現行バージョンの AppScan® Source へのマイグレーション

このトピックには、このバージョンの AppScan® Source で行われた変更についてのマイグレーション情報が記載されています。旧バージョンの AppScan® Source からアップグレードしている場合は、必ず、アップグレードしている AppScan® Source のバージョンと、この現行バージョンまでのすべてのバージョンにおける変更内容に注意してください。

バージョン 9.0.3 からのマイグレーション
バージョン 9.0.2 からのマイグレーション
バージョン 9.0 からのマイグレーション
バージョン 8.7 からのマイグレーション

HCL ライセンス

IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan 製品ファミリーのライセンス・パッケージを導入します。AppScan 製品は、バージョン 10.0.1 を通じて既存の IBM ライセンスのサポートを継続します。バージョン 10.0.2 以後は、HCL ライセンスが必要です。

新規ライセンスは HCL を通じてのみ取得可能です。

新しい AppScan Source ライセンスを取得して適用するには、まず My HCL ソフトウェア・ポータルから適切なライセンスを取得し、それから AppScan® Source License Manager を使用してライセンスを適用します。

追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。

AppScan® Source 相互運用性 (interoperability)

HCL® AppScan® Source 10.0.0 には AppScan® Source 10.0.0 データベースが必要です。

AppScan® Source 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容が異なるため、10.0.0 以前の AppScan® Source データベースでは正しくスキャンしません。
同様に、10.0.0 より前の AppScan® Source クライアントは、10.0.0 AppScan® Source データベースでは正しくスキャンしません。

AppScan® Source 10.0.0 は、AppScan® Enterprise の 9.0.3.x より前のバージョンと相互運用します。

AppScan® Enterprise 10.0.0 データベースのインスタンスで構成された AppScan® Source のインスタンスは、AppScan® Source の 9.0.3.x バージョンでは使用できません。逆も同様です。
AppScan® Enterprise 10.0.0 と相互運用するには、AppScan® Source の 9.0.3x バージョンを次のように構成する必要があります。
```
set "allow.newer.source.clients=true" in 
\Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
```

バージョン 9.0.2 からのマイグレーション

新規ルール属性により、既存スキャンの検出結果の分類が変更される可能性があります。
自動逸失シンク生成

注: バージョン 9.0.3.11 以降の AppScan® Source では、macOS と iOS の Xcode スキャンを使用できません。

新規ルール属性により、既存スキャンの検出結果の分類が変更される可能性があります。

バージョン 9.0.2 以降、Attribute.Likelihood.High と Attribute.Likelihood.Low のルール属性が導入されました。これらの属性を使用すると、AppScan® Source は、検出結果が「確定」または「要確認」 (あるいはその両方) かを正確に判別することができます。そのため、AppScan® Source バージョン 9.0.2 以前でソース・コードをスキャンした場合、その同じソース・コードを 9.0.2 より後の製品バージョンでスキャンすると、検出結果の分類が変更されることがあります。これは、悪用の可能性が高い Web ソースに関連する検出結果、または悪用の可能性が低いプロパティーや環境のソースにおいて最も顕著に表れます。

こうしたルール属性はデフォルトで使用されます。無効にするには、以下のようにします。

<data_dir>\config\ipva.ozsettings をテキストエディター (<data_dir> は AppScan® Source プログラム・データの場所です。説明はインストールとユーザー・データ・ファイルの場所) で開きます。ファイル内の allow_likelihood 設定を見つけます。この設定は、以下の例のようになります。
```
<Setting
  name="allow_likelihood"
  value="true"
  default_value="true"
  description="Allow the processing of the Likelihood 
    attributes to help determine trace confidence based 
    on the source API"
  display_name="Allow Likelihood"
  type="bool"
/>
```
この設定では、value 属性を変更します。属性が true に設定されている場合、この設定はオンになります。false に設定されている場合、AppScan® Source はスキャン中にこれらの属性ルールを使用しません。
この設定の変更後、ファイルを保存してAppScan® Source を始動または再始動します。

自動逸失シンク生成

9.0.2 より後のバージョンでは、getter/setter、およびブール値を返すメソッドで終わるトレースに、自動逸失シンク解決が導入されました。これは、そのようなアプリケーション・プログラミング・インターフェース (API) のマークアップを自動的に推測することで実現します。そのため、AppScan® Source バージョン 9.0.2 以前でソース・コードをスキャンした場合、同じソース・コードを 9.0.2 より後の製品バージョンでスキャンすると、未解決の逸失シンクが含まれる検出結果が変更される可能性があります。

自動マークアップ生成はデフォルトで有効になっています。カスタム・ルールなどの手段を使用して逸失シンクを解決する場合は、この機能を無効にすることができます。

<data_dir>\config\ipva.ozsettings をテキストエディター (<data_dir> は AppScan® Source プログラム・データの場所です。説明はインストールとユーザー・データ・ファイルの場所) で開きます。ファイル内の automatic_lost_sink_resolution 設定を見つけます。この設定は、以下の例のようになります。
```
<name="automatic_lost_sink_resolution"
  value="true"
  default_value="true"
  description="This setting tries to perform automatic 
    lost sink resolution by assuming taint propagation 
    for getters, setters and APIs which return boolean 
    with no arguments."
  display_name="Auto Lost Sink Resolution"
  type="bool"
/>
```
この設定では、value 属性を変更します。属性が true に設定されている場合、この設定はオンになります。false に設定されている場合、AppScan® Source はこれらのメソッドのマークアップを自動生成しません。
この設定の変更後、ファイルを保存してAppScan® Source を始動または再始動します。

バージョン 9.0 からのマイグレーション

AppScan® Enterprise Server 認証:IBM® Rational® Jazz™ ユーザー認証コンポーネントの IBM® WebSphere® Liberty への置き換えに関するマイグレーションの考慮事項

ローカル Jazz™ ユーザーのみが含まれる Enterprise Server からのマイグレーション: このアップグレード・シナリオでは、以前の Jazz™ ユーザーが AppScan® Source Database ユーザーとして AppScan® Enterprise Server に示されますが、それらのユーザーは有効になりません。これらのユーザーは Database から削除できます。あるいは、AppScan® Source ユーザーに変換できます。AppScan® Source で以前の Jazz ユーザーを有効にする方法については、HCL Support にお問い合わせください。
LDAP を使用して構成された Enterprise Server からのマイグレーション: Enterprise Server のアップグレード時には、LDAP を使用して Enterprise Server を再構成するオプションがあります。これを行う場合、既存のユーザーは引き続き AppScan® Source で機能します。
Windows™ 認証を使用して構成された Enterprise Server からのマイグレーション: Enterprise Server が Windows™ 認証を使用して構成されていた場合、Windows™ 認証を使用するように新しい AppScan® Source Liberty を構成することで、既存のユーザーは Enterprise Server で問題なく使用できます。

バージョン 8.7 からのマイグレーション

検出結果の分類に関する変更
スキャン範囲を改善するデフォルト設定の変更
以前のバージョンからの AppScan Source 事前定義フィルターの復元

検出結果の分類に関する変更

バージョン 8.7 より後のバージョンでは、検出結果の分類が変更されています。以下の表に、古い分類と新しい分類の対応関係を示します。

表 1. 検出結果の分類の変更
バージョン 8.8 より前の AppScan® Source の検出結果分類	AppScan® Source バージョン 8.8 での検出結果の分類
脆弱性	確定セキュリティー検出結果
タイプ I 例外	要確認セキュリティー検出結果
タイプ II 例外	スキャン範囲検出結果

これらの変更の例は、「脆弱性マトリックス」ビューで確認できます。

バージョン 8.8 より前の AppScan Source の「脆弱性マトリックス」ビュー

バージョン 8.8 以降では、次のようになります。

AppScan Source バージョン 8.8 での「脆弱性マトリックス」ビュー

スキャン範囲を改善するデフォルト設定の変更

AppScan® Source バージョン 8.8 の場合:

scan.ozsettings のデフォルト値 show_informational_findings は true から false に変更されました。
ipva.ozsettings のデフォルト値 wafl_globals_tracking は false から true に変更されました。この設定により、AppScan® Source がフレームワーク・ベースの各種コンポーネント間のデータ・フローを検出することが可能になります (例えば、コントローラーからビューへのデータ・フローなど)。

show_informational_findings に対する変更によって、重大度レベルが「情報」の検出結果は、デフォルトでは評価に組み込まれないようになります。

注: 8.8 より前のバージョンで作成したスキャン構成があり、該当する設定に明示的に値を設定していなかった場合、スキャン構成では新しいデフォルト値が使用されます。

以前のバージョンからの AppScan® Source 事前定義フィルターの復元

AppScan® Source バージョン 8.8 では、より有用なスキャン結果が得られるように定義済みフィルターが改善されました。AppScan® Source の旧バージョンからの定義済みフィルターを引き続き使用する必要がある場合は (アーカイブ・フィルターのリストは AppScan Source 事前定義フィルター (バージョン 8.7.x 以前)に記載されています)、アーカイブ済みの事前定義フィルターの復元の指示のとおりに行ってください。