HCL® AppScan® Source バージョン 10.7.0 Readme とリリース Notes®

2024 年 10 月

製品やそのコンポーネントをインストールする前に、この文書全体をお読みください。

この文書には、AppScan® Source に関する重要な問題およびトピックが記載されています。

AppScan® Source のライセンス

AppScan® Source には、クライアント・マシンにライセンス情報をロードして更新するための License Manager ユーティリティーが組み込まれています。このユーティリティーを使用すると、現在のライセンスの状況を確認できます。また、ノードロック・ライセンス・ファイルをインポートするか、ライセンス・サーバーでフローティング・ライセンスを使用して、製品をアクティブ化することもできます。ノードロック・ライセンスは個々のマシンに関連付けられますが、フローティング・ライセンスは、チェックアウトして別のクライアント・マシンで使用できます。インストールの完了後、製品のインストール・ウィザードから License Manager ユーティリティーを起動できます。

あるいは、Windows の「スタート」メニューから起動できます。

AppScan® Source のライセンスは、HCL® License & Delivery Portal から取得します。ライセンスの取得とライセンス認証に関する詳細については、ヘルプの「AppScan Source ライセンスの取得および適用方法」と「ソフトウェアのアクティブ化」を参照してください。

重要: Windows 用の新しいインストール・ファイル名

従来のリリースまで Windows 用インストール・ファイル名は setup.exe でした。今回インストール・ファイル名は、AppScanSrc_Installer.exe となりました。

AppScan® Source for Analysis 製品資料

AppScan® Source for Analysis「ヘルプ」 > 「ヘルプ目次」メニュー項目を使用すると、「HCL ソフトウェア製品資料」で AppScan® Source のオンライン・ヘルプが開きます。同様に、AppScan® Source for Analysis の「ようこそ」ビューからリンクに従うと、「HCL ソフトウェア製品資料」で開きます。

AppScan® Source for Analysis では、多くのビュー、設定ページ、およびダイアログ・ボックス用のコンテキスト・ヘルプも提供されています。コンテキスト・ヘルプのキーボード・ショートカットは、Windows では F1、Linux では Shift+F1 です。このコンテキスト・ヘルプを使用すると、AppScan® Source「HCL ソフトウェア製品資料」も開くことができます。

インターネットに接続せずに製品を使用している場合は、以下の方法によりローカルでヘルプを参照することができます。

  • 一部の AppScan® Source for Analysis 機能の Javadoc は、AppScan® Source インストール・ディレクトリーの doc/Javadoc ディレクトリーまたは doc\Javadoc ディレクトリーにあります。バージョン 9.0.3.4 からは、以下の機能の Javadoc が用意されています。
    • アプリケーション・サーバーのインポート・フレームワーク API クラスおよびメソッドの Javadoc は、doc/Javadoc/appserverimporter または doc\Javadoc\appserverimporter で参照可能です。
    • Framework for Frameworks API クラスおよびメソッドの Javadoc は、doc/Javadoc/frameworks または doc\Javadoc\frameworks で参照可能です。

    これらのフォルダーでは index.html ファイルを開きます。

全般

「スキャンの停止」は使用できなくなりました

AppScan® Source スキャンを中断することはできなくなり、現在の結果が返されます。結果を表示するには、スキャンを完了する必要があります。

AppScan® Source をアップグレードした後、除外されたバンドルからの検出結果がスキャン結果に現れる場合がある

AppScan® Source のアップグレード後、一部の検出結果のプロパティーが変更され、その結果、この既知の制限に該当する場合があります。

IPv6 に関する制限

AppScan® Source は、 Internet Protocol Version 6 (IPv6) に対応していますが、以下の例外があります。

  • IPv6 の数値アドレスの入力はサポートされておらず、代わりにホスト名を入力する必要があります。IPv4 の数値アドレスの入力はサポートされています。

クラスまたはライブラリーの欠落によって Eclipse ワークスペースのスキャンが失敗した場合のプリコンパイル済みクラスの使用

Eclipse ワークスペースを正常にインポートしたにもかかわらず、クラスまたはライブラリーの欠落によって、ワークスペースのスキャンが失敗する場合は、プリコンパイル済みのクラスでスキャンするオプションを使用することをお勧めします。そのためには、プロジェクト・プロパティーでそのオプションを選択し、Eclipse プロジェクトの bin ディレクトリーを参照します。

トルコ語ロケールではサイレント・インストールはサポートされない

カスタムのサイレント・インストールを作成した場合、トルコ語の言語ロケールで実行すると失敗します (例:tr および tr_TR)。

Oracle データベースでは UTF-8 文字セットが必要

AppScan® Enterprise Server を Oracle データベースに接続している場合は、データベースの作成時に文字セットを UTF-8 に設定する必要があります (通常、UTF-8 はデフォルトの文字セットではありません)。

JSP ファイル内の行番号

ファイルから生成された .java ファイルの行番号は、.jsp ファイル名とともに表示されます。

Ounce/Maven

ounce:report mojo は、既存の評価の XML ファイルに対しては機能せず、新しいスキャンについてのみ有効です。

AppScan® Source for Analysis

すべての AppScan® Source java プロセスを終了せずに AppScan® Source をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® Source java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® SourceAppScan® Source for Analysis、または AppScan® Source for Development (Eclipse plug-in) コンポーネントを含む AppScan® Source for Development (Visual Studio plug-in) インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® Source java プロセスがないことを確認してください。

Linux での AppScan® Source for AnalysisAppScan® Source for Development (Eclipse plug-in) コンポーネントの前提条件

Linux の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan® Source for Analysis および AppScan® Source for Development (Eclipse plug-in) は、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。

Linux における AppScan® Source for Analysis の偶発的シャットダウン

予期しないシャットダウンを防ぐには、Pango をアップグレードします。Pango をアップグレードするには、glib のアップグレードが必要になることがあります。

各国語の切り替え時にキャッシングが発生する可能性がある

AppScan® Source for Analysis のユーザー・インターフェースは、設定で言語を切り替えてワークベンチを再始動することにより、各国語で表示できます。文字列をキャッシュし、以前の使用言語で表示するのは Eclipse 共通の動作であり、AppScan® Source for Analysis はこの動作の影響を受けます。表示される各国語を切り替えてワークベンチを再始動すると、キャッシュされた文字列は、その文字列が示すユーザー・インターフェース要素をアクティブ化したときに更新されます (例えば、ボタン・ラベルがキャッシュされている場合、そのボタンをクリックすると、文字列が新しい言語に更新されます)。

AppScan® Source for Analysis のインストール・パスではマルチバイト文字はサポートされない

インストール・パスにマルチバイト文字が含まれている場合、すべてのバージョンの AppScan® Source for Analysis はインストール時に無効なディレクトリーのエラーで失敗します。

Linux の場合 - 「ounce」以外のユーザーとして実行するように AppScan® Source for Analysis デーモンをインストール時に構成すると、AppScan® Source の起動時にエラーが発生する

AppScan® Source for Analysis インストーラーでは、AppScan® Source デーモン・プロセスを、デフォルト・ユーザー「ounce」として実行するように構成することも、既存のユーザーとして実行するように構成することもできます。

回避策: デフォルト・ユーザーを選択しない場合は、以下の行を含む eclipse.ini ファイルを AppScan® Source インストール・ディレクトリー (例: /opt/hcl/appscansource) に作成する必要があります。

-configuration @user.home/.ounceconfig

非管理ユーザーとして AppScan® Source for Analysis を削除する

Windows 上の AppScan® Source for Analysis では、「プログラムの追加と削除」エントリーを作成するには管理者権限が必要です。管理者ではないユーザーとして AppScan® Source for Analysis をインストールした場合、AppScan® Source for Analysis を削除するには、<install_dir>\Uninstall_AppScan に進み、AppScan_Uninstaller.exe(<install_dir>AppScan® Source インストールの場所です) を実行します。

PDF レポートを作成する場合、英語以外の一部の言語ではシステム・フォントをインストールすることが必要な場合があります。

以下の言語で PDF レポートを作成するには、指定されたフォントをインストールすることが必要になる場合があります。

  • 日本語: MS ゴシックまたは VL ゴシック
  • 韓国語: Gulim
  • 中国語(簡体字): SimSun-18030 または MingLiU
  • 中国語(繁体字): SimSun-18030 または MingLiU

カスタム・ルールの変更とプラグインの使用

AppScan® Source for Analysis でカスタム・ルールを作成して AppScan® Source for Development plug-in にログインした場合、変更内容を確認するには IDE を再起動する必要があります。

「評価の概要」ビューでのグラフのスタイルの選択はサポートされなくなった

「評価の概要」ビューでは、表示するグラフのスタイルを選択できなくなりました。使用可能なグラフのスタイルは棒グラフのみです。

AppScan® Source for Development (Eclipse plug-in)

すべての AppScan® Source java プロセスを終了せずに AppScan® Source をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® Source java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® SourceAppScan® Source for Analysis、または AppScan® Source for Development (Eclipse plug-in) コンポーネントを含む AppScan® Source for Development (Visual Studio plug-in) インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® Source java プロセスがないことを確認してください。

AppScan® Source for Development を Eclipse に適用した後に初めて Eclipse を再起動した後にワークスペースの選択を要求するプロンプトが表示されない

AppScan® Source for Development を Eclipse に適用した後、ワークベンチの再始動を求めるプロンプトが表示されます。再始動すると、ワークスペースの選択を求めるプロンプトが表示されます。しかし、Eclipse を再び再始動したとき、つまり、一度閉じてから始動したときには、ワークスペースの選択を求めるプロンプトが表示されません。

この問題は、https://bugs.eclipse.org/bugs/show_bug.cgi?id=409552 に関連しています。

この問題を回避するには、以下のいずれかの方法を使用します。

  • Eclipse の始動時に -clean オプションを使用します。
  • Eclipse を終了し、Eclipse のインストール・ディレクトリーで configuration\org.eclipse.osgi\.manager ディレクトリーを削除してから、Eclipse を再始動します。

問題が解決しない場合は、「ファイル」 > 「ワークスペースの切り替え」アクションを使用して、正しいワークスペースを使用していることを確認できます。

AppScan® Source for Development (Eclipse plug-in) のアップグレード

AppScan® Source for Development または AppScan® Source for Development の最新バージョンにアップグレードする前に、AppScan® Source を Eclipse IDE からアンインストールすることをお勧めします。

Linux での AppScan® Source for AnalysisAppScan® Source for Development (Eclipse plug-in) コンポーネントの前提条件

Linux の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan® Source for Analysis および AppScan® Source for Development (Eclipse plug-in) は、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。

Eclipse と Eclipse ベースの製品用の AppScan® Source for Development プラグイン: AppScan® Source インストール・ディレクトリーの複数のプロンプト

Eclipse および Eclipse ベースの製品用の AppScan® Source for Development プラグインを初めて使用する場合は、ダイアログ・ボックスが表示され、AppScan® Source インストール・ディレクトリーへのパスを指定するよう求められます。インストール・ディレクトリーを指定して「OK」をクリックしても再び同じダイアログ・ボックスが表示される場合には、「キャンセル」をクリックし、ワークベンチを再起動して、そのまま、通常どおり製品を使用してください。インストール・ディレクトリーの入力を求めるプロンプトが複数回表示されたときにワークベンチを再始動しなかった場合、スキャンに失敗することがあります。

AppScan® Source for Development で共有フィルター/グローバル・フィルターが表示されないことがある

AppScan® Source for Development のフィルター・モジュールでは、AppScan® Enterprise Server にログインして認証を受けなくても、保存されている評価を開いてフィルター・アクションを実行することができます。共有フィルターは AppScan® Source Database (アクセスするためにはログインして認証を受ける必要あり) に格納されているため、現在のプラグイン・セッションで AppScan® Source にログインしていない場合、プラグインで共有フィルターを使用することはできません。

回避策: スキャン (またはログインを必要とするその他のアクション) は、プラグインのフィルター・モジュールにアクセスする前に実行してください。ログインすると、共有フィルターを使用できるようになります。

重要: 開発者プラグインで「フィルターの編集 (Edit Filters)」ビューを開くと、フィルターがロードされます。このビューが既に開いている場合は、ログインしても、ビューが更新されて共有フィルターが表示されることはありません。回避策として、ビューを閉じ、プラグインを再起動して、AppScan® Source にログインしてから、再び「フィルターの編集」ビューを開いてください。

カスタム・ルールの変更とプラグインの使用

AppScan® Source for Analysis でカスタム・ルールを作成して AppScan® Source for Development plug-in にログインした場合、変更内容を確認するには IDE を再起動する必要があります。

「評価の概要」ビューでのグラフのスタイルの選択はサポートされなくなった

「評価の概要」ビューでは、表示するグラフのスタイルを選択できなくなりました。使用可能なグラフのスタイルは棒グラフのみです。

AppScan® Source for Development (Visual Studio plug-in)

すべての AppScan® Source java プロセスを終了せずに AppScan® Source をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® Source java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® SourceAppScan® Source for Analysis、または AppScan® Source for Development (Eclipse plug-in) コンポーネントを含む AppScan® Source for Development (Visual Studio plug-in) インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® Source java プロセスがないことを確認してください。

大規模な評価における多数の検出結果のコピー時の遅延

多数の検出結果を含む評価で複数の検出結果を複数選択してコピーすると、コピー・アクションがクリップボードに追加されるまでに数秒の遅延が生じることがあります。コピーされた内容を貼り付ける前に、コピー・アクションが完了していることを確認してください。

インストールされていない Microsoft Visual Studio のバージョンで作成されたソリューション・ファイルのスキャン

ご使用のシステムにインストールされていないバージョンの Visual Studio で作成されたソリューション・ファイルをスキャンしようとすると、AppScan® Source は、ご使用のシステムで互換性のあるバージョンの Visual Studio を見つけて、それを使用してスキャンしようとします。

AppScan® Source Microsoft Visual Studio の「製品情報」ダイアログ・ボックスの一部が表示されない

特定の国の言語では、AppScan® Source for Development (Visual Studio plug-in) の「製品情報」ダイアログ・ボックスは不完全に表示されます。これに対処するには、最適に表示されるように画面解像度やフォント・サイズを調整します。

AppScan® Source for Development で共有フィルター/グローバル・フィルターが表示されないことがある

AppScan® Source for Development のフィルター・モジュールでは、AppScan® Enterprise Server にログインして認証を受けなくても、保存されている評価を開いてフィルター・アクションを実行することができます。共有フィルターは AppScan® Source Database (アクセスするためにはログインして認証を受ける必要あり) に格納されているため、現在のプラグイン・セッションで AppScan® Source にログインしていない場合、プラグインで共有フィルターを使用することはできません。

回避策: スキャン (またはログインを必要とするその他のアクション) は、プラグインのフィルター・モジュールにアクセスする前に実行してください。ログインすると、共有フィルターを使用できるようになります。

重要: 開発者プラグインで「フィルターの編集 (Edit Filters)」ビューを開くと、フィルターがロードされます。このビューが既に開いている場合は、ログインしても、ビューが更新されて共有フィルターが表示されることはありません。回避策として、ビューを閉じ、プラグインを再起動して、AppScan® Source にログインしてから、再び「フィルターの編集」ビューを開いてください。

「評価の概要」ビューでのグラフのスタイルの選択はサポートされなくなった

「評価の概要」ビューでは、表示するグラフのスタイルを選択できなくなりました。使用可能なグラフのスタイルは棒グラフのみです。

AppScan® Source command line interface (CLI)

publishassessase または pase コマンドを発行すると、HttpAuthenticator 警告が出る

CLI を使用して、Windows 認証のみが有効になった AppScan® Enterprise Console に対する公開を行う場合、publishassessase または pase コマンドの発行時に以下のような警告が表示される場合があります。

WARN [main] (HttpAuthenticator.java:207) - NEGOTIATE authentication error: org.ietf.jgss.GSSException, major code: 2, minor code: 0
  major string: Unsupported mechanism
  minor string: No factory available to create name for mechanism x.x.x.x.x.x.x
Assessment successfully published to: https://<ase_hostname>/ase

このような警告は評価の公開には影響せず、無視することができます。

MicrosoftWindows

Windows C/C++ アプリケーションのスキャン

Windows C/C++ アプリケーションは 64 ビットとしてスキャンされます。

64 ビット対応ではない C/C++ アプリケーションでは、スキャン・エラーが発生する場合があります。

Windows で AppScan® Source のアンインストールがハングする

AppScan Source v10.0.0 のサーバーとクライアントの両方の機能セットが Windows システムにインストールされている場合、プロセスが <InstallDir>\engine から JRE ファイルを削除しようとすると、アンインストールがハングします。

これが発生したら、プロセスが強制終了し、アンインストールを手動で完了します。

アンインストール・プロセスを終了して、アンインストールを完了するには、次のようにします。

  1. 最初に、右上隅の「x」をクリックして、インストーラー・ダイアログを手動で閉じます。
  2. ダイアログを手動で閉じることができない場合:
    1. 「Windows」「タスク・マネージャー (Task Manager)」をオープンします。
    2. 「詳細」タブで、AppScanSrc_Uninstaller.exe プロセスを探します。
    3. プロセスを右クリックして、「タスクの終了」を選択します。
  3. Windows Explorer から、インストール・ディレクトリーを削除します。デフォルトでは、AppScan® Source バージョン 10.0.6 以前のインストール・ディレクトリーは C:\Program Files(x86)\IBM\AppScanSource です。
  4. データ・ディレクトリーを削除します。デフォルトでは、AppScan® Source バージョン 10.0.6 以前のデータ・ディレクトリーは C:\ProgramData\IBM\AppScanSource です。
注: AppScan Source v10.0.0 のクライアントのみのインストールをアンインストールしても、ハングは発生しません。

Windows Defender によって中断された AppScan® Source のインストール

Windows の古いバージョンに AppScan® Source をインストールすると、Windows Defender は警告ポップアップを表示してインストール・プロセスを中断する場合があります。ポップアップをクリックしてインストールを続行します。詳細については、https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-smartscreen/windows-defender-smartscreen-overviewを参照してください。

すべての AppScan® Source java プロセスを終了せずに AppScan® Source をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® Source java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® SourceAppScan® Source for Analysis、または AppScan® Source for Development (Eclipse plug-in) コンポーネントを含む AppScan® Source for Development (Visual Studio plug-in) インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® Source java プロセスがないことを確認してください。

AppScan® Source 構成ファイルに特殊文字が含まれているとエラーが発生する

Windows では、構成ファイル (.ppf.paf.osc) のファイル名に一部の特殊文字 (Ç, à, ∾, ¥, §, Æ など) が含まれていると、エラーが発生することがあります。

#import のライブラリー id および progid フォームの非サポート

Microsoft Visual C++ #import プリプロセッサー・ディレクティブにはいくつかのフォームがあります。AppScan® Source では、ライブラリー id または progid を使用する 2 つのフォームがサポートされていません。これらのフォームを含むファイルはスキャンされず、コンソールにエラー・メッセージが表示されます。

参照先のアセンブリーは、スキャン対象のアセンブリーと同じディレクトリー内にあるか、グローバル・アセンブリー・キャッシュ (GAC) に登録されていなければならない

AppScan® Source は、すべての参照先アセンブリーまたは依存アセンブリーがスキャン対象アセンブリーと同じフォルダー内にあるか、GAC に登録されている場合のみ、.NET アプリケーションの完全なスキャンを行うことができます。アセンブリーが、ディスク上の他の場所にあるアセンブリーで定義されているタイプを参照する場合、以下のようなエラーが表示されることがあります。

Skipping file <assembly_name> due to error: Failed (0x80004005) in <type> call
     Referenced assembly <referenced assembly name> was not found.

このようなエラーを修正するには、参照先のアセンブリーをスキャン対象のアセンブリーと同じディレクトリーにコピーするか、GAC に登録します。

.Net コアでアセンブルされた .NET アセンブリー・プロジェクト

AppScan® Source では、.NET Core で生成されたアセンブリー・ファイルを含む .NET アセンブリー・プロジェクトはサポートされていません。.NET Core プロジェクトは、.NET ソリューション・ファイルと同じ方法でスキャンできます。詳しくは、ユーザー・インターフェース・アクションによる既存のアプリケーションの追加を参照してください。

Visual Basic 6 でのスキャンには完全な関数宣言が必要

#if#else if、および #end if には、関数の完全な宣言が含まれていなければなりません。以下に例を示します。

#If NATIVEBINDING Then
Public Function TemplateFromRule(ByVal Rule As OrgMan.Rule) As AcDir.Template
          	Dim oOp As OrgMan.Operation
#Else
Public Function TemplateFromRule(ByVal Rule As Object) As AcDir.Template
          	Dim oOp As Object
#End If
          	If Rule Is Nothing Then Exit Function
          	oOp = Rule.Operation
          	If oOp Is Nothing Then Exit Function
          	TemplateFromRule = BuildTemplate(oOp.Command, Rule.Field, Rule.Value)
End Function

英語以外のロケールでの実行時にダイアログ・ボックスおよびメッセージの一部が切り捨てられる

典型的な Microsoft Windows コントロールにはサイズ変更機能がありませんが、AppScan® Source では一部のダイアログ・ボックスおよびメッセージのサイズを変更できます。AppScan® Source 製品のグラフィカル・ユーザー・インターフェースを英語以外のロケールで実行しており、ダイアログ・ボックスおよびメッセージの文字列が切り捨てられる場合は、ダイアログ・ボックスまたはメッセージをサイズ変更して内容を完全に表示することができます。

AppScan® Source for Development (Visual Studio plug-in) の制限

AppScan® Source for Development (Visual Studio plug-in) に適用されるすべての制限は、Windows に固有でもあります。「AppScan Source for Development (Visual Studio plug-in)」を参照してください。

Linux

ノードロック・ライセンスと Red Hat Enterprise Linux 7.4

IBM に由来するノードロック・ライセンスは Red Hat Enterprise Linux 7.4 で正しく動作しないことがあります。HCL に由来するノードロック・ライセンスに移動してください。詳細については、HCL サポートにお問い合わせください。

Red Hat Enterprise Linux 7.x で AppScan Source をアンインストールする

Red Hat Enterprise Linux 7.x では、すべての AppScan Source プロセスを停止するには、AppScan Source バージョン 9.0.3.x をアンインストールした後にシステムを再起動する必要があります。

すべての AppScan® Source java プロセスを終了せずに AppScan® Source をアップグレードすると、「修正方法」ビューに障害が発生する場合がある

AppScan® Source java プロセスの実行中に製品アップグレードを実行すると、アップグレードに、「修正方法」ビューで次のようなエラーが表示される場合があります。

This page can't be displayed
     - Make sure the web address http://<my_host_and_port> is correct.
     - Look for the page with your search engine.
     - Refresh the page in a few minutes.

または

Error executing query and transform

AppScan® SourceAppScan® Source for Analysis、または AppScan® Source for Development (Eclipse plug-in) コンポーネントを含む AppScan® Source for Development (Visual Studio plug-in) インストール済み環境をアップグレードする場合は、事前に、実行中の AppScan® Source java プロセスがないことを確認してください。

Linux Mozilla の「修復支援」ビューの要件

Linux の場合、「修復支援」ビューを使用するためには、GTK2 以上にリンクしている Mozilla が必要です。

GTK2 以上にリンクしている Mozilla をインストールします。Mozilla を入手したら解凍して、それをポイントする環境変数 MOZILLA_FIVE_HOME を追加します。例えば、アーカイブを /usr/local に解凍して bash シェルを使用する場合、export MOZILLA_FIVE_HOME=/usr/local/mozilla~/.bashrc に追加します。

SELinux によってインストール、製品のアクティブ化、および実行が妨げられる

Security Enhanced Linux (SELinux) は、Linux カーネルの Linux セキュリティー・モジュールを使用してセキュリティーとアクセス制御を強化する Linux の機能です。この機能は、デフォルトで Red Hat Enterprise 5 に組み込まれています。

  1. インストール: AppScan® Source のインストールは、SELinux を強制モードにした状態で実行することはできません。SELinux を「許可 (Permissive)」モードに変更する必要があります。SELinux を許可モードで実行するには、/usr/bin/system-config-selinux を発行します。または、GNOME を実行している場合は、「システム (System)」 > 「管理」 > 「SELinux の管理 (SELinux Management)」の順に選択してください。root パスワードの入力を求めるプロンプトが表示されます。まだ選択していない場合は、左側のペインで「状態」を選択します。右側のペインで、「現在のモード - 強制 (Current Enforcing Mode)」ドロップダウンを「許可 (Permissive)」に変更します。SELinux を「許可 (Permissive)」に変更したら、AppScan® Source のインストールを通常どおり実行します。インストールの完了後に SELinux の設定を「強制 (Enforcing)」に戻すことができます。
  2. 製品のアクティブ化: 「強制 (Enforcing)」モードでは AppScan® Source License Manager を使用できません。SELinux を「許可 (Permissive)」モードに変更する必要があります。SELinux を許可モードで実行するには、/usr/bin/system-config-selinux を発行します。または、GNOME を実行している場合は、「システム (System)」 > 「管理」 > 「SELinux の管理 (SELinux Management)」の順に選択してください。root パスワードの入力を求めるプロンプトが表示されます。まだ選択していない場合は、左側のペインで「状態」を選択します。右側のペインで、「現在のモード - 強制 (Current Enforcing Mode)」ドロップダウンを「許可 (Permissive)」に変更します。SELinux を「許可 (Permissive)」に設定したら、License Manager を実行します。製品のアクティブ化の完了後に SELinux の設定を「強制 (Enforcing)」に戻すことができます。
  3. 実行中: AppScan® Source に付属している JRE および JDK は SELinux を強制モードにした状態では動作しません。ただし、「強制 (Enforcing)」モードを無効にする必要はありません。SELinux をトリガーするファイルに、動作させるための権限を付与できるためです。これは chcon コマンドで chcon -t textrel_shlib_t <filename> を発行することで行われます。このコマンドは、<installdir>/jre ディレクトリーおよび <installdir>/JDKS ディレクトリーの下のすべての共有オブジェクト・ファイル (.so) に対して発行する必要があります。そのための方法として、exec パラメーターを指定して find コマンドをバッチ形式で実行します。以下に例を示します。
    cd /opt/ibm/appscansource/jre
    sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print
    cd ../JDKS
    sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print

Linux での AppScan® Source for AnalysisAppScan® Source for Development (Eclipse plug-in) コンポーネントの前提条件

Linux の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan® Source for Analysis および AppScan® Source for Development (Eclipse plug-in) は、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。

Linux における AppScan® Source for Analysis の偶発的シャットダウン

予期しないシャットダウンを防ぐには、Pango をアップグレードします。Pango をアップグレードするには、glib のアップグレードが必要になることがあります。

Linux の場合 - 「ounce」以外のユーザーとして実行するように AppScan® Source for Analysis デーモンをインストール時に構成すると、AppScan® Source の起動時にエラーが発生する

AppScan® Source for Analysis インストーラーでは、AppScan® Source デーモン・プロセスを、デフォルト・ユーザー「ounce」として実行するように構成することも、既存のユーザーとして実行するように構成することもできます。

回避策: デフォルト・ユーザーを選択しない場合は、以下の行を含む eclipse.ini ファイルを AppScan® Source インストール・ディレクトリー (例: /opt/hcl/appscansource) に作成する必要があります。

-configuration @user.home/.ounceconfig

2.95.4 製品などの旧バージョンの gcc を使用してコンパイルされたソース・コードをスキャンするとエラーになる

例えば、

Skipping file: file.cpp due to error: "/home/file.cpp", line 97: error: namespace "std" has
          	no member "string"
          	std::string mystring;

のようなエラーが表示されることがあります。

回避策: プロジェクトのコンパイラー・オプションに --ignore_std オプションを追加します。このオプションにより、std 名前空間をグローバル名前空間のシノニムにする gcc 互換機能が有効になります。AppScan® Source for Analysis で、プロジェクトの「プロパティー」ビューの「プロジェクト依存関係」タブを使用して、このオプションを追加します。あるいは、Ounce/Make を使用してプロジェクト・ファイルを作成している場合は、Ounce/Make プロパティー・ファイルで compiler_options 要素の GlobalProjectOptions 属性を変更してください。

macOS

macOS サポートの廃止

バージョン 9.0.3.11 以降の AppScan® Source では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。

追加情報

AppScan® Source バージョン 10.7.0 の強化機能と新規機能

  • 重要なライセンスの変更
    HCLSoftware 製品は、ライセンスの取得と管理において変更が進行中です。
    • AppScan® Source バージョン 10.7.0 には、2027 年 10 月 31 日まで機能する暫定ライセンスサポートが含まれています。
    • 新しいライセンス機能をサポートする AppScan® Source のバージョンは、2025 年 6 月より前にリリースされる予定です。
    • バージョン 10.6.0 以前の AppScan® Source は、2025 年 6 月までにサポート終了 (EOS) となります。
    • 混乱を避けるために、最新バージョンが利用可能になったらすぐにアップグレードしてください。
    • 詳しくは、「ライセンス変更」のお知らせを参照してください。
  • AppScan® Source検出結果ビューとレポートには、プライマリー CWE に関連付けられている追加の CWE の新しい列があります。
  • AppScan® Source は、Red Hat Enterprise Linux バージョン 9.0 および 9.4 をサポートします。
  • AppScan® SourceESQL をサポートします。
  • AppScan® Source は、Infrastructure-As-Code プロジェクト内の PowerShell (.ps1) ファイルのスキャンをサポートします。
  • AppScan® SourceJava 21 をサポートします。
  • Angular、ASP、CSS、DART、Java ソース・コード・スキャナー、JavaScript、JQuery、Objective-C、PHP、Python、シークレット・スキャナー、Terraform、TypeScript、および VueJS のルールの更新
  • AppScan® Sourceデータ・アクセス API のクラスパスが更新されました。

AppScan® Source バージョン 10.7.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.7.0 で終了予定の機能または削除された機能

AppScan® Source バージョン 10.6.0 の強化機能と新機能

AppScan® Source バージョン 10.6.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.6.0 の既知の問題

  • AppScan® Source Eclipse プラグインに必須の Draw2d jar は、「Java 開発者」用の Eclipse IDE では使用できません。

    この問題を回避するには、プラグインをインストールする前に、この jar を手動でダウンロードしてeclipse\plugins フォルダーにコピーします。

AppScan® Source バージョン 10.6.0 で終了予定の機能または削除された機能

  • バージョン 10.7.0 以降では、ライセンス手順が変更されています。この変更は、既存の使用には影響しません。HCL® AppScan® の詳細と更新情報を随時確認してください。
  • 「DISA アプリケーションのセキュリティーと導入 STIG V4R10」レポートはサポートされなくなりました。

AppScan® Source バージョン 10.5.0 の強化機能と新規機能

AppScan® Source の追加アップグレード情報

AppScan® Source をアップグレードする場合、は、以下の手順に従って、Visual Studio 2022 インスタンスに AppScan® Source プラグインをインストールします。
  1. すべての Visual Studio 2022 インスタンスを閉じます。
  2. HCL ソフトウェア・ダウンロードおよびライセンス管理ポータルから VS2022Plugin.zip をダウンロードします。
  3. zip ファイルの中身をデフォルトのインストール・ディレクトリーに抽出します。

    デフォルトの場所は C:\Program Files\HCL\AppScanSource です。

  4. <default_installation_directory>/binAppScanSourcePlugin2022.vsix をダブルクリックします。
  5. 表示される VSIX インストーラーのダイアログで、「Visual Studio <Edition> 2022」を選択し、「インストール」をクリックします。

    システムのインストール内容に応じて、エディションには Professional、Enterprise、または Community があります。利用可能な場合は、インストールするエディションを複数選択できます。

  6. インストールが完了したら、ダイアログ・ボックスを閉じます。
  7. Visual Studio 2022 を再起動します。

    AppScan® Source プラグインが「拡張機能」の下に表示されます。

AppScan® Source バージョン 10.5.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.5.0 の既知の問題

  • AppScan® Source Eclipse プラグインの TLS 1.2 で CAC 認証が機能しない
    この問題を回避するには、-vmargs にある eclipse.ini ファイルに次を追加します。
    --add-exports=java.base/sun.security.internal.spec=ALL-UNNAMED
  • フォルダーまたはサブフォルダー内の個々のファイルまたはファイルのコレクションをスキャンするための右クリック・オプションは、ベース・フォルダー・プロパティーのオプションを保持しません。
  • ファイル・システム・レベルでスキャンするように設定されたフォルダーの名前を変更すると、予期しない結果をもたらす恐れがあります。

    この問題を回避するには、「フォルダーの削除」オプションを使用してフォルダーを削除し、フォルダーの名前を変更してから、もう一度追加します。

  • 「フォルダーのスキャン」を使用して評価を生成する場合、「検出結果」ビューで検出結果を除外するフィルターと、「除外された検出結果」ビューに検出結果を含めるフィルターが機能しません。

AppScan® Source バージョン 10.5.0 で終了予定の機能または削除された機能

  • Microsoft Visual Studio 2013 は、2024 年 4 月 9 日にサービス終了 (EOS) になります。EOS の日付を経過すると、HCL® AppScan® Source は Microsoft Visual Studio 2013 をサポートしなくなります。

AppScan® Source バージョン 10.4.0 の強化機能と新規機能

  • AppScan® SourceWindows 11 をサポートします。
  • AppScan® SourceRed Hat Enterprise Linux 8.8 をサポートします。
  • AppScan® Source では、ライセンスがないときに、コマンド行インターフェース (CLI) の scan コマンドまたは ounceauto ScanApplication コマンドを使用して、待機時間ありでスキャンを開始できます。

    AppScan® Source for Automation ライセンスがない場合、スキャンは、 CLI.ozsettings に設定されている待機時間、または scan コマンドの -waitforlicense 引数で渡される値だけ待機します。待機時間機能を無効にするには、値をゼロに設定します。

  • AppScan® Source では、シークレットのみのプロジェクトで、または scan CLI コマンドでフォルダー・スキャンを実行するときに -secretsonly パラメーターを使用することで、シークレットのみのスキャンを実行できます。

    シークレットのみのスキャンでは、ハードコードされたパスワード、クレジット・カード番号、社会保障番号 (SSN) がスキャン対象のコードで検出された場合に、これらのシークレットのチェックを行います。

  • AppScan® Source では、アプリケーションまたはプロジェクト・プロパティーを編集するか、scan CLI コマンドでフォルダー・スキャンを実行するときに -enablesecrets パラメーターを使用することで、ソース・コードのみのスキャンでシークレット・スキャンを有効または無効にすることができます。プロジェクトの作成時にシークレット・スキャンを有効にすることもできます。

    シークレット・スキャンでは、ハードコードされたパスワード、クレジット・カード番号、社会保障番号 (SSN) がスキャン対象のコードで検出された場合に、これらのシークレットのチェックを行います。

  • AppScan® Source で、GitHub Action または GitLab CI/CD、および AppScan® Source コマンド行インターフェース (CLI) コンテナーを使用したスキャンの自動化がサポートされています。

AppScan® Source バージョン 10.4.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.4.0 で終了予定の機能または削除された機能

  • RSS フィードはサポートされなくなりました。

AppScan® Source バージョン 10.3.0 の強化機能と新規機能

  • AppScan® Source で、コマンド行インターフェース (CLI)「 ツール」メニュー、または ounceauto コマンドを使用した、スキャン検出結果の CSV および SARIF ファイル形式へのエクスポートがサポートされています。
  • HCL®AppScan® Source for Development (Eclipse Plug-in) で、Eclipse IDE 2022-09 がサポートされています。
  • AppScan® Source で、Rust がサポートされています。
  • バージョン 10.3.0 の AppScan® Source では、Java および Ruby スキャンのサポートが強化されました。
  • AppScan® Source で、シークレット・スキャンがサポートされています。
  • 2 つの評価ファイルを比較するための、AppScan® Source コマンド行インターフェース (CLI) のサポート。
  • AppScan® Source で、Podman 環境でのコマンド行インターフェース (CLI) コンテナーの実行がサポートされています。
  • データ・アクセス API には JDK 11 以降が必要です。
  • AppScan® Source で、Jenkins または Azure および AppScan® Source コマンド行インターフェース (CLI) コンテナーを使用したスキャンの自動化がサポートされています。

AppScan® Source バージョン 10.3.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.3.0 の既知の問題

  • デフォルトでは、AppScan® Source は Java 11 を使用して Java プロジェクトをコンパイルします。プロジェクトに Java 11 との互換性がない場合に、別の Java コンパイラー・バージョンを使用するようにスキャンを構成する場合は、ここで説明されている手順に従ってください。
  • AppScan® Source コマンド行インターフェース (CLI) を使用して AndroidManifest.xml を含むフォルダーをスキャンすると、An error occurred copying files to the staging directory というエラーでスキャンが失敗します。
    この問題を回避するには、以下のいずれかを行います。
    • appscan-config.xml を使用してスキャンを構成します。
    • ターゲット・フォルダーおよび/またはサブフォルダーから、AndroidManifest.xml を削除 (または移動) します。

AppScan® Source バージョン 10.3.0 で終了予定の機能または削除された機能

  • HCL® AppScan® Source for Development (RAD プラグイン) はサポートされなくなりました。

  • HCL® AppScan® Source for Development (Eclipse プラグイン) は Eclipse IDE 4.13 (2019-09) ではサポートされなくなりました

AppScan® Source バージョン 10.2.0 の強化機能と新規機能

  • AppScan® Source では、ライセンス構成ファイルでライセンス非アクティブ時間を構成できます。
  • AppScan® Source CLI では、フォルダーのスキャン時にソース・コードのみのスキャンができるようになりました。
  • プロジェクト・ファイル拡張子の設定で、使用可能な言語/プロジェクト・タイプがタブではなくドロップダウン・リストにリストされるようになりました。
  • AppScan® SourceRed Hat Linux 8.6 をサポートします。
  • AppScan® Source.NET 7 をサポートします。

AppScan® Source および AppScan® Enterprise の相互運用性に関する追加情報

  • AppScan® Enterprise バージョン 10.2.0 では、CVSS 3.1 のサポートがアップグレードされました。AppScan® Source ユーザーが AppScan® Enterprise バージョン 10.2.0 にアップグレードすると、CVSS 3.1 仕様の性質上、重大度値に不一致が生じる可能性があります。こちらで詳細を確認してください。

AppScan® Source バージョン 10.2.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.2.0 の既知の問題

  • Windows 2016 で AppScan® Source が稼働していて英語以外のロケールを使用している場合、AppScan® SourceAppScan® Enterprise に評価を公開できません。
  • C#ファイルを含むフォルダーをスキャンする場合、フォルダー・スキャンでは Xamarin スキャナーが使用されます。これにより、ユーザーが Xamarin 使用していない場合にも、多数の誤検出が発生する可能性があります。

AppScan® Source バージョン 10.1.0 の強化機能と新規機能

  • AppScan® SourceRed Hat Enterprise Linux 8.3 をサポートします。
  • Eclipse IDE 2022-06 で HCL®AppScan® Source for Development (Eclipse Plug-in) がサポートされるようになりました。
  • AppScan® Source が Java 17 をサポートし、インストール・パッケージに Java 17 が含まれました。
  • AppScan® Source が Tomcat 9 をサポートし、インストール・パッケージに Tomcat 9 が含まれました。
  • AppScan® Source で、最初に .PAF または .PPF ファイルを作成せずに、フォルダーのスキャンができるようになりました。
  • Ruby、Groovy、JavaScript、および PHP スキャンのサポートが拡張されました。システム要件については、こちらを参照してください。

AppScan® Source および AppScan® Enterprise の相互運用性に関する追加情報

AppScan® Source バージョン 10.1.0 は、AppScan® Enterprise Server バージョン 10.1.0 をサポートしています。AppScan® Source バージョン 10.0.8 以前は、AppScan® Enterprise Server バージョン 10.1.0 をサポートしていません。適切な相互運用性を確保するには、両方の製品をアップグレードします。

AppScan® Source バージョン 10.1.0 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.1.0 で終了予定の機能または削除された機能

  • 以下のレポートおよびレポート・フィルターが削除されました。
    • 2011 年 CWE SANS Top 25 レポート
    • OWASP Top 10 2013 レポート
    • 2011 年 CWE SANS Top 25 レポート・フィルター
    • 2010 年 OWASP Top 25 レポート・フィルター
    • 2013 年 OWASP Top 25 レポート・フィルター
  • 障害追跡システムの統合がサポートされなくなりました。
  • E メールによる検出結果の送信はサポートされなくなりました。

  • 品質メトリックがサポートされなくなりました。
  • Tomcat 7 が AppScan® Source インストール・パッケージに含まれなくなりました。
  • AppScan® Source は、将来のリリースで SolidDB と OracleDB のサポートを終了する予定です。

AppScan® Source バージョン 10.0.8 の強化機能と新規機能

AppScan® Source バージョン 10.0.8 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.0.8 の既知の問題

  • Eclipse プラグインを使用する場合は、Java 8 を使用して AppScan® Source for Development を構成する必要があります。

AppScan® Source バージョン 10.0.7 の強化機能と新規機能

AppScan® Source バージョン 10.0.7 のフィックスとセキュリティー更新

フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.0.7 の既知の問題

  • Windows では、AppScan® Source バージョン 9.0.3.x または 10.0.0 から AppScan® Source バージョン 10.0.7 にアップグレードする場合、最初に AppScan® Source バージョン 10.0.1 ~ 10.0.6 への暫定アップグレードを実行する必要があります。
    重要: アンインストール後に再インストールしないでください。データベースを保守するには、2 つの手順でアップグレードする必要があります。
  • Oracle データベースで構成されている AppScan® Source には、16 文字以上の強力なパスワードが必要です。

AppScan® Source バージョン 10.0.7 で終了予定または削除予定の機能

AppScan® Source バージョン 10.0.6 の強化機能と新規機能

  • AppScan® Source for Analysis の場合と同様に、Visual Studio プラグインの「検出結果」ビューには、デフォルトで修正グループ別の検出結果が表示されるようになりました。
  • AppScan® Source for Analysis での評価比較に使用されるアルゴリズムが、新しいアルゴリズムで更新されました。AppScan® Source for Analysis クライアントからの評価比較結果は AppScanDelta コマンドと整合しますが、以前のバージョンの AppScan® Source の比較結果と比較すると何らかの違いがある可能性があります。
  • アルゴリズムの更新の一環として、AppScan® Source for Analysis「差分評価」 ビューから、新規または解決済み検出結果 (あるいはその一方) の評価を保存することができるようになりました。

  • AppScan® Source は C/C++、.NET、および Java のソース・コードのみのスキャンをサポートします。
  • 検出結果の修復を支援するため、AppScan® Source では業界標準のレポートにアドバイザリー情報を追加しました。
  • AppScan® Source は、サブジェクトの代替名 - マルチドメイン (SAN) 証明書を使用した CAC 認証をサポートします。
  • AppScan® Source は、Dart プログラム言語をサポートします。
  • Linux システムでのスキャンの停止/キャンセルのサポート。

AppScan® Source バージョン 10.0.6 の既知の問題

  • AppScan® Source バージョン 10.0.5 以前で作成された Objective-C .paf/.ppf ファイルを使用してスキャンを実行すると、Objective-C プロジェクトのスキャンは失敗します。AppScan® Source バージョン 10.0.6 で Objective-C プロジェクトを再構成し、再試行してください。

AppScan® Source バージョン 10.0.6 のフィックスとセキュリティー更新

  • フィックスとセキュリティー更新はここにリストされます。

AppScan® Source バージョン 10.0.6 で終了予定または削除予定の機能

  • AppScan® Source は、単一ファイル・スキャン・バージョン 10.0.0 のサポートを停止しました。

AppScan® Source バージョン 10.0.5 の強化機能と新規機能

  • KBArticle サーバーは、AppScan セキュリティー情報サーバーに置き換えられました。AppScan セキュリティー情報サーバーのコンテンツとインターフェースは、ユーザーにより良いサービスを提供するために更新されましたが、以前の AppScan® Source バージョンにおける KBArticle サーバーと同じ目的を持っています。アプリケーションのセキュリティー検出結果を緩和および解決するためにユーザーを支援します。
  • 検出結果の修復を支援するため、AppScan® Source ではレポートにアドバイザリー情報を追加しました。
  • 「修復支援」ビューの名前が「修正方法」に変更されました。
  • AppScan® Source に、DISA STIG v5r1 レポート形式のサポートが追加されました。

    この新しいレポートには、Application Security Checklist Version 5, Release 1 で指定された脆弱性のカテゴリーが一覧表示されます。アプリケーションが STIG の要件に準拠しているかどうかをレビュー担当者が判断できるように、可能な限り AppScan® Source では適切な結果を生成します。

  • WindowsLinux の両方で、HCL 共通ローカル・ライセンス・サーバー 2.0 のサポート 。
  • AppScan® Source は、修正グループ別にグループ化される検出結果レポートの生成をサポートしています。

AppScan® Source バージョン 10.0.5 および AppScan® Enterprise バージョン 10.0.5 の相互運用性に関する追加情報

  • AppScan® Enterpriseasc.properties ファイルの新しいプロパティーを使用して、AppScan® Enterprise への公開または「モニター」タブからの AppScan® Enterprise への問題のインポートの速度を、必要なユーザーの応答性に応じてバランスさせることができるようになりました。issue.import.batch.interval プロパティーの使用の詳細については、AppScan® Enterprise 資料を参照してください。

AppScan® Source バージョン 10.0.5 の既知の問題

  • コンソール出力が文字化けしないようにするため、AppScan Source のロケール・セットがシステムのロケールと一致している必要があります。
  • Linux での「修正方法」ビューにレンダリングの問題がいくつかあります。また、外部参照リンクは Linux の「修正方法」ビューから開かないでください。記事を外部ブラウザーで開くと、正しくレンダリングされ、外部リンクにアクセスできます。
  • 自動化サーバーが AppScan Security Info サーバーの始動に失敗すると、ounceauto コマンドを使用してレポートが生成された場合に、レポートに「修正方法」情報は含まれません。この問題を回避するには、ounceauto を使用してレポートを生成する前に、AppScan® Source for Analysis またはコマンド行インターフェース (CLI クライアント) を開始します。AppScan Security Info サーバーは、AppScan® Source for Analysis および CLI クライアントによって自動的に開始されます。

AppScan® Source バージョン 10.0.4 の強化機能と新規機能

  • バージョン 10.0.4 では、AppScan® Source は以下のオペレーティング・システムをサポートします。
    • Windows Server 2019
    • Red Hat Linux バージョン 7.8 および 7.9

    詳しくは、システム要件およびインストールの前提条件を参照してください。

  • AppScan® Source バージョン 10.0.4 では、以下の言語と言語バージョンがサポートされています。
    • Java バージョン 9、10、11:
      • AdoptOpenJDK 11 がデフォルトです
      • 指定する代替 JDK は 64 ビットである必要があります
    • .NET Core 3.1
    • Infrastructure as Code (IaC)

    詳細については、システム要件およびインストールの前提条件を参照してください。

AppScan® Source バージョン 10.0.4 の既知の問題

  • AppScan® Source バージョン 9.3.14 以前で作成され、「プロパティー」ビューで除外済みとしてマークされたバンドルが、AppScan® Source バージョン 10.0.0 以降にアップグレードした後では、検出で除外されません。バンドルは、AppScan® Source バージョン 10.0.0 以上で再作成する必要があります。
  • AppScan® Source for Analysis クライアント内のすべてのアプリケーションでスキャンを実行すると、修正グループにデータを取り込まなくても「結果」ビューにデータが取り込まれる可能性があります。この結果を回避し、修正グループの検出結果を適切に表示するために、個々のアプリケーションでスキャンを実行します。
  • 評価ファイル名にネイティブ文字が含まれていると、英語以外のロケールで評価の AppScan® Enterprise への公開が失敗します。ファイル名からネイティブ文字を削除し、再公開します。

AppScan® Source バージョン 10.0.3 の強化機能と新規機能

  • バージョン 10.0.3 の AppScan® Source では次の言語のサポートが追加されました。
    • Android Java
    • Ionic
    • Objective C
    • React Native
    • SAP ABAP
    • Vue.js
    • Xamarin

    詳細については、「システム要件」を参照してください。

  • 静的分析の修正グループのサポート。

    修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® Source は問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。詳細については、「静的分析修正グループの操作」を参照してください。

  • 修正グループのサポートの一部として、Companion レポートのテクニカル・プレビューが「検出レポートの選択」ダイアログ・ボックスに表示されます。このレポートには、現在、修正グループ・タイプに関する高レベルの情報だけが表示されます。今後のリリースでは、修正グループの最適な修正場所を含め、レポート機能にさらに深さが追加されます。

AppScan® Source バージョン 10.0.3 の既知の問題

  • CLI コマンド details は断続的にエラーをレポートします。ただし、コマンドの機能は影響を受けません。
    ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
  • 修正グループ情報を表示するために AppScan® Source データベースに公開された評価を開くと、修正グループ・タイプまたは修正グループ ID の代わりに NULL が表示されます。ローカル・ファイル・システムに評価を保存してから、「評価を開く」コマンドを使用してその評価を開き、公開された静的分析評価の修正グループ情報を表示します。

AppScan Source バージョン 10.0.3 のインストールおよび相互運用性に関する追加情報

  • AppScan® Source のアップグレードまたは AppScan® Source バージョン 10.0.3 の修復インストールを実行するときに、以前のインストールがデータベースを使用して構成されていた場合は、 AppScan Source DB サービスを手動で開始する必要があります。

AppScan® Source バージョン 10.0.2 の強化機能と新規機能

  • AppScan® Source バージョン 10.0.2 以後は、HCL ライセンスが必要です。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
  • AppScan® Source 分析の場合、バージョン 10.0.2 ではスキャンを実行するためにデータベース接続は不要です。スキャン構成と結果を共有するための AppScan Enterprise との統合は、AppScan® Enterprise で構成されます。切断された機能の詳細については、こちらで説明されています。
  • AppScan® Source 次の言語のサポートについて紹介されています。Angular 8、Angular 9、Groovy、Symfony、および TypeScript。詳細については、「システム要件」を参照してください。

AppScan® Source バージョン 10.0.2 のインストールおよび相互運用性に関する追加情報

  • AppScan® Source バージョン 10.0.2 をクリーンなシステムにインストールする場合は、インストールするデータベースがないため、データベース構成は行われません。共有情報を保管および取得するには、AppScan Enterprise との統合を構成します。
  • 接続モードで使用するために AppScan® Source バージョン 10.0.2 をクリーンなシステムにインストールする場合は、AppScan® Enterprise バージョン 10.0.2 が必要です。古いバージョンの AppScan® Enterprise はサポートされていません。さらに、AppScan Enterprise Server は、ユーザー管理Enterprise Console の両方とともにインストールする必要があります。
  • 以前のバージョンから AppScan® Source バージョン 10.0.2 にアップグレードする場合は、構成機能を含めて、以前にインストールされていたすべてのデータベースが完全にサポートされます。

  • AppScan® Source バージョン 10.0.2 の修復インストールを実行するときは、以前のインストールがデータベースを使用して構成されていた場合は、AppScan Source DB サービスを手動で開始する必要があります。
  • Automation Server またはクライアント・コンポーネントのみがインストールされている AppScan® Source をアップグレードし、後から修復インストールを実行する場合は、'ounce.ozsettings で以下のプロパティーを更新します。
    • name=core_provider value=1
    • name=connect_mode value=false
  • バージョン 10.0.2 より前に作成されたサイレント・インストーラーの応答ファイルはサポートされていません。AppScan® Source バージョン 10.0.2 で使用するには、新しいサイレント・インストーラーの応答ファイルを作成する必要があります。

AppScan® Source バージョン 10.0.2 で終了予定または削除予定の機能

  • AppScan Source は IBM ライセンスをサポートしなくなり、ライセンス・マネージャーで構成できなくなりました。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
  • AppScan® Source バージョン 10.0.2 では、Visual Studio 2010 のサポートがなくなります。
  • SolidDB は AppScan® Source に付属しなくなり、ソリューションの一部としてインストールされません。SolidDB の既存のインストールは引き続きサポートされます。
  • 「管理」メニューの下の「監査ログ」オプションは使用できなくなります。

AppScan® Source バージョン 10.0.1 の強化機能と新規機能

  • AppScan® Source バージョン 10.0.1 では、ユーザー・インターフェースにおける HCL ベース・ライセンスのプロキシー・サポートや信頼できない証明書を使用してローカル・ライセンス・サーバーに接続する機能など、ライセンス機能を強化しました。
  • AppScan® Source バージョン 10.0.1 では、AppScanDelta を導入しました。この機能では、コマンド・ラインから 2 つの評価の差分を取得できます。
  • AppScan® Source は、NetCore 2.1 および 2.2 をサポートしています。
  • AppScan® Source バージョン 10.0.1 には、Scala、Swift、Kotlin、および ReactJS の言語サポートが含まれています。詳細については、「システム要件」を参照してください。
  • AppScan® Source バージョン 10.0.1 では、DISA STG v4r10 レポート形式をサポートします。

AppScan® Source バージョン 10.0.1 の既知の問題

  • 2015 以前から Visual Studio プロジェクトをスキャンすると、スキャンが失敗し、discoverymanager.exe.config を削除するようメッセージが表示されることがあります。指定されたファイルを削除してやり直してください。詳細については、ここを参照してください。

AppScan® Source 相互運用性 (interoperability)

  • AppScan® Enterprise 10.0.1 と相互運用するには、AppScan® Source の 9.0.3x および 10.0.0 バージョンを次のように構成する必要があります。
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan® Source バージョン 10.0.1 で終了予定または削除予定の機能

次の機能は AppScan® Source バージョン 10.0.1 で終了を予定しています。それに従って計画してください。

  • 重要! 新しい AppScan® リリースの IBM ライセンスのサポートは、2020 年第 3 四半期 (8 月/9 月) に終了します。AppScan® 製品の新しい後続バージョンでは、HCL ライセンスのみをサポートします。ライセンスの詳細については、「ソフトウェアのアクティブ化」を参照してください。または、HCL 担当者または HCL サポートにお問い合わせください。
  • SolidDB は、2020 年第 3 四半期 (8 月/9 月) 以降の製品更新に付属しなくなります。既存のインストールは引き続きサポートされます。

AppScan® Source バージョン 10.0.0 の強化機能と新規機能

  • IBM® Security AppScan® SourceHCL® AppScan® Source となりました。

    2019 年中頃、HCL Technologies は AppScan®AppScan® Enterprise スタンダード、AppScan®AppScan® Source on Cloud を含む AppScan® 製品ファミリーを IBM より買収しました。すべての AppScan® 製品は HCL Software によって所有され、開発、販売されることになりました。すべてのライセンス、ロゴ、命名規則、その他の知的財産権およびブランド権利は HCL が所有します。当該の AppScan® 製品はすべて、この所有権ならびに新しい段階の開発と成長を反映するため、再ブランド化されています。

  • HCL ライセンスの導入 HCL® AppScan® Source

    IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan® 製品ファミリーのライセンス・パッケージを導入します。AppScan®AppScan® スタンダード、AppScan® Source は、ローカル FlexLM ライセンス・サーバーを使用し、プロキシー・サーバーを介して認証します。AppScan® on Cloud では、市場で主流となっている Okta の CAIM (Customer Identity Access Management) システムを使用します。

  • AppScan® Source Go プログラミング言語 (Golang) がサポートされるようになりました。
  • AppScan® Source Visual Studio 2015、2017、2019 で C++ スキャンがサポートされるようになりました。
  • AppScan® Source Oracle 19c がサポートされるようになりました。
  • 新規データ・フロー・スキャン機能はより完璧なコード分析を実行し、結果としてより詳細な検出結果が得られます。
  • AppScan® Source にカスタム・スキャナーがある言語の場合、AppScan® Source v10 でスキャンすると、検出結果に大きな違いが見られる場合があります。スキャンがカスタム・スキャンに変換された場合、これは検出結果が減少することを意味する場合があります。カスタム・スキャナーのルールは進化し、定期的に追加されており、簡単に拡張できます。
  • Intelligent Code Analytics (ICA) および Intelligent Findings Analytics (IFA) との拡張統合。

    ICA/IFA を有効にすると、「除外された検出結果」タブにアクセスできるようになります。詳細は、AppScan® Source 資料の「Intelligent Findings Analytics (IFA)」を参照してください。

    デフォルトでは、IFA がすべてのスキャンで有効になっています。有効にすると、現在のスキャンと将来のスキャンに適用されます。以前のスキャンからの評価には適用できません。

  • AppScan® Source での .NET プロジェクト (ASP、WEB、Framework、Core) のスキャンは HCL AppScan on Cloud のプロセスをミラーリングします。.NET プロジェクトは、スキャン前にコンパイルでき、プロジェクトのプロパティーには適切なビルド仕様が含まれている必要があります。
  • AppScan® Source をインストールし基本的なスキャンを実行するには、最低 15 GB の空き容量が必要です。ただし、必要なディスク空き容量は、スキャン対象のアプリケーションによって異なります。最低 8 GB の RAM および 15~20 GB のディスク空き容量があることを推奨します。また、Windows のページ・ファイル要件を増加する必要があります (詳細は、「Windows 10 で PC のパフォーマンスを向上させるヒント」を参照してください。
  • システム要件、スキャンとプラグインのサポートに関する詳細については、「システム要件およびインストールの前提条件」を参照するか、HCL サポートまでお問い合わせください。

AppScan® Source バージョン 10.0.0 の相互運用性

HCL® AppScan® Source 10.0.0 には、AppScan® Source 10.0.0 データベース (SolidDB または Oracle) が必要です。
  • AppScan® Source 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容が異なるため、10.0.0 以前の AppScan® Source データベースでは正しくスキャンしません。
  • 同様に、10.0.0 より前の AppScan® Source クライアントは、10.0.0 AppScan® Source データベースでは正しくスキャンしません。
AppScan® Source 10.0.0 は、AppScan® Enterprise の 9.0.3.x より前のバージョンと相互運用します。
  • AppScan® Enterprise 10.0.0 データベースのインスタンスで構成された AppScan® Source のインスタンスは、AppScan® Source の 9.0.3.x バージョンでは使用できません。逆も同様です。
  • AppScan® Enterprise 10.0.0 と相互運用するには、AppScan® Source の 9.0.3.x バージョンを次のように構成する必要があります。
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

追加の AppScan® Source バージョン 10.0.0 インストール手順

AppScan® Source バージョン 10.0.0 と Visual Studio 2019 プラグインをインストールすると、インストールが成功したように見えますが、Visual Studio 2019 プラグインが適切にインストールされていない可能性があります。

Visual Studio 2019 に AppScan® Source バージョン 10.0.0 のプラグインをインストールするには:

  1. ターゲット・システムに HCL® AppScan® Source バージョン 10.0.0 がインストールされていることを確認します。インストール時に Microsoft Visual Studio 2019 プラグインを選択します。
  2. Visual Studio 2019 のターゲット・インスタンスに AppScan® Source の 10.0.0 より前のバージョンがインストールされている場合は、次の手順でアンインストールします。
    1. ターゲット Visual Studio 2019 インスタンスを開始します。
    2. 「Visual Studio」 > 「拡張機能」 > 「拡張機能の管理」を開きます。
    3. 「インストール済み」タブで、リストから「AppScan Source Plug-in」を選択します。
    4. 「プラグインのアンインストール」をクリックし、プロンプトに従ってアンインストールを完了します。
  3. HCL® AppScan® Source バージョン 10.0.0 のプラグインを Visual Studio 2019 インスタンスに次の手順でインストールします。
    1. すべての Visual Studio 2019 インスタンスを閉じます。
    2. VS2019Plugin.zipHCL® AppScan® Source リリース・ダウンロード・サイトからダウンロードします。
    3. zip ファイルの中身を <AppScan Source Install Dir> に抽出します (デフォルトの場所は C:\Program Files (x86)\IBM\AppScanSource です)。プロンプトに表示されるすべてのオプションで「はい」を選択します。
    4. <AppScan Source Install Dir>/bin ディレクトリーから AppScanSrcPlugin.vsix をダブルクリックします。
    5. 表示される VSIX インストーラーのダイアログで、「Visual Studio <Edition> 2019」を選択し、「インストール」をクリックします。

      マシンのインストール内容に応じて、エディションには Professional、Enterprise、または Community があります。利用可能な場合は、インストールするエディションを複数選択できます。

    6. インストールが完了したら、ダイアログを閉じます。
    7. Visual Studio 2019 を再起動します。「AppScan Source Plug-in」は、「拡張機能」の下に表示されます。

AppScan® Source バージョン 10.0.0 の既知の問題

このセクションでは、AppScan® Source バージョン 10.0.0 の情報、既知の制限、および回避策について説明します。
  • 次の言語はサポートされていません。
    • Arxan C
    • WSDL
  • WebSphere では、デフォルトの JSP コンパイル・オプションのみがサポートされます。
  • 単一ファイル・スキャンは、すべての言語で利用できるわけではありません。
  • JSP ファイルのプリコンパイルを無効にするメカニズムはありません。JSP ファイルは常にプリコンパイルされます。
  • Linux システムでは、スキャンの停止/キャンセルは機能しません。
  • Windows システムでコマンド・ライン・インターフェースを使用するときは、停止/キャンセルが機能しないことがあります。この問題を回避するには、AppScan® Source を再起動し、バックグラウンド・プロセスを強制終了します。
  • Windows システムから AppScan® Source バージョン 10.0.0 をアンインストールするときに、アンインストール・プロセスがハングすることがあります。詳しくは、「Windows で AppScan Source のアンインストールがハングする」を参照してください。
  • AppScan® Source バージョン 10.0.0 にアップグレードすると、PDF レポートが生成されません。詳細については、「アップグレード・シナリオで PDF レポートの生成時に、AppScan Source 10.0.0 が「java.lang.reflect.InvocationTargetException」をスローする」を参照してください。

AppScan® Source バージョン 10.0.0 で終了予定の機能

次の機能は AppScan® Source バージョン 10.0.0 で終了を予定しています。それに従って計画してください。

AppScan® Source バージョン 10.0.0 でサポートされなくなった機能およびフィーチャー

  • 脆弱性キャッシュは、サポート対象外となりました。
  • インクリメント・スキャンはサポート外です。
  • 非 CPA スキャンはサポート外です。
  • バージョン 9.0.3.11 以降の AppScan® Source では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。

    AppScan® Source の一部のコンポーネントは 32 ビットです。MacOS 10.14 (Mojave) は、32 ビットのアプリケーションをサポートする最新の Mac OS バージョンです。

    10.12 までの Mac オペレーティング・システムでは、AppScan® Source バージョン 9.0.3.10 以前を引き続き使用できます。

ドキュメンテーション

AppScan® Source 資料についての情報は、https://support.hcltechsw.com/csm を参照してください。

技術サポートの要請

この製品に関する技術サポートを受ける方法については、https://support.hcltechsw.com/csm を参照してください。

この製品の Web サイトは https://www.hcl-software.com/appscan です。