Migration vers la version actuelle d'AppScan® Source
Cette rubrique contient des informations de migration pour les modifications qui ont été introduites dans cette version d'AppScan® Source. Si vous mettez à niveau une version antérieure d'AppScan® Source, notez bien les modifications apportées à la version d'AppScan® Source que vous mettez à niveau et à toutes les versions jusqu'à cette version actuelle.
Migration à partir de la version 9.0.3
Licence HCL
Dans le cadre de la transition d'IBM vers HCL, HCL a introduit des packages de licence centrés sur HCL pour la famille de produits AppScan. Les produits AppScan ont continué à prendre en charge les licences IBM existantes jusqu'à la version 10.0.1. À partir de la version 10.0.2, une licence HCL est requise.
Les nouvelles licences ne sont disponibles que via HCL.
Pour acquérir et appliquer une nouvelle licence AppScan Source, procurez-vous d'abord la licence appropriée via le Portail de gestion des licences logicielles HCL, puis appliquez la licence à l'aide du gestionnaire de licences d'AppScan® Source.
Pour plus d'informations, reportez-vous à Comment obtenir et appliquer des licences pour les produits AppScan Source.
Interopérabilité d'AppScan® Source
- Un client AppScan® Source 10.0.0 n'examinera pas correctement avec une base de données antérieure à AppScan® Source 10.0.0 en raison de la différence de contenu des bases de données, puisqu'elles appartiennent à certaines règles d'examen.
- De même, un client antérieur à AppScan® Source 10.0.0 ne pourra PAS examiner correctement avec une base de données AppScan® Source 10.0.0.
- Une instance d'AppScan® Enterprise configurée avec une instance de la base de données AppScan® Source 10.0.0 ne peut pas être utilisée par les versions 9.0.3.x d'AppScan® Source, et vice versa
- Les versions 9.0.3x d'AppScan® Enterprise doivent être configurées de la manière suivante pour permettre l'interopérabilité avec AppScan® Source 10.0.0 :
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
Migration à partir de la version 9.0.2
- Il est possible que les nouveaux attributs de règle génèrent des modifications de classification des constatations dans les examens existants
- Génération de collecteur indéterminé automatique
Il est possible que les nouveaux attributs de règle génèrent des modifications de classification des constatations dans les examens existants
Après la version 9.0.2, les attributs de règle Attribute.Likelihood.High
et Attribute.Likelihood.Low
ont été introduits. Lorsque ces attributs sont utilisés, AppScan® Source est en mesure de déterminer de manière plus précise si des constatations sont catégoriques et/ou suspectes. Par conséquent, si vous examinez du code source dans AppScan® Source version 9.0.2 ou précédentes, vous pouvez noter des changements dans certaines classifications de constatations lorsque ce même code source est examiné dans des versions du produit plus récentes. Ces changements sont particulièrement notables pour les constatations associées à des sources Web hautement exploitables, ou les sources de propriété ou d'environnement moins exploitables.
Ces attributs de règle sont utilisés par défaut. Vous pouvez les désactiver comme suit :
- Ouvrez <data_dir>\config\ipva.ozsettings dans l'éditeur de texte(où <data_dir> est l'emplacement de vos données de programme AppScan® Source, comme décrit dans Emplacements des fichiers de données utilisateur et des fichiers d'installation). Localisez le paramètre
allow_likelihood
dans le fichier. Ce paramètre est similaire à ce qui suit :
Dans ce paramètre, modifiez l'attribut<Setting name="allow_likelihood" value="true" default_value="true" description="Allow the processing of the Likelihood attributes to help determine trace confidence based on the source API" display_name="Allow Likelihood" type="bool" />
value
. Si l'attribut est défini sur la valeurtrue
, ce paramètre sera activé. Si l'attribut est défini sur la valeurfalse
, AppScan® Source n'utilisera pas ces attributs de règle pendant les examens. - Après avoir modifié ce paramètre, sauvegardez le fichier, puis démarrez ou redémarrez AppScan® Source.
Génération de collecteur indéterminé automatique
Après la version 9.0.2, la résolution de collecteur indéterminé automatique a été introduite pour les traces qui se terminent par des getters/setters et les méthodes qui retournent des valeurs booléennes. Cela est possible en déduisant automatiquement le marquage pour ces interfaces de programmation. Par conséquent, si vous examinez du code source dans AppScan® Source version 9.0.2 ou précédentes, vous pouvez noter des changements dans les résultats des constatations qui contenaient des collecteurs indéterminés non résolus lorsque ce même code source est examiné dans des versions du produit plus récentes.
La fonction de génération de marquage automatique est activée par défaut. Vous pouvez la désactiver si vous voulez utiliser d'autres moyens de résolution de collecteurs indéterminés, par exemple des règles personnalisées, comme suit :
- Ouvrez <data_dir>\config\ipva.ozsettings dans l'éditeur de texte(où <data_dir> est l'emplacement de vos données de programme AppScan® Source, comme décrit dans Emplacements des fichiers de données utilisateur et des fichiers d'installation). Localisez le paramètre
automatic_lost_sink_resolution
dans le fichier. Ce paramètre est similaire à ce qui suit :
Dans ce paramètre, modifiez l'attribut<name="automatic_lost_sink_resolution" value="true" default_value="true" description="This setting tries to perform automatic lost sink resolution by assuming taint propagation for getters, setters and APIs which return boolean with no arguments." display_name="Auto Lost Sink Resolution" type="bool" />
value
. Si l'attribut est défini sur la valeurtrue
, ce paramètre sera activé. Si l'attribut est défini sur la valeurfalse
, AppScan® Source ne générera pas automatiquement le marquage pour ces méthodes. - Après avoir modifié ce paramètre, sauvegardez le fichier, puis démarrez ou redémarrez AppScan® Source.
Migration à partir de la version 9.0
Authentification AppScan® Enterprise Server : Considérations relatives à la migration pour le remplacement du composant d'authentification des utilisateurs IBM® Rational® Jazz™ par IBM® WebSphere® Liberty
- Migration à partir d'un serveur Enterprise Server qui ne possède que des utilisateurs Jazz™ locaux : dans ce scénario de mise à niveau, les précédents utilisateurs Jazz™ apparaîtront dans la AppScan® Source Database comme utilisateurs AppScan® Enterprise Server, mais ils ne seront pas valides. Ces utilisateurs peuvent être supprimés de la Database ou être convertis en utilisateurs AppScan® Source. Contactez le support HCL pour obtenir des informations sur l'activation d'anciens utilisateurs Jazz dans AppScan® Source.
- Migration à partir d'un serveur Enterprise Server configuré avec LDAP : lors de la mise à niveau du serveur Enterprise Server, vous avez la possibilité de configurer de nouveau le serveur Enterprise Server avec LDAP. Les utilisateurs existants continueront alors de fonctionner dans AppScan® Source.
- Migration à partir d'un serveur Enterprise Server configuré avec l'authentification Windows™ : si votre serveur Enterprise Server était configuré avec l'authentification Windows™, les utilisateurs existants fonctionneront dans AppScan® Source, à condition que le nouveau serveur Enterprise Server Liberty soit configuré pour utiliser l'authentification Windows™.
Migration à partir de la version 8.7
- Modifications apportées aux classifications des résultats
- Modifications des paramètres par défaut qui améliorent la couverture d'examen
- Restauration des filtres prédéfinis d'AppScan Source à partir de versions antérieures
Modifications apportées aux classifications des résultats
Depuis la version 8.7, les classifications des résultats ont changé. Ce tableau établit une comparaison entre les anciennes et les nouvelles classifications :
Classifications des constatations avant AppScan® Source version 8.8 | Classifications à partir d'AppScan® Source version 8.8 |
---|---|
Vulnérabilité | Résultat de sécurité définitif |
Exception de Type I | Résultat de sécurité suspect |
Exception de Type II | Constatation de couverture d'examen |
La vue Matrice de vulnérabilités propose un exemple de ces modifications.
A partir de la version 8.8, la vue s'affiche comme suit :
Modifications des paramètres par défaut qui améliorent la couverture d'examen
A partir d'AppScan® Source version 8.8 :
- La valeur par défaut de
show_informational_findings
dans scan.ozsettings est passée detrue
àfalse
. - La valeur par défaut de
wafl_globals_tracking
dans ipva.ozsettings est passée defalse
àtrue
. Ce paramètre permet à AppScan® Source de rechercher un flux de données entre différents composants d'une application basée sur une structure (par exemple, un flux de données entre un contrôleur et une vue).
La modification apportée à show_informational_findings
fait que les évaluations n'incluent pas les constatations d'un niveau de gravité de valeur Info par défaut.
Restauration des filtres prédéfinis d'AppScan® Source à partir de versions antérieures
Dans AppScan® Source version 8.8, les filtres prédéfinis ont été améliorés pour fournir de meilleurs résultats d'examen. Si vous devez continuer à utiliser les filtres prédéfinis des versions antérieures d'AppScan® Source (les filtres archivés sont répertoriés dans Filtres prédéfinis AppScan Source (versions 8.7.x et antérieures)), suivez les instructions de la section Restauration des filtres prédéfinis archivés.