra plus en charge Microsoft Visual Studio 2013 après la date d'EOS.
Nouveautés dans AppScan® Source version 10.4.0
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.4.0
- AppScan® Source prend en charge Windows 11.
- AppScan® Source prend en charge Red Hat Enterprise Linux 8.8.
- AppScan® Source prend en charge le lancement d'un examen avec un temps d'attente en cas d'indisponibilité de la licence à l'aide de la commande scan de l'interface de ligne de commande (CLI) ou de la commande ounceauto ScanApplication.
Lorsqu'une licence AppScan® Source for Automation n'est pas disponible, un examen attend pendant une période configurée dans
CLI.ozsettings
ou avec une valeur transmise avec un argument-waitforlicense
dans la commandescan
. Désactivez la fonction de temps d'attente en définissant sa valeur sur zéro. - AppScan® Source prend en charge l'examen des codes secrets uniquement, soit avec un projet codes secrets uniquement, soit en utilisant le paramètre
-secretsonly
avec la commande d'interface de ligne de commandescan
pour l'examen des dossiers.L'examen des codes secrets uniquement recherche les mots de passe codés en dur, les numéros de carte de crédit et les numéros de sécurité sociale (SSN) lorsque ces codes secrets sont détectés dans le code en cours d'examen.
- AppScan® Source vous permet d'activer ou de désactiver l'examen des codes secrets pour les examens de code source uniquement en modifiant les propriétés de l'application ou du projet, ou en utilisant le paramètre
-enablesecrets
avec la commande d'interface de ligne de commandescan
pour l'examen des dossiers. Vous pouvez également activer l'examen des codes secrets lors de la création du projet.L'examen des codes secrets recherche les mots de passe codés en dur, les numéros de carte de crédit et les numéros de sécurité sociale (SSN) lorsque ces codes secrets sont détectés dans le code en cours d'examen, avec les autres scanners pertinents.
- AppScan® Source prend en charge l'automatisation des examens à l'aide de GitHub Action or GitLab CI/CD et d'un conteneur d'interface de ligne de commande (CLI) AppScan® Source.
Correctifs et mises à jour de sécurité dans AppScan® Source version 10.4.0
Les correctifs et mises à jour de sécurité sont répertoriés ici.
Fonctionnalités en fin de vie ou supprimées à partir de AppScan® Source version 10.4.0
-
Le flux RSS n'est plus pris en charge.
Nouveautés dans AppScan® Source version 10.3.0
- Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.3.0
- Correctifs et mises à jour de sécurité dans AppScan Source version 10.3.0
- Problèmes connus dans AppScan Source version 10.3.0
- Fonctionnalités en fin de vie ou supprimées à partir de AppScan Source version 10.3.0
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.3.0
- AppScan® Source prend en charge l'exportation de constatations d'examen vers des fichiers au format CSV et SARIF à l'aide de l'interface de ligne de commande (CLI), du menu Outils ou de la commande ounceauto.
- HCL®AppScan® Source for Development (Eclipse Plug-in) prend en charge Eclipse IDE 2022-09.
- AppScan® Source prend en charge Rust.
- La version 10.3.0 de AppScan® Source dispose d'une prise en charge améliorée pour les examens Java et Ruby.
- AppScan® Source prend en charge l'examen des secrets.
- Prise en charge de l'interface de ligne de commande AppScan® Source pour la comparaison de deux fichiers d'évaluation.
- AppScan® Source prend en charge l'exécution d'un conteneur d'interface de ligne de commande (CLI) dans un environnement Podman.
- L'API d'accès aux données requiert le kit JDK 11 ou ultérieur.
- AppScan® Source prend en charge l'automatisation des examens à l'aide de Jenkins ou Azure et d'un conteneur d'interface de ligne de commande (CLI) AppScan® Source.
Correctifs et mises à jour de sécurité dans AppScan® Source version 10.3.0
Les correctifs et mises à jour de sécurité sont répertoriés ici.
Problèmes connus dans AppScan® Source version 10.3.0
- Par défaut, AppScan® Source compile les projets Java à l'aide de Java 11. Si votre projet n'est pas compatible avec Java 11 et que vous souhaitez configurer l'examen pour utiliser une autre version de compilateur Java, suivez la procédure décrite ici.
- Lors de l'utilisation de l'interface de ligne de commande (CLI) AppScan® Source pour examiner un dossier contenant AndroidManifest.xml, l'examen échoue avec l'erreur
An error occurred copying files to the staging directory
.Pour éviter ce problème, deux solutions s'offrent à vous :- Utilisez appscan-config.xml pour configurer l'examen.
- Supprimez (ou déplacez) AndroidManifest.xml du dossier et des sous-dossiers cibles.
Fonctionnalités en fin de vie ou supprimées à partir de AppScan® Source version 10.3.0
-
HCL® AppScan® Source for Development (plugin RAD) n'est plus pris en charge.
-
Le HCL® AppScan® Source for Development (plugin Eclipse) n'est plus pris en charge sur Eclipse IDE 4.13 (09-2019)
Nouveautés dans AppScan® Source version 10.2.0
- Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.2.0
- Informations supplémentaires sur l'interopérabilité de AppScan Source et AppScan Enterprise
- Correctifs et mises à jour de sécurité dans AppScan Source version 10.2.0
- Problèmes connus dans AppScan Source version 10.2.0
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.2.0
- AppScan® Source vous permet de configurer le temps d'inactivité de la licence dans le fichier de configuration de licence.
- AppScan® Source L'interface de ligne de commande autorise désormais l'examen de code source uniquement lors de l'examen de dossiers.
- Les préférences d'extensions de fichier de projet répertorient désormais les types de langue/projet disponibles dans une liste déroulante au lieu d'onglets.
- AppScan® Source prend en charge Red Hat Linux 8.6.
- AppScan® Source prend en charge .NET 7
Informations supplémentaires sur l'interopérabilité de AppScan® Source et AppScan® Enterprise
- AppScan® Enterprise version 10.2.0 a mis à niveau la prise en charge de CVSS 3.1. En tant qu'utilisateur de AppScan® Source, si vous effectuez une mise à niveau vers AppScan® Enterprise version 10.2.0, il peut y avoir une différence dans les valeurs de gravité en raison de la nature de la spécification CVSS 3.1. Learn more here.
Correctifs et mises à jour de sécurité dans AppScan® Source version 10.2.0
Les correctifs et mises à jour de sécurité sont répertoriés ici.
Problèmes connus dans AppScan® Source version 10.2.0
- Lors de l'exécution de AppScan® Source sous Windows 2016 et à l'aide d'un paramètre régional non anglais,AppScan® Source ne peut pas publier d'évaluation dans AppScan® Enterprise.
- Lors de l'examen d'un dossier avec des fichiers C#, l'examen de dossier utilise le scanner Xamarin. Cela peut entraîner un nombre élevé de faux positifs lorsque l'utilisateur n'utilise pas également Xamarin.
Nouveautés dans AppScan® Source version 10.1.0
- Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan Source version 10.1.0
- Informations supplémentaires sur l'interopérabilité de AppScan Source et AppScan Enterprise
- Correctifs et mises à jour de sécurité dans AppScan Source version 10.1.0
- Fonctionnalités en fin de vie ou supprimées à partir de AppScan Source version 10.1.0
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.1.0
- AppScan® Source prend en charge Red Hat Enterprise Linux 8.3.
- Le HCL®AppScan® Source for Development (Eclipse Plug-in) est désormais pris en charge sur Eclipse IDE 2022-06.
- AppScan® Source prend en charge Java 17 et l'inclut dans le package d'installation.
- AppScan® Source prend en charge Tomcat 9 et l'inclut dans le package d'installation.
- AppScan® Source permet désormais d'examiner des dossiers sans créer des fichiers .PAF ou .PPF.
- Prise en charge étendue de l'examen Ruby, Groovy, JavaScript et PHP. Pour plus d'informations sur la configuration système requise, consultez ce lien.
Informations supplémentaires sur l'interopérabilité de AppScan® Source et AppScan® Enterprise
AppScan® Source version 10.1.0 prend en charge AppScan® Enterprise Server version 10.1.0. AppScan® Source version 10.0.8 et antérieure ne prend pas en charge AppScan® Enterprise Server version 10.1.0. Mettez à niveau les deux produits pour garantir une interopérabilité correcte.
Correctifs et mises à jour de sécurité dans AppScan® Source version 10.1.0
Les correctifs et mises à jour de sécurité sont répertoriés ici.
Fonctionnalités en fin de vie ou supprimées à partir de AppScan® Source version 10.1.0
- Les rapports et filtres de rapport suivants ont été supprimés :
- Rapport CWE/SANS Top 25 2011
- Rapport OWASP Top 10 2013
- Filtre de rapport CWE/SANS Top 25 2011
- Filtre de rapport OWASP Top 25 2010
- Filtre de rapport OWASP Top 25 2013
- L'intégration à un système de suivi des incidents n'est plus prise en charge.
-
L'envoi de constatations par courrier électronique n'est plus pris en charge.
- Les métriques de qualité ne sont plus prises en charge.
- Tomcat 7 n'est plus inclus dans le package d'installation AppScan® Source.
- AppScan® Source supprimera la prise en charge de SolidDB et d'OracleDB dans les futures éditions.
Nouveautés dans AppScan® Source version 10.0.8
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.8
- L'interface de ligne de commande (CLI) AppScan® Source a été conteneurisée, permettant ainsi à l'examen d'application et de sécurité d'être plus efficace et plus robuste. Une fois installé et configuré, un environnement de test peut être créé à la demande et rapidement, tandis que les examens peuvent être exécutés simultanément.Pour plus d'informations sur la conteneurisation, consultez ce document sur le support HCL.
- AppScan® Source prend en charge la configuration des informations de licence via la ligne de commande.
- AppScan® Source prend en charge Terraform.
- Prise en charge pour les rapports suivants :
- Prise en charge des filtres de rapport suivants :
Correctifs et mises à jour de sécurité dans AppScan® Source version 10.0.8
Les correctifs et mises à jour de sécurité sont répertoriés ici.
Problèmes connus dans AppScan® Source version 10.0.8
- Lorsque vous utilisez le plugin Eclipse, AppScan® Source for Development doit être configuré avec Java 8.
Nouveautés dans AppScan® Source version 10.0.7
HCL® AppScan® Source version 10.0.7 est le septième groupe de correctifs publié depuis l'édition majeure d'HCL® AppScan® Source version 10.0.0.
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.7
- A partir de la version 10.0.7, AppScan® Source dispose d'un chemin d'installation mis à jour, remplaçant
IBM
parHCL
.Toutefois, la mise à niveau depuis la version 10.0.6 ou une version antérieure conservera le chemin d'installation d'origine utilisé par
IBM
dans le chemin. - AppScan® Source prend en charge les projets IBM RPG.
- AppScan® Source prend en charge .NET 5/6.
- AppScan® Source prend en charge le rapport OWASP Top 10 2021.
- L'activation de l'authentification CAC (Common Access Card) ne nécessite plus de mise à jour manuelle du fichier java.security.
Correctifs et mises à jour de sécurité dans AppScan® Source version 10.0.7
Les correctifs et mises à jour de sécurité sont répertoriés ici.
Problèmes connus dans AppScan® Source version 10.0.7
- Sous Windows, lors de la mise à niveau vers AppScan® Source version 10.0.7 à partir des versions 9.0.3.x ou 10.0.0 de AppScan® Source, vous devez d'abord effectuer une mise à niveau temporaire vers une version AppScan® Source comprise entre 10.0.1 et 10.0.6.Important : Evitez de désinstaller, puis de réinstaller. Pour gérer les bases de données, vous devez effectuer une mise à niveau en deux étapes.
- AppScan® Source configuré avec la base de données Oracle nécessite un mot de passe fort utilisant 16 caractères ou plus.
Fonctionnalités en fin de vie ou supprimées dans AppScan® Source version 10.0.7
-
La prise en charge de SolidDB/Oracle sera supprimée dans une version ultérieure de AppScan® Source. Planifiez maintenant la migration vers des données de SolidDB/Oracle vers AppScan® Enterprise Server, que ce soit manuellement ou via l'utilitaire de migration de base de données.
Nouveautés dans AppScan® Source version 10.0.6
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.6
- Comme c'est le cas dans AppScan® Source for Analysis, la vue Constatations du plugin Visual Studio affiche désormais par défaut les constatations par groupe de correctifs.
- L'algorithme utilisé pour les comparaisons d'évaluation dans AppScan® Source for Analysis a été mis à jour avec un nouvel algorithme. Les résultats de comparaison d'évaluation provenant du client AppScan® Source for Analysis seront cohérents avec la commande
AppScanDelta
. Toutefois, il peut y avoir des différences dans les résultats de comparaison des versions précédentes de AppScan® Source. -
Dans le cadre de la mise à jour de l'algorithme, vous pouvez désormais choisir de sauvegarder des évaluations pour les constatations nouvelles et/ou résolues à partir de la vue Différences entre les évaluations dans AppScan® Source for Analysis.
- AppScan® Source prend en charge l'examen de code source uniquement pour C/C++, .Net et Java.
- AppScan® Source a ajouté des informations consultatives aux rapports sur les normes de l'industrie pour faciliter la résolution des constatations.
- AppScan® Source prend en charge l'authentification CAC avec les certificats Subject Alternative Name et Multi-Domain (SAN).
- AppScan® Source prend en charge le langage de programmation Dart.
- Prise en charge de l'arrêt/annulation de l'examen sur les systèmes Linux.
Correctifs et mises à jour de sécurité dans AppScan® Source version 10.0.6
- Les correctifs et mises à jour de sécurité sont répertoriés ici.
Problèmes connus dans AppScan® Source version 10.0.6
- Les examens des projets Objective-C échouent si vous exécutez l'examen à l'aide d'un fichier .paf/.ppf Objective-C créé avec AppScan® Source version 10.0.5 ou version antérieure. Reconfigurez les projets Objective-C dans AppScan® Source version 10.0.6 et réessayez.
Fonctionnalités en fin de vie ou supprimées dans AppScan® Source version 10.0.6
- AppScan® Source a cessé de prendre en charge l'analyse de fichiers uniques dans la version 10.0.0.
Nouveautés dans AppScan® Source version 10.0.5
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.5
- Le serveur KBArticle a été remplacé par AppScan Security Info Server. Le contenu et l'interface d'AppScan Security Info Server ont été mis à jour pour mieux servir les utilisateurs, mais ils ont le même objectif que le serveur KBArticle dans les versions précédentes de AppScan® Source : aider les utilisateurs à atténuer et résoudre les constatations liées à la sécurité de l'application.
- AppScan® Source a ajouté des informations consultatives aux rapports pour faciliter la résolution des constatations.
- La vue Aide à la résolution a été renommée Comment résoudre le problème.
- AppScan® Source a ajouté la prise en charge du format de rapport DISA STIG v5r1.
Ce nouveau rapport répertorie les catégories de vulnérabilités spécifiées dans la liste de contrôle de sécurité des applications version 5, édition 1. Dans la mesure du possible, AppScan® Source génère des résultats pertinents pour aider le réviseur à déterminer si une application est conforme aux exigences STIG.
- Prise en charge d'HCL Common Local License Server 2.0 sous Windows et Linux.
- AppScan® Source prend en charge la génération de rapports sur les constatations dans lequel elles sont regroupées par groupes de correctifs.
Informations supplémentaires sur l'interopérabilité de AppScan® Source version 10.0.5 et AppScan® Enterprise version 10.0.5
- La vitesse de publication dans AppScan® Enterprise ou d'importation des problèmes dans AppScan® Enterprise à partir de l'onglet Surveiller peut désormais être équilibrée en fonction de la réactivité de l'utilisateur souhaitée à l'aide d'une nouvelle propriété dans le fichier asc.properties dans AppScan® Enterprise. Consultez la AppScan® Enterprise documentation pour plus de détails sur l'utilisation de la propriété
issue.import.batch.interval
.
Problèmes connus dans AppScan® Source version 10.0.5
- Le paramètre régional défini pour AppScan Source doit correspondre au paramètre régional du système pour éviter les caractères altérés dans la sortie de la console.
- Il existe certains problèmes de rendu dans la vue Comment résoudre le problème sous Linux. En outre, les liens de références externes ne s'ouvrent pas à partir de la vue Comment résoudre le problème sous Linux. Ouvrez l'article dans un navigateur externe pour un rendu correct et pour accéder aux liens externes.
- Les informations Comment résoudre le problème ne sont pas incluses dans les rapports lorsque des rapports sont générés à l'aide de la commande
ounceauto
, car le serveur d'automatisation ne parvient pas à démarrer le serveur AppScan Security Info. Pour contourner ce problème, démarrez AppScan® Source for Analysis ou l'interface de ligne de commande (client CLI) avant de générer un rapport à l'aide deounceauto
. Le serveur AppScan Security Info est démarré automatiquement par AppScan® Source for Analysis et par le client CLI.
Nouveautés dans AppScan® Source version 10.0.4
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.4
- A partir de la version 10.0.4, AppScan® Source prend en charge les systèmes d'exploitation suivants :
- Windows Server 2019
- Red Hat Linux versions 7.8 et 7.9
Pour plus d'informations, voir Configuration requise et composants prérequis pour l'installation.
- A partir de la version 10.0.4, AppScan® Source prend en charge les langages et versions de langage suivants :
- Java versions 9, 10 et 11 :
- AdoptOpenJDK 11 est la valeur par défaut
- Tous les autres JDK spécifiés doivent être de 64 bits.
- .NET Core 3.1
- Infrastructure en tant que code (IaC)
Pour plus d'informations, voir Configuration requise et composants prérequis pour l'installation.
- Java versions 9, 10 et 11 :
Problèmes connus dans AppScan® Source version 10.0.4
- Les bundles créés dans AppScan® Source version 9.3.14 ou antérieure et marqués comme exclus dans la vue Propriétés n'excluront pas les constatations après la mise à niveau vers AppScan® Source version 10.0.0 et versions supérieures. Le bundle doit être recréé dans AppScan® Source version 10.0.0 ou versions supérieures.
- L'examen de toutes les applications dans un client AppScan® Source for Analysis peut remplir la vue Constatations sans remplir les groupes de correctifs. Effectuez l'examen sur des applications individuelles pour éviter ce résultat et affichez les constatations dans les groupes de correctifs correspondants.
- La publication d'évaluations sur AppScan® Enterprise échoue pour les autres langues que l'anglais si le nom de fichier d'évaluation contient des caractères natifs. Supprimez les caractères natifs du nom de fichier et effectuez une nouvelle publication.
Nouveautés dans AppScan® Source version 10.0.3
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.3
- A partir de la version 10.0.3, AppScan® Source ajoute la prise en charge des langages suivants :
- Android Java
- Ionic
- Objective C
- React Native
- SAP ABAP
- Vue.js
- Xamarin
Pour plus d'informations, voir la section Configuration système requise.
- Prise en charge des groupes de correctifs pour l'analyse statique.
Les groupes de correctifs sont une nouvelle approche de la gestion, du triage et de la résolution de problèmes détectés dans l'analyse statique. Après l'exécution d'un examen statique, AppScan® Source organise les problèmes détectés en groupes de correctifs, en fonction du type de vulnérabilité et de la tâche de résolution requise. Pour plus d'informations, voir Utilisation de groupes de correctifs de l'analyse statique.
- Dans le cadre de la prise en charge des groupes de correctifs, un aperçu technique d'un rapport d'accompagnement est visible dans la boîte de dialogue Sélectionner le rapport Constatations. Le rapport affiche actuellement des informations de haut niveau sur le type de groupe de correctifs uniquement. Dans une version ultérieure, une profondeur supplémentaire sera ajoutée à la fonctionnalité de rapport, y compris l'emplacement des meilleurs correctifs pour les groupes de correctifs.
Problèmes connus dans AppScan® Source version 10.0.3
- La commande CLI
details
signale une erreur par intermittence. Toutefois, la fonctionnalité de la commande n'est pas affectée.ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
-
Lors de l'ouverture des évaluations publiées dans la base de données AppScan® Source pour afficher les informations des groupes de correctifs,
NULL
peut s'afficher à la place du type de groupe de correctifs ou de l'ID du groupe de correctifs. Enregistrez l'évaluation dans un système de fichiers local, puis ouvrez-la à l'aide de la commande Ouvrir une évaluation pour afficher les informations du groupe de correctifs pour les évaluations de l'analyse statique publiées.
Informations supplémentaires sur l'interopérabilité et l'installation d'AppScan Source version 10.0.3
- Si vous effectuez une mise à niveau de AppScan® Source ou exécutez une réparation de l'installation de AppScan® Source version 10.0.3, lorsque l'installation précédente a été configurée avec une base de données, vous devez démarrer le service
AppScan Source DB
manuellement.
Nouveautés dans AppScan® Source version 10.0.2
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.2
- A partir de AppScan® Source version 10.0.2, une licence HCL est requise. Reportez-vous à Comment obtenir et appliquer des licences pour les produits AppScan Source pour obtenir des informations supplémentaires.
- AppScan® Source for Analysis version 10.0.2 ne nécessite pas de connexion à la base de données pour effectuer des examens. L'intégration à AppScan Enterprise pour le partage de résultats et de configurations d'examen est configurée dans AppScan® Enterprise. La fonctionnalité déconnectée est décrite plus en détail ici.
- AppScan® Source introduit la prise en charge des langages suivants : Angular 8, Angular 9, Groovy, Symfony et TypeScript. Pour obtenir des informations détaillées, consultez Configuration système requise.
Informations supplémentaires sur l'interopérabilité et l'installation de AppScan® Source version 10.0.2
- Lors de l'installation de AppScan® Source version 10.0.2 sur un système propre, il n'y a aucune base de données à installer, et donc aucune configuration de base de données à effectuer. Configurez l'intégration à AppScan Enterprise pour stocker et extraire des informations partagées.
- Lors de l'installation de AppScan® Source version 10.0.2 sur un système propre pour une utilisation en mode connecté, AppScan® Enterprise version 10.0.2 est nécessaire. Les versions antérieures d'AppScan® Enterprise ne sont pas prises en charge. En outre, il est nécessaire d'installer AppScan Enterprise Server avec les composants Administration des utilisateurs et Enterprise Console.
-
Lors de la mise à niveau vers AppScan® Source version 10.0.2 à partir d'une version précédente, toute base de données précédemment installée est entièrement prise en charge, y compris la fonctionnalité de configuration.
- Si vous effectuez une réparation de l'installation de AppScan® Source version 10.0.2, lorsque l'installation précédente a été configurée avec une base de données, vous devez démarrer le service
AppScan Source DB
manuellement. - Si vous effectuez une mise à niveau de AppScan® Source là où seuls le serveur d'automatisation ou les composants client sont installés et effectuez ultérieurement une réparation de l'installation, mettez à jour les propriétés suivantes dans 'ounce.ozsettings :
name=core_provider value=1
name=connect_mode value=false
- Les fichiers de réponse du programme d'installation en mode silencieux créés avant la version 10.0.2 ne sont pas pris en charge. Il est nécessaire de créer des fichiers de réponse du programme d'installation en mode silencieux en vue d'une utilisation avec AppScan® Source version 10.0.2.
Fonctionnalités en fin de vie ou supprimées dans AppScan® Source version 10.0.2
- AppScan Source ne prend plus en charge les licences IBM et il n'est plus possible de les configurer dans le gestionnaire de licences. Reportez-vous à Comment obtenir et appliquer des licences pour les produits AppScan Source pour obtenir des informations supplémentaires.
- AppScan® Source version 10.0.2 ne prend plus en charge Visual Studio 2010.
- SolidDB n'est plus fourni avec AppScan® Source et n'est pas installé dans le cadre de la solution. Les installations existantes de SolidDB continuent à être prises en charge.
- L'option Journal d'audit dans le menu Admin n'est plus disponible.
Nouveautés dans AppScan® Source version 10.0.1
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.1
- AppScan® Source version 10.0.1 dispose de fonctionnalités de licence améliorées, notamment la prise en charge de proxy pour les licences HCL dans l'interface utilisateur et l'utilisation de certificats non accrédités pour se connecter à un serveur de licences local.
- AppScan® Source version 10.0.1 introduit
AppScanDelta
. Cette fonction permet aux utilisateurs d'effectuer une différence à partir de la ligne de commande entre deux évaluations. - AppScan® Source prend en charge NetCore 2.1 et 2.2.
- AppScan® Source version 10.0.1 prend en charge les langages Scala, Swift, Kotlin et ReactJS. Pour plus d'informations, consultez Configuration requise.
- AppScan® Source version 10.0.1 prend en charge le format de rapport DISA STG v4r10.
Problèmes connus dans AppScan® Source version 10.0.1
- Si vous examinez un projet Visual Studio de 2015 ou antérieur, il se peut que l'examen échoue et qu'un message vous invite à supprimer discoverymanager.exe.config. Supprimez le fichier spécifié et réessayez. Cliquez ici pour plus d'informations.
AppScan® Source interopérabilité
- Les versions 9.0.3x et 10.0.0 d'AppScan® Enterprise doivent être configurées de la manière suivante pour interopérer avec AppScan® Source 10.0.1 :
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
Fonctionnalités en fin de vie ou supprimées dans AppScan® Source version 10.0.1
Les fonctionnalités suivantes sont en fin de vie à partir de AppScan® Source version 10.0.1. Veuillez planifier en conséquence.
- IMPORTANT ! La prise en charge des licences IBM dans les nouvelles versions d'AppScan® prendra fin au troisième trimestre 2020 (août/septembre). Les nouvelles versions ultérieures des produits AppScan® prendront uniquement en charge les licences HCL. Pour plus d'informations sur les licences, consultez Activation du logiciel. Vous pouvez également contacter votre partenaire commercial HCL ou le service d'assistance HCL.
- A partir du troisième trimestre 2020 (août/septembre), SolidDB ne sera plus accompagné de mises à jour de produits. Les installations existantes seront encore prises en charge.
Nouveautés dans AppScan® Source version 10.0.0
HCL® AppScan® Source version 10.0.0 marque une avancée significative en matière de technologie derrière la famille de produits AppScan®. HCL a investi dans les produits du marché DevSecOps, posant ainsi les bases des améliorations au niveau de nos produits d'examen de sécurité à la pointe du secteur, maintenant et à l'avenir.
- Fonctionnalités améliorées et nouvelles fonctionnalités
- Interopérabilité de AppScan Source version 10.0.0
- Instructions d'installation supplémentaires pour AppScan Source version 10.0.0
- Problèmes recensés dans AppScan® Source version 10.5.0
- Fonctionnalités en fin de vie dans AppScan Source version 10.0.0
- Fonctionnalités qui ne sont plus prises en charge dans AppScan® Source version 10.5.0
Fonctionnalités améliorées et nouvelles fonctionnalités dans AppScan® Source version 10.0.0
-
IBM® Security AppScan® Source est désormais HCL® AppScan® Source.
A la mi-2019, HCL Technologies a fait l'acquisition de la famille de produits d'IBM AppScan® notamment de AppScan® Enterprise, AppScan® Standard, AppScan® Source, et AppScan® on Cloud. Tous les produits AppScan® sont à présent détenus, développés et promus par HCL Software. L'ensemble des licences, logos, conventions de dénominations et autres droits intellectuels et/ou de marque sont détenus par HCL. Par conséquent, tous les produits AppScan® ont été rebaptisés pour refléter ce changement de propriétaire et les nouvelles phases de développement et de croissance.
-
Présentation de la licence HCL pour HCL® AppScan® Source
Dans le cadre de la transition entre IBM et HCL, HCL présente des packages de licences centrés sur HCL pour la famille de produits AppScan®. AppScan®, AppScan® Standard et AppScan® Source utilisent un serveur de licences FlexLM, dont l'authentification se fait via un serveur proxy ; AppScan® on Cloud utilise un système de gestion de l'accès à l'identité client (CAIM) de pointe à partir d'Okta.
- AppScan® Source prend désormais en charge le langage de programmation Go (Golang).
- AppScan® Source prend désormais en charge l'examen C++ dans Visual Studio 2015, 2017 et 2019.
- AppScan® Source prend désormais en charge Oracle 19c.
- La nouvelle fonctionnalité d'examen des flux de données exécute une analyse du code plus complète et permet de découvrir plus de constatations.
- Concernant les langages pour lesquels AppScan® Source dispose de scanners personnalisés, vous pouvez voir une différence nette dans les résultats lors d'un examen avec AppScan® Source v10. Dans les instances pour lesquelles l'examen a été converti en examen personnalisé, cela peut entraîner une réduction des résultats. Les règles des scanners personnalisés évoluent, sont ajoutées régulièrement et sont simples à améliorer.
- Intégration améliorée aux technologies ICA (analyse de code intelligente) et IFA (analyse de résultats intelligente).
Lorsque ICA/IFA est activée, vous pouvez voir l'onglet Constatations exclues et y accéder. Pour plus d'informations, consultez Analyse de résultats intelligente (IFA) dans la AppScan® Source documentation.
La technologie IFA est activée par défaut pour tous les examens. Lorsqu'elle est activée, elle est appliquée à l'examen en cours et aux futurs examens. Elle ne peut pas être appliquées à des évaluations d'examens précédents.
- L'examen des projets .NET (ASP, WEB, Framework, Core) dans AppScan® Source reflète le traitement dans HCL AppScan on Cloud. Les projets .NET doivent pouvoir être compilés avant d'être examinés et des spécifications de génération adaptées doivent figurer dans leurs propriétés de projet.
- L'espace minimal requis pour installer AppScan® Source et exécuter les examens de base est de 15 Go. Cependant, l'espace disque varie en fonction de l'application qui est scannée. Nous recommandons un minimum de 8 Go de RAM et de 15 à 20 Go d'espace disque libre. Vous devez également augmenter l'exigence en matière de fichiers de votre page Windows (reportez-vous à Astuces pour améliorer les performances de l'ordinateur sous Windows 10 pour en savoir plus).
-
Pour en savoir plus sur la configuration système requise, ainsi que la prise en charge des examens et des plug-ins, reportez-vous à Configuration requise et composants prérequis pour l'installation ou contactez le support HCL.
Instructions d'installation supplémentaires pour AppScan® Source version 10.0.0
Lors de l'installation d'AppScan® Source version 10.0.0 avec le plug-in Visual Studio 2019, il se peut que malgré la réussite de l'installation, le plug-in Visual Studio 2019 ne soit pas installé correctement.Pour installer le plug-in d'AppScan® Source version 10.0.0 dans Visual Studio 2019 :
- Assurez-vous qu'HCL® AppScan® Source version 10.0.0 est installé sur le système cible. Sélectionnez le plug-in Microsoft Visual Studio 2019 pendant l'installation.
- Si une version antérieure à AppScan® Source version 10.0.0 a été installée dans l'instance cible de Visual Studio 2019, désinstallez-la comme suit :
- Lancez l'instance cible Visual Studio 2019.
- Ouvrez .
- Dans l'onglet Installé, sélectionnez Plug-in AppScan Source dans la liste.
- Cliquez sur Désinstaller le plug-in et suivez les instructions pour terminer la désinstallation.
- Installez le plug-in d'HCL® AppScan® Source version 10.0.0 dans l'instance Visual Studio 2019 comme suit :
- Fermez toutes les instances Visual Studio 2019.
- Téléchargez VS2019Plugin.zip à partir du HCL® AppScan® Source site de téléchargement de la version.
- Extrayez le contenu du fichier zip dans <AppScan Source Install Dir> (l'emplacement par défaut est C:\Program Files (x86)\IBM\AppScanSource). Choisissez Oui pour toutes les options lorsque vous y êtes invité.
- Cliquez deux fois sur AppScanSrcPlugin.vsix à partir du répertoire <AppScan Source Install Dir>/bin.
- Dans la boîte de dialogue de l'installateur VSIX qui apparaît, sélectionnez Visual Studio <Edition> 2019 et cliquez sur Installer.
L'édition peut être Professional, Enterprise ou Community en fonction de ce qui est installé sur la machine. Vous pouvez sélectionner plus d'une édition à installer, si elles sont disponibles.
- Lorsque l'installation est terminée, fermez la boîte de dialogue.
- Redémarrez Visual Studio 2019. Le plug-in AppScan Source apparaît sous Extensions.
Interopérabilité de AppScan® Source version 10.0.0
- Un client AppScan® Source 10.0.0 n'examinera pas correctement avec une base de données antérieure à AppScan® Source 10.0.0 en raison de la différence de contenu des bases de données, puisqu'elles appartiennent à certaines règles d'examen.
- De même, un client antérieur à AppScan® Source 10.0.0 ne pourra PAS examiner correctement avec une base de données AppScan® Source 10.0.0.
- Une instance d' AppScan® Enterprise configurée avec une instance de la base de données AppScan® Source 10.0.0 ne peut pas être utilisées par les versions 9.0.3.x d'AppScan® Source, et vice versa
- Les versions 9.0.3.x d'AppScan® Enterprise doivent être configurées de la manière suivante pour interopérer avec AppScan® Source 10.0.0 :
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
Problèmes connus dans AppScan® Source version 10.0.0
- Les langages suivants ne sont pas pris en charge :
- Arxan C
- WSDL
- Sur WebSphere, seules les options de compilation JSP par défaut sont prises en charge.
- L'examen de fichier unique est indisponible pour tous les langages.
- Il n'y a pas de mécanisme pour désactiver la précompilation des fichiers JSP. Les fichiers JSP seront toujours précompilés.
- L'option Arrêter/Annuler l'examen ne fonctionne pas sur les systèmes Linux.
- L'option Arrêter/Annuler risque de ne pas fonctionner sous Windows lorsque vous utilisez l'interface de ligne de commande. Pour éviter ce problème, redémarrez AppScan® Source et arrêtez tous les processus d'arrière-plan.
- Lors de la désinstallation d'AppScan® Source version 10.0.0 depuis un système Windows, le processus de désinstallation se bloque parfois. Pour plus d'informations, voir La désinstallation d'AppScan Source bloque sur Windows.
- Après la mise à niveau vers AppScan® Source version 10.0.0, les rapports PDF ne sont plus générés. Pour plus d'informations, consultez AppScan Source 10.0.0 génère "java.lang.reflect.InvocationTargetException" pendant la génération de rapports PDF dans un scénario de mise à niveau.
Fonctionnalités en fin de vie dans AppScan® Source version 10.0.0
- Constatations personnalisées
- Métriques de qualité
- E-mail/paramètres
- Flux RSS
- Attributs d'application
Utilisez AppScan Enterprise pour stocker des informations sur l'application.
- Intégration du système de suivi des incidents
Utilisez la passerelle de problèmes AppScan® pour procéder à une intégration depuis un niveau AppScan Enterprise
Fonctionnalités qui ne sont plus prises en charge dans AppScan® Source version 10.0.0
- Le cache de vulnérabilité n'est plus pris en charge.
- L'examen incrémentiel n'est pas pris en charge.
- L'examen Non-CPA n'est pas pris en charge.
-
A compter de la version 9.0.3.11, AppScan® Source ne prend plus en charge l'analyse des projets Xcode pour macOS ou iOS.
Certains composants d'AppScan® Source sont en 32 bits. MacOS 10.14 (Mojave) est la dernière version du système d'exploitation Mac qui prendra en charge les applications 32 bits.
Vous pouvez continuer à utiliser la version 9.0.3.10 et les versions antérieures d'AppScan® Source sur les systèmes d'exploitation Mac 10.12 et antérieurs.