現行バージョンの AppScan® Source へのマイグレーション
このトピックには、このバージョンの AppScan® Source で行われた変更についてのマイグレーション情報が記載されています。旧バージョンの AppScan® Source からアップグレードしている場合は、必ず、アップグレードしている AppScan® Source のバージョンと、この現行バージョンまでのすべてのバージョンにおける変更内容に注意してください。
バージョン 9.0.3 からのマイグレーション
HCL ライセンス
IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan 製品ファミリーのライセンス・パッケージを導入します。AppScan 製品は、バージョン 10.0.1 を通じて既存の IBM ライセンスのサポートを継続します。バージョン 10.0.2 以後は、HCL ライセンスが必要です。
新規ライセンスは HCL を通じてのみ取得可能です。
新しい AppScan Source ライセンスを取得して適用するには、まず HCL FlexNet ポータルから適切なライセンスを取得し、それから AppScan Source License Manager を使用してライセンスを適用します。
追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
AppScan® Source 相互運用性 (interoperability)
- AppScan® Source 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容が異なるため、10.0.0 以前の AppScan® Source データベースでは正しくスキャンしません。
- 同様に、10.0.0 より前の AppScan® Source クライアントは、10.0.0 AppScan® Source データベースでは正しくスキャンしません。
- AppScan® Source 10.0.0 データベースのインスタンスで構成された AppScan® Enterprise のインスタンスは、AppScan® Source の 9.0.3.x バージョンでは使用できません。逆も同様です。
- AppScan® Source 10.0.0 と相互運用するには、AppScan® Enterprise の 9.0.3x バージョンを次のように構成する必要があります。
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
バージョン 9.0.2 からのマイグレーション
新規ルール属性により、既存スキャンの検出結果の分類が変更される可能性があります。
バージョン 9.0.2 以降、Attribute.Likelihood.High
と Attribute.Likelihood.Low
のルール属性が導入されました。これらの属性を使用すると、AppScan® Source は、検出結果が「確定」または「要確認」 (あるいはその両方) かを正確に判別することができます。そのため、AppScan® Source バージョン 9.0.2 以前でソース・コードをスキャンした場合、その同じソース・コードを 9.0.2 より後の製品バージョンでスキャンすると、検出結果の分類が変わる可能性があります。これは、悪用の可能性が高い Web ソースに関連する検出結果、または悪用の可能性が低いプロパティーや環境のソースにおいて最も顕著に現れます。
こうしたルール属性はデフォルトで使用されます。無効にするには、以下のようにします。
- <data_dir>\config\ipva.ozsettings をテキストエディター (<data_dir> は AppScan® Source プログラム・データの場所です。説明は インストールとユーザー・データ・ファイルの場所) で開きます。ファイル内の
allow_likelihood
設定を見つけます。この設定は、以下の例のようになります。
この設定では、<Setting name="allow_likelihood" value="true" default_value="true" description="Allow the processing of the Likelihood attributes to help determine trace confidence based on the source API" display_name="Allow Likelihood" type="bool" />
value
属性を変更します。属性がtrue
に設定されている場合、この設定はオンになります。false
に設定されている場合、AppScan® Source はスキャン中にこれらの属性ルールを使用しません。 - この設定の変更後、ファイルを保存してAppScan® Source を始動または再始動します。
自動逸失シンク生成
9.0.2 より後のバージョンでは、getter/setter、およびブール値を返すメソッドで終わるトレースに、自動逸失シンク解決が導入されました。これは、そのようなアプリケーション・プログラミング・インターフェース (API) のマークアップを自動的に推測することで実現します。そのため、AppScan® Source バージョン 9.0.2 以前でソース・コードをスキャンした場合、同じソース・コードを 9.0.2 より後の製品バージョンでスキャンすると、未解決の逸失シンクが含まれる検出結果が変更される可能性があります。
自動マークアップ生成はデフォルトで有効になっています。カスタム・ルールなどの手段を使用して逸失シンクを解決する場合は、この機能を無効にすることができます。
- <data_dir>\config\ipva.ozsettings をテキストエディター (<data_dir> は AppScan® Source プログラム・データの場所です。説明は インストールとユーザー・データ・ファイルの場所) で開きます。ファイル内の
automatic_lost_sink_resolution
設定を見つけます。この設定は、以下の例のようになります。
この設定では、<name="automatic_lost_sink_resolution" value="true" default_value="true" description="This setting tries to perform automatic lost sink resolution by assuming taint propagation for getters, setters and APIs which return boolean with no arguments." display_name="Auto Lost Sink Resolution" type="bool" />
value
属性を変更します。属性がtrue
に設定されている場合、この設定はオンになります。false
に設定されている場合、AppScan® Source はこれらのメソッドのマークアップを自動生成しません。 - この設定の変更後、ファイルを保存してAppScan® Source を始動または再始動します。
バージョン 9.0 からのマイグレーション
AppScan® Enterprise Server 認証:IBM® Rational® Jazz™ ユーザー認証コンポーネントの IBM® WebSphere® Liberty への置き換えに関するマイグレーションの考慮事項
- ローカル Jazz™ ユーザーのみが含まれる Enterprise Server からのマイグレーション: このアップグレード・シナリオでは、以前の Jazz™ ユーザーが AppScan® Enterprise Server ユーザーとして AppScan® Source Database に示されますが、それらのユーザーは有効になりません。これらのユーザーは Database から削除できます。あるいは、AppScan® Source ユーザーに変換できます。AppScan® Source で以前の Jazz ユーザーを有効にする方法については、HCL Support にお問い合わせください。
- LDAP を使用して構成された Enterprise Server からのマイグレーション:Enterprise Server のアップグレード時には、LDAP を使用して Enterprise Server を再構成するオプションがあります。これを行う場合、既存のユーザーは引き続き AppScan® Source で機能します。
- Windows™ 認証を使用して構成された Enterprise Server からのマイグレーション:Enterprise Server が Windows™ 認証を使用して構成されていた場合、Windows™ 認証を使用するように新しい Enterprise Server Liberty を構成することで、既存のユーザーは AppScan® Source で問題なく使用できます。
バージョン 8.7 からのマイグレーション
検出結果の分類に関する変更
バージョン 8.7 より後のバージョンでは、検出結果の分類が変更されています。以下の表に、古い分類と新しい分類の対応関係を示します。
バージョン 8.8 より前の AppScan® Source の検出結果分類 | AppScan® Source バージョン 8.8 での検出結果の分類 |
---|---|
脆弱性 | 確定セキュリティー検出結果 |
タイプ I 例外 | 要確認セキュリティー検出結果 |
タイプ II 例外 | スキャン範囲検出結果 |
これらの変更の例は、「脆弱性マトリックス」ビューで確認できます。
バージョン 8.8 以降では、次のようになります。
スキャン範囲を改善するデフォルト設定の変更
AppScan® Source バージョン 8.8 の場合:
- scan.ozsettings の初期値
show_informational_findings
はtrue
からfalse
に変更されました。 - ipva.ozsettings の初期値
wafl_globals_tracking
はfalse
からtrue
に変更されました。この設定により、AppScan® Source がフレームワーク・ベースの各種コンポーネント間のデータ・フローを検出することが可能になります (例えば、コントローラーからビューへのデータ・フローなど)。
show_informational_findings
に対する変更によって、重大度レベルが「情報」の検出結果は、デフォルトでは評価に組み込まれないようになります。
以前のバージョンからの AppScan® Source 事前定義フィルターの復元
AppScan® Source バージョン 8.8 では、より有用なスキャン結果が得られるように定義済みフィルターが改善されました。AppScan® Source の旧バージョンからの定義済みフィルターを引き続き使用する必要がある場合は (アーカイブ・フィルターのリストは AppScan Source 事前定義フィルター (バージョン 8.7.x 以前)に記載されています)、アーカイブ済みの事前定義フィルターの復元の指示のとおりに行ってください。