新機能
以下の、AppScan® ソース に追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。
- AppScan ソース バージョン 10.4.0 の新機能
- AppScan ソース バージョン 10.3.0 の新機能
- AppScan ソース バージョン 10.2.0 の新機能
- AppScan ソース バージョン 10.1.0 の新機能
- AppScan ソース バージョン 10.0.8 の新機能
- AppScan ソース バージョン 10.0.7 の新機能
- AppScan Source バージョン 10.0.6 の新機能
- AppScan ソース バージョン 10.0.5 の新機能
- AppScan ソース バージョン 10.0.4 の新機能
- AppScan ソース バージョン 10.0.3 の新機能
- AppScan ソース バージョン 10.0.2 の新機能
- AppScan ソース バージョン 10.0.1 の新機能
- AppScan ソース バージョン 10.0.0 の新機能
AppScan® ソース バージョン 10.4.0 の新機能
AppScan® ソース バージョン 10.4.0 の強化機能と新規機能
- AppScan® ソース は Windows 11 をサポートします。
- AppScan® ソース が Red Hat Enterprise Linux 8.8 をサポートします。
- AppScan® ソース では、ライセンスがないときに、コマンド行インターフェース (CLI) の scan コマンドまたは ounceauto ScanApplication コマンドを使用して、待機時間ありでスキャンを開始できます。
AppScan® Source for Automation ライセンスがない場合、スキャンは、
CLI.ozsettings
に設定されている待機時間、またはscan
コマンドの-waitforlicense
引数で渡される値だけ待機します。待機時間機能を無効にするには、値をゼロに設定します。 - AppScan® ソース では、シークレットのみのプロジェクトで、または
scan
CLI コマンドでフォルダー・スキャンを実行するときに-secretsonly
パラメーターを使用することで、シークレットのみのスキャンを実行できます。シークレットのみのスキャンでは、ハードコードされたパスワード、クレジットカード番号、社会保障番号 (SSN) がスキャン対象のコードで検出された場合に、これらのシークレットのチェックを行います。
- AppScan® ソース では、アプリケーションまたはプロジェクト・プロパティーを編集するか、
scan
CLI コマンドでフォルダー・スキャンを実行するときに-enablesecrets
パラメーターを使用することで、ソース・コードのみのスキャンでシークレット・スキャンを有効または無効にすることができます。プロジェクトの作成時にシークレット・スキャンを有効にすることもできます。シークレット・スキャンでは、ハードコードされたパスワード、クレジットカード番号、社会保障番号 (SSN) がスキャン対象のコードで検出された場合に、これらのシークレットのチェックを行います。
- AppScan® ソース で、GitHub Action または GitLab CI/CD、および AppScan® ソース コマンド行インターフェース (CLI) コンテナーを使用したスキャンの自動化がサポートされています。
AppScan® ソース バージョン 10.4.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® ソース バージョン 10.4.0 で終了予定の機能または削除された機能
-
RSS フィードはサポートされなくなりました。
AppScan® ソース バージョン 10.3.0 の新機能
AppScan® ソース バージョン 10.3.0 の強化機能と新規機能
- AppScan® ソース で、コマンド行インターフェース (CLI)、「 ツール」メニュー、または ounceauto コマンドを使用した、スキャン検出結果の CSV および SARIF ファイル形式へのエクスポートがサポートされています。
- HCL®AppScan® Source for Development (Eclipse プラグイン) で、Eclipse IDE 2022-09 がサポートされています。
- AppScan® ソース で、Rust がサポートされています。
- バージョン 10.3.0 の AppScan® ソース では、Java および Ruby スキャンのサポートが強化されました。
- AppScan® ソース で、シークレット・スキャンがサポートされています。
- 2 つの評価ファイルを比較するための、AppScan® ソース コマンド行インターフェース (CLI) のサポート。
- AppScan® ソース で、Podman 環境でのコマンド行インターフェース (CLI) コンテナーの実行がサポートされています。
- データ・アクセス API には JDK 11 以降が必要です。
- AppScan® ソース で、Jenkins または Azure および AppScan® ソース コマンド行インターフェース (CLI) コンテナーを使用したスキャンの自動化がサポートされています。
AppScan® ソース バージョン 10.3.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® ソース バージョン 10.3.0 の既知の問題
- デフォルトでは、AppScan® ソース は Java 11 を使用して Java プロジェクトをコンパイルします。プロジェクトに Java 11 との互換性がない場合に、別の Java コンパイラー・バージョンを使用するようにスキャンを構成する場合は、ここで説明されている手順に従ってください。
- AppScan® ソース コマンド行インターフェース (CLI) を使用して AndroidManifest.xml を含むフォルダーをスキャンすると、
An error occurred copying files to the staging directory
というエラーでスキャンが失敗します。この問題を回避するには、以下のいずれかを行います。- appscan-config.xml を使用してスキャンを構成します。
- ターゲット・フォルダーおよび/またはサブフォルダーから、AndroidManifest.xml を削除 (または移動) します。
AppScan® ソース バージョン 10.3.0 で終了予定の機能または削除された機能
-
HCL®AppScan® ソース for Development (RAD プラグイン) はサポートされなくなりました。
-
HCL®AppScan® ソース for Development (Eclipse プラグイン) は Eclipse IDE 4.13 (2019-09) ではサポートされなくなりました
AppScan® ソース バージョン 10.2.0 の新機能
AppScan® ソース バージョン 10.2.0 の強化機能と新規機能
- AppScan® ソース では、ライセンス構成ファイルでライセンス非アクティブ時間を構成できます。
- AppScan® ソース CLI では、フォルダーのスキャン時にソース・コードのみのスキャンができるようになりました。
- プロジェクト・ファイル拡張子の設定で、使用可能な言語/プロジェクト・タイプがタブではなくドロップダウン・リストにリストされるようになりました。
- AppScan® ソース は Red Hat Linux 8.6 をサポートします。
- AppScan® ソース は .NET 7 をサポートします。
AppScan® ソース および AppScan® Enterprise の相互運用性に関する追加情報
- AppScan® Enterprise バージョン 10.2.0 では、CVSS 3.1 のサポートがアップグレードされました。AppScan® ソース ユーザーが AppScan® Enterprise バージョン 10.2.0 にアップグレードすると、CVSS 3.1 仕様の性質上、重大度値に不一致が生じる可能性があります。こちらで詳細を確認してください。
AppScan® ソース バージョン 10.2.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® ソース バージョン 10.2.0 の既知の問題
- Windows 2016 で AppScan® ソース が稼働していて英語以外のロケールを使用している場合、AppScan® ソース は AppScan® Enterprise に評価を公開できません。
- C#ファイルを含むフォルダーをスキャンする場合、フォルダー・スキャンでは Xamarin スキャナーが使用されます。これにより、ユーザーが Xamarin 使用していない場合にも、多数の誤検出が発生する可能性があります。
AppScan® ソース バージョン 10.1.0 の新機能
AppScan® ソース バージョン 10.1.0 の強化機能と新規機能
- AppScan® ソース が Red Hat Enterprise Linux 8.3 をサポートします。
- Eclipse IDE 2022-06 で HCL®AppScan® Source for Development (Eclipse プラグイン) がサポートされるようになりました。
- AppScan® ソース が Java 17 をサポートし、インストール・パッケージに Java 17 が含まれました。
- AppScan® ソース が Tomcat 9 をサポートし、インストール・パッケージに Tomcat 9 が含まれました。
- AppScan® ソース で、最初に .PAF または .PPF ファイルを作成せずに、フォルダーのスキャンができるようになりました。
- Ruby、Groovy、JavaScript、および PHP スキャンのサポートが拡張されました。システム要件については、こちらを参照してください。
AppScan® ソース および AppScan® Enterprise の相互運用性に関する追加情報
AppScan® ソース バージョン 10.1.0 は、AppScan® Enterprise Server バージョン 10.1.0 をサポートしています。AppScan® ソース バージョン 10.0.8 以前は、AppScan® Enterprise Server バージョン 10.1.0 をサポートしていません。適切な相互運用性を確保するには、両方の製品をアップグレードします。
AppScan® ソース バージョン 10.1.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® ソース バージョン 10.1.0 で終了予定の機能または削除された機能
- 以下のレポートおよびレポート・フィルターが削除されました。
- 2011 年 CWE SANS Top 25 レポート
- OWASP Top 10 2013 レポート
- 2011 年 CWE SANS Top 25 レポート・フィルター
- 2010 年 OWASP Top 25 レポート・フィルター
- 2013 年 OWASP Top 25 レポート・フィルター
- 障害追跡システムの統合がサポートされなくなりました。
-
E メールによる検出結果の送信はサポートされなくなりました。
- 品質メトリックがサポートされなくなりました。
- Tomcat 7 が AppScan® ソース インストール・パッケージに含まれなくなりました。
- AppScan® ソース は、将来のリリースで SolidDB と OracleDB のサポートを終了する予定です。
AppScan® ソース バージョン 10.0.8 の新機能
AppScan® ソース バージョン 10.0.8 の強化機能と新規機能
- AppScan® ソース コマンド行インターフェース (CLI) はコンテナー化されているため、アプリケーション・スキャンおよびセキュリティー・スキャンをこれまで以上に効率的かつ堅牢に実行できます。インストールと構成が完了すると、テスト環境をオンデマンドで迅速に作成でき、スキャンも同時に実行できます。コンテナー化の追加情報については、HCL サポートでこの文書を参照してください。
- AppScan® ソース は、コマンド行を使用したライセンス情報の構成をサポートしています。
- AppScan® ソース は Terraform をサポートしています。
- 以下のレポートをサポートしています。
- 次のレポート・フィルターをサポートしています。
AppScan® ソース バージョン 10.0.8 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® ソース バージョン 10.0.8 の既知の問題
- Eclipse プラグインを使用する場合は、Java 8 を使用して AppScan® Source for Development を構成する必要があります。
AppScan® ソース バージョン 10.0.7 の新機能
HCL®AppScan® ソース バージョン 10.0.7 は、HCL®AppScan® ソース メジャー・バージョン 10.0.0 をリリースして以来、7 番目のフィックス・パック・リリースです。
AppScan® ソース バージョン 10.0.7 の強化機能と新規機能
- バージョン 10.0.7 では、AppScan® ソース はインストール・パスが更新されており、
IBM
がHCL
に置き換わりました。ただし、バージョン 10.0.6 以前からアップグレードすると、パスに
IBM
が含まれる元のインストール・パスが保持されます。 - AppScan® ソース は IBM RPG プロジェクトをサポートします。
- AppScan® ソース は .NET 5/6 をサポートします。
- AppScan® ソース は OWASP Top 10 2021 レポートをサポートします。
- Common Access Card (CAC) 認証を有効にすると、java.security ファイルの手動更新は不要になります。
AppScan® ソース バージョン 10.0.7 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® ソース バージョン 10.0.7 の既知の問題
- Windows では、AppScan® ソース バージョン 9.0.3.x または 10.0.0 から AppScan® ソース バージョン 10.0.7 にアップグレードする場合、最初に AppScan® ソース バージョン 10.0.1 ~ 10.0.6 への暫定アップグレードを実行する必要があります。重要: アンインストール後に再インストールしないでください。データベースを保守するには、2 つの手順でアップグレードする必要があります。
- Oracle データベースで構成されている AppScan® ソース には、16 文字以上の強力なパスワードが必要です。
AppScan® ソース バージョン 10.0.7 で終了予定または削除予定の機能
-
SolidDB/Oracle のサポートは、今後 AppScan® ソース のバージョンで削除される予定です。手動またはデータベース・マイグレーション・ユーティリティーを使用して、SolidDB/Oracle から AppScan® Enterprise Server にデータをマイグレーションする計画をすぐに立ててください。
AppScan® ソース バージョン 10.0.6 の新機能
AppScan® ソース バージョン 10.0.6 の強化機能と新規機能
- AppScan® Source for Analysis の場合と同様に、Visual Studio プラグインの「検出結果」ビューには、デフォルトで修正グループ別の検出結果が表示されるようになりました。
- AppScan® Source for Analysis での評価比較に使用されるアルゴリズムが、新しいアルゴリズムで更新されました。AppScan® Source for Analysis クライアントからの評価比較結果は
AppScanDelta
コマンドと整合しますが、以前のバージョンの AppScan® ソース の比較結果と比較すると何らかの違いがある可能性があります。 -
アルゴリズムの更新の一環として、AppScan® Source for Analysis の「差分評価」 ビューから、新規または解決済み検出結果 (あるいはその一方) の評価を保存することができるようになりました。
- AppScan® ソース は C/C++、.NET、および Java のソース・コードのみのスキャンをサポートします。
- 検出結果の修復を支援するため、AppScan® ソース では業界標準のレポートにアドバイザリー情報を追加しました。
- AppScan® ソース は、サブジェクトの代替名 - マルチドメイン (SAN) 証明書を使用した CAC 認証をサポートします。
- AppScan® ソース は、Dart プログラム言語をサポートします。
- Linux システムでのスキャンの停止/キャンセルのサポート。
AppScan® ソース バージョン 10.0.6 のフィックスとセキュリティー更新
- フィックスとセキュリティー更新はここにリストされます。
AppScan® ソース バージョン 10.0.6 の既知の問題
- AppScan® ソース バージョン 10.0.5 以前で作成された Objective-C .paf/.ppf ファイルを使用してスキャンを実行すると、Objective-C プロジェクトのスキャンは失敗します。AppScan® ソース バージョン 10.0.6 で Objective-C プロジェクトを再構成し、再試行してください。
AppScan® ソース バージョン 10.0.6 で終了予定または削除予定の機能
- AppScan® ソース は、単一ファイル・スキャン・バージョン 10.0.0 のサポートを停止しました。
AppScan® ソース バージョン 10.0.5 の新機能
AppScan® ソース バージョン 10.0.5 の強化機能と新規機能
- KBArticle サーバーは、AppScan セキュリティー情報サーバーに置き換えられました。AppScan セキュリティー情報サーバーのコンテンツとインターフェースは、ユーザーにより良いサービスを提供するために更新されましたが、以前の AppScan® ソース バージョンにおける KBArticle サーバーと同じ目的を持っています。アプリケーションのセキュリティー検出結果を緩和および解決するためにユーザーを支援します。
- 検出結果の修復を支援するため、AppScan® ソース ではレポートにアドバイザリー情報を追加しました。
- 「修復支援」ビューの名前が「修正方法」に変更されました。
- AppScan® ソース に、DISA STIG v5r1 レポート形式のサポートが追加されました。
この新しいレポートには、Application Security Checklist Version 5, Release 1 で指定された脆弱性のカテゴリーが一覧表示されます。アプリケーションが STIG の要件に準拠しているかどうかをレビュー担当者が判断できるように、可能な限り AppScan® ソース では適切な結果を生成します。
- Windows と Linux の両方で、HCL 共通ローカル・ライセンス・サーバー 2.0 のサポート 。
- AppScan® ソース は、修正グループ別にグループ化される検出結果レポートの生成をサポートしています。
AppScan® ソース バージョン 10.0.5 および AppScan® Enterprise バージョン 10.0.5 の相互運用性に関する追加情報
- AppScan® Enterprise の asc.properties ファイルの新しいプロパティーを使用して、AppScan® Enterprise への公開または「モニター」タブからの AppScan® Enterprise への問題のインポートの速度を、必要なユーザーの応答性に応じてバランスさせることができるようになりました。
issue.import.batch.interval
プロパティーの使用の詳細については、AppScan® Enterprise 資料を参照してください。
AppScan® ソース バージョン 10.0.5 の既知の問題
- コンソール出力が文字化けしないようにするため、AppScan Source のロケール・セットがシステムのロケールと一致している必要があります。
- Linux での「修正方法」ビューにレンダリングの問題がいくつかあります。また、外部参照リンクは Linux の「修正方法」ビューから開かないでください。記事を外部ブラウザで開くと、正しくレンダリングされ、外部リンクにアクセスできます。
- 自動化サーバーが AppScan Security Info サーバーの始動に失敗すると、
ounceauto
コマンドを使用してレポートが生成された場合に、レポートに「修正方法」情報は含まれません。この問題を回避するには、ounceauto
を使用してレポートを生成する前に、AppScan® ソース for Analysis またはコマンド行インターフェース (CLI クライアント) を開始します。AppScan Security Info サーバーは、AppScan® ソース for Analysis および CLI クライアントによって自動的に開始されます。
AppScan® ソース バージョン 10.0.4 の新機能
AppScan® ソース バージョン 10.0.4 の強化機能と新規機能
- バージョン 10.0.4 では、AppScan® ソース は以下のオペレーティング・システムをサポートします。
- Windows Server 2019
- Red Hat Linux バージョン 7.8 および 7.9
詳しくは、システム要件およびインストールの前提条件を参照してください。
- AppScan® ソース バージョン 10.0.4 では、以下の言語と言語バージョンがサポートされています。
- Java バージョン 9、10、11:
- AdoptOpenJDK 11 がデフォルトです
- 指定する代替 JDK は 64 ビットである必要があります
- .NET Core 3.1
- Infrastructure as Code (IaC)
詳細については、システム要件およびインストールの前提条件を参照してください。
- Java バージョン 9、10、11:
AppScan® ソース バージョン 10.0.4 の既知の問題
- AppScan® ソース バージョン 9.3.14 以前で作成され、「プロパティー」ビューで除外済みとしてマークされたバンドルが、AppScan® ソース バージョン 10.0.0 以降にアップグレードした後では、検出で除外されません。バンドルは、AppScan® ソース バージョン 10.0.0 以上で再作成する必要があります。
- AppScan® Source for Analysis クライアント内のすべてのアプリケーションでスキャンを実行すると、修正グループにデータを取り込まなくても「結果」ビューにデータが取り込まれる可能性があります。この結果を回避し、修正グループの検出結果を適切に表示するために、個々のアプリケーションでスキャンを実行します。
- 評価ファイル名にネイティブ文字が含まれていると、英語以外のロケールで評価の AppScan® Enterprise への公開が失敗します。ファイル名からネイティブ文字を削除し、再公開します。
AppScan® ソース バージョン 10.0.3 の新機能
AppScan® ソース バージョン 10.0.3 の強化機能と新規機能
- バージョン 10.0.3 の AppScan® ソース では次の言語のサポートが追加されました。
- Android Java
- Ionic
- Objective C
- React Native
- SAP ABAP
- Vue.js
- Xamarin
詳細については、「システム要件」を参照してください。
- 静的分析の修正グループのサポート。
修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® ソース は問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。詳細については、「静的分析修正グループの操作」を参照してください。
- 修正グループのサポートの一部として、Companion レポートのテクニカル・プレビューが「検出レポートの選択」ダイアログ・ボックスに表示されます。このレポートには、現在、修正グループ・タイプに関する高レベルの情報だけが表示されます。今後のリリースでは、修正グループの最適な修正場所を含め、レポート機能にさらに深さが追加されます。
AppScan® ソース バージョン 10.0.3 の既知の問題
- CLI コマンド
details
は断続的にエラーをレポートします。ただし、コマンドの機能は影響を受けません。ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
-
修正グループ情報を表示するために AppScan® ソース データベースに公開された評価を開くと、修正グループ・タイプまたは修正グループ ID の代わりに
NULL
が表示されます。ローカル・ファイル・システムに評価を保存してから、「評価を開く」コマンドを使用してその評価を開き、公開された静的分析評価の修正グループ情報を表示します。
AppScan Source バージョン 10.0.3 のインストールおよび相互運用性に関する追加情報
- AppScan® ソース のアップグレードまたは AppScan® ソース バージョン 10.0.3 の修復インストールを実行するときに、以前のインストールがデータベースを使用して構成されていた場合は、
AppScan Source DB
サービスを手動で開始する必要があります。
AppScan® ソース バージョン 10.0.2 の新機能
AppScan® ソース バージョン 10.0.2 の強化機能と新規機能
- AppScan® ソース バージョン 10.0.2 以後は、HCL ライセンスが必要です。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
- AppScan® ソース 分析の場合、バージョン 10.0.2 ではスキャンを実行するためにデータベース接続は不要です。スキャン構成と結果を共有するための AppScan Enterprise との統合は、AppScan® Enterprise で構成されます。切断された機能の詳細については、こちらで説明されています。
- AppScan® ソース 次の言語のサポートについて紹介されています。Angular 8、Angular 9、Groovy、Symfony、および TypeScript。詳細については、「システム要件」を参照してください。
AppScan® ソース バージョン 10.0.2 のインストールおよび相互運用性に関する追加情報
- AppScan® ソース バージョン 10.0.2 をクリーンなシステムにインストールする場合は、インストールするデータベースがないため、データベース構成は行われません。共有情報を保管および取得するには、AppScan Enterprise との統合を構成します。
- 接続モードで使用するために AppScan® ソース バージョン 10.0.2 をクリーンなシステムにインストールする場合は、AppScan® Enterprise バージョン 10.0.2 が必要です。古いバージョンの AppScan® Enterprise はサポートされていません。さらに、AppScan Enterprise Server は、ユーザー管理と Enterprise Console の両方とともにインストールする必要があります。
-
以前のバージョンから AppScan® ソース バージョン 10.0.2 にアップグレードする場合は、構成機能を含めて、以前にインストールされていたすべてのデータベースが完全にサポートされます。
- AppScan® ソース バージョン 10.0.2 の修復インストールを実行するときは、以前のインストールがデータベースを使用して構成されていた場合は、
AppScan Source DB
サービスを手動で開始する必要があります。 - Automation Server またはクライアント・コンポーネントのみがインストールされている AppScan® ソース をアップグレードし、後から修復インストールを実行する場合は、'ounce.ozsettings で以下のプロパティーを更新します。
name=core_provider value=1
name=connect_mode value=false
- バージョン 10.0.2 より前に作成されたサイレント・インストーラーの応答ファイルはサポートされていません。AppScan® ソース バージョン 10.0.2 で使用するには、新しいサイレント・インストーラーの応答ファイルを作成する必要があります。
AppScan® ソース バージョン 10.0.2 で終了予定または削除予定の機能
- AppScan Source は IBM ライセンスをサポートしなくなり、ライセンス・マネージャーで構成できなくなりました。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
- AppScan® ソース バージョン 10.0.2 では、Visual Studio 2010 のサポートがなくなります。
- SolidDB は AppScan® ソース に付属しなくなり、ソリューションの一部としてインストールされません。SolidDB の既存のインストールは引き続きサポートされます。
- 「管理」メニューの下の「監査ログ」オプションは使用できなくなります。
AppScan® ソース バージョン 10.0.1 の新機能
AppScan® ソース バージョン 10.0.1 の強化機能と新規機能
- AppScan® ソース バージョン 10.0.1 では、ユーザー・インターフェースにおける HCL ベース・ライセンスのプロキシー・サポートや信頼できない証明書を使用してローカル・ライセンス・サーバーに接続する機能など、ライセンス機能を強化しました。
- AppScan® ソース バージョン 10.0.1 では、
AppScanDelta
を導入しました。この機能では、コマンド・ラインから 2 つの評価の差分を取得できます。 - AppScan® ソース は、NetCore 2.1 および 2.2 をサポートしています。
- AppScan® ソース バージョン 10.0.1 には、Scala、Swift、Kotlin、および ReactJS の言語サポートが含まれています。詳細については、「システム要件」を参照してください。
- AppScan® ソース バージョン 10.0.1 では、DISA STG v4r10 レポート形式をサポートします。
AppScan® ソース バージョン 10.0.1 の既知の問題
- 2015 以前から Visual Studio プロジェクトをスキャンすると、スキャンが失敗し、discoverymanager.exe.config を削除するようメッセージが表示されることがあります。指定されたファイルを削除してやり直してください。詳細については、ここを参照してください。
AppScan® ソース 相互運用性 (interoperability)
- AppScan® ソース 10.0.1 と相互運用するには、AppScan® Enterprise の 9.0.3x および 10.0.0 バージョンを次のように構成する必要があります。
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® ソース バージョン 10.0.1 で終了予定または削除予定の機能
次の機能は AppScan® ソース バージョン 10.0.1 で終了を予定しています。それに従って計画してください。
- 重要! 新しい AppScan® リリースの IBM ライセンスのサポートは、2020 年第 3 四半期 (8 月/9 月) に終了します。AppScan® 製品の新しい後続バージョンでは、HCL ライセンスのみをサポートします。ライセンスの詳細については、「ソフトウェアのアクティブ化」を参照してください。または、HCL 担当者または HCL サポートにお問い合わせください。
- SolidDB は、2020 年第 3 四半期 (8 月/9 月) 以降の製品更新に付属しなくなります。既存のインストールは引き続きサポートされます。
AppScan® ソース バージョン 10.0.0 の新機能
HCL®AppScan® ソース バージョン 10.0.0 は、AppScan® 製品ファミリーの背景にある技術面での重要な進化を示しています。HCL では、市場をリードするセキュリティー・スキャン製品の強化の基盤となる DevSecOps 市場の製品の現在、そして未来に投資しています。
- 強化機能と新規機能
- AppScan ソース バージョン 10.0.0 の相互運用性
- 追加の AppScan ソース バージョン 10.0.0 インストール手順
- バージョン 10.3.0 の既知の問題AppScan® ソース
- AppScan ソース バージョン 10.0.0 で終了予定の機能
- 10.3.0 バージョンでサポートされない機能 AppScan® ソース
AppScan® ソース バージョン 10.0.0 の強化機能と新規機能
-
IBM® セキュリティー AppScan® ソース は HCL®AppScan® ソース となりました。
2019 年中頃、HCL Technologies は AppScan® Enterprise、AppScan® スタンダード、AppScan® ソース、 AppScan® on Cloud を含む AppScan® 製品ファミリーを IBM より買収しました。すべての AppScan® 製品は HCL Software によって所有され、開発、販売されることになりました。すべてのライセンス、ロゴ、命名規則、その他の知的財産権およびブランド権利は HCL が所有します。当該の AppScan® 製品はすべて、この所有権ならびに新しい段階の開発と成長を反映するため、再ブランド化されています。
-
HCL ライセンスの導入 HCL®AppScan® ソース
IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan® 製品ファミリーのライセンス・パッケージを導入します。AppScan®、AppScan® スタンダード、AppScan® ソース は、ローカル FlexLM ライセンス・サーバーを使用し、プロキシー・サーバーを介して認証します。AppScan® on Cloud では、市場で主流となっている Okta の CAIM (Customer Identity Access Management) システムを使用します。
- AppScan® ソース Go プログラミング言語 (Golang) がサポートされるようになりました。
- AppScan® ソース Visual Studio 2015、2017、2019 で C++ スキャンがサポートされるようになりました。
- AppScan® ソース Oracle 19c がサポートされるようになりました。
- 新規データ・フロー・スキャン機能はより完璧なコード分析を実行し、結果としてより詳細な検出結果が得られます。
- AppScan® ソース にカスタム・スキャナーがある言語の場合、AppScan® ソース v10 でスキャンすると、検出結果に大きな違いが見られる場合があります。スキャンがカスタム・スキャンに変換された場合、これは検出結果が減少することを意味する場合があります。カスタム・スキャナーのルールは進化し、定期的に追加されており、簡単に拡張できます。
- Intelligent Code Analytics (ICA) および Intelligent Findings Analytics (IFA) との拡張統合。
ICA/IFA を有効にすると、「除外された検出結果」タブにアクセスできるようになります。詳細は、AppScan® ソース 資料の「Intelligent Findings Analytics (IFA)」を参照してください。
デフォルトでは、IFA がすべてのスキャンで有効になっています。有効にすると、現在のスキャンと将来のスキャンに適用されます。以前のスキャンからの評価には適用できません。
- AppScan® ソース での .NET プロジェクト (ASP、WEB, Framework、Core) のスキャンは HCL AppScan on Cloud のプロセスをミラーリングします。.NET プロジェクトは、スキャン前にコンパイルでき、プロジェクトのプロパティーに適切なビルド仕様がある必要があります。
- AppScan® ソース をインストールし基本的なスキャンを実行するには、最低 15 GB の空き容量が必要です。ただし、必要なディスク空き容量は、スキャン対象のアプリケーションによって異なります。最低 8 GB の RAM および 15~20 GB のディスク空き容量があることを推奨します。また、Windows のページ・ファイル要件を増加する必要があります (詳細は、「Windows 10 で PC のパフォーマンスを向上させるヒント」を参照してください。
-
システム要件、スキャンとプラグインのサポートに関する詳細については、「システム要件およびインストールの前提条件」を参照するか、HCL サポートまでお問い合わせください。
追加の AppScan® ソース バージョン 10.0.0 インストール手順
AppScan® ソース バージョン 10.0.0 と Visual Studio 2019 プラグインをインストールすると、インストールが成功したように見えますが、Visual Studio 2019 プラグインが適切にインストールされていない可能性があります。Visual Studio 2019 に AppScan® ソース バージョン 10.0.0 のプラグインをインストールするには:
- ターゲット・システムに HCL®AppScan® ソース バージョン 10.0.0 がインストールされていることを確認します。インストール時に Microsoft Visual Studio 2019 プラグインを選択します。
- Visual Studio 2019 のターゲット・インスタンスに AppScan® ソース の 10.0.0 より前のバージョンがインストールされている場合は、次の手順でアンインストールします。
- ターゲット Visual Studio 2019 インスタンスを開始します。
- を開きます。
- 「インストール済み」タブで、リストから「AppScan Source Plug-in」を選択します。
- 「プラグインのアンインストール」をクリックし、プロンプトに従ってアンインストールを完了します。
- HCL®AppScan® ソース バージョン 10.0.0 のプラグインを Visual Studio 2019 インスタンスに次の手順でインストールします。
- すべての Visual Studio 2019 インスタンスを閉じます。
- VS2019Plugin.zip を HCL®AppScan® ソース リリース・ダウンロード・サイトからダウンロードします。
- zip ファイルの中身を <AppScan Source Install Dir> に抽出します (デフォルトの場所は C:\Program Files (x86)\IBM\AppScanSource です)。プロンプトに表示されるすべてのオプションで「はい」を選択します。
- <AppScan Source Install Dir>/bin ディレクトリーから AppScanSrcPlugin.vsix をダブルクリックします。
- 表示される VSIX インストーラーのダイアログで、「Visual Studio <Edition> 2019」を選択し、「インストール」をクリックします。
マシンのインストール内容に応じて、エディションには Professional、Enterprise、または Community があります。利用可能な場合は、インストールするエディションを複数選択できます。
- インストールが完了したら、ダイアログを閉じます。
- Visual Studio 2019 を再起動します。「AppScan Source Plug-in」は、「拡張機能」の下に表示されます。
AppScan® ソース バージョン 10.0.0 の相互運用性
- AppScan® ソース 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容が異なるため、10.0.0 以前の AppScan® ソース データベースでは正しくスキャンしません。
- 同様に、10.0.0 より前の AppScan® ソース クライアントは、10.0.0 AppScan® ソース データベースでは正しくスキャンしません。
- AppScan® ソース 10.0.0 データベースのインスタンスで構成された AppScan® Enterprise のインスタンスは、AppScan® ソース の 9.0.3.x バージョンでは使用できません。逆も同様です。
- AppScan® ソース 10.0.0 と相互運用するには、AppScan® Enterprise の 9.0.3.x バージョンを次のように構成する必要があります。
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® ソース バージョン 10.0.0 の既知の問題
- 次の言語はサポートされていません。
- Arxan C
- WSDL
- WebSphere では、デフォルトの JSP コンパイル・オプションのみがサポートされます。
- 単一ファイル・スキャンは、すべての言語で利用できるわけではありません。
- JSP ファイルのプリコンパイルを無効にするメカニズムはありません。JSP ファイルは常にプリコンパイルされます。
- Linux システムでは、スキャンの停止/キャンセルは機能しません。
- Windows システムでコマンド・ライン・インターフェースを使用するときは、停止/キャンセルが機能しないことがあります。この問題を回避するには、AppScan® ソース を再起動し、バックグラウンド・プロセスを強制終了します。
- Windows システムから AppScan® ソース バージョン 10.0.0 をアンインストールするときに、アンインストール・プロセスがハングすることがあります。詳しくは、「Windows で AppScan ソース のアンインストールがハングする」を参照してください。
- AppScan® ソース バージョン 10.0.0 にアップグレードすると、PDF レポートが生成されません。詳細については、「アップグレード・シナリオで PDF レポートの生成時に、AppScan Source 10.0.0 が「java.lang.reflect.InvocationTargetException」をスローする」を参照してください。
AppScan® ソース バージョン 10.0.0 で終了予定の機能
- カスタム検出結果
- 品質メトリック
- E メール/設定
- RSS フィード
- アプリケーション属性
アプリケーション情報の保存には AppScan Enterprise を使用してください。
- 障害追跡システムの統合
AppScan® 問題ゲートウェイを使用して、 AppScan Enterprise レベルから統合してください
AppScan® ソース バージョン 10.0.0 でサポートされない機能
- 脆弱性キャッシュは、サポート対象外となりました。
- インクリメント・スキャンはサポート外です。
- 非 CPA スキャンはサポート外です。
-
バージョン 9.0.3.11 以降の AppScan® ソース では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。
AppScan® ソース の一部のコンポーネントは 32 ビットです。MacOS 10.14 (Mojave) は、32 ビットのアプリケーションをサポートする最新の Mac OS バージョンです。
10.12 までの Mac オペレーティング・システムでは、AppScan® ソース バージョン 9.0.3.10 以前を引き続き使用できます。