新機能
以下の、AppScan® Source に追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。
- AppScan Sourceバージョン 10.7 の新機能
- AppScan Source バージョン 10.6.0 の新機能
- AppScan Source バージョン 10.5.0 の新機能
- AppScan Source バージョン 10.4.0 の新機能
- AppScan Source バージョン 10.3.0 の新機能
- AppScan Sourceバージョン 10.2 の新機能
- AppScan Sourceバージョン 10.1 の新機能
- AppScan Source バージョン 10.0.8 の新機能
- AppScan Source バージョン 10.0.7 の新機能
- AppScan Source バージョン 10.0.6 の新機能
- AppScan Source バージョン 10.0.5 の新機能
- AppScan Source バージョン 10.0.4 の新機能
- AppScan Source バージョン 10.0.3 の新機能
- AppScan Source バージョン 10.0.2 の新機能
- AppScan Source バージョン 10.0.1 の新機能
- AppScan Sourceバージョン 10.0 の新機能
AppScan® Sourceバージョン 10.7 の新機能
AppScan® Source バージョン 10.7.0 の強化機能と新規機能
- 重要なライセンスの変更HCLSoftware 製品は、ライセンスの取得と管理において変更が進行中です。
- AppScan® Source バージョン 10.7.0 には、2027 年 10 月 31 日まで機能する暫定ライセンスサポートが含まれています。
- 新しいライセンス機能をサポートする AppScan® Source のバージョンは、2025 年 6 月より前にリリースされる予定です。
- バージョン 10.6.0 以前の AppScan® Source は、2025 年 6 月までにサポート終了 (EOS) となります。
- 混乱を避けるために、最新バージョンが利用可能になったらすぐにアップグレードしてください。
- 詳しくは、「ライセンス変更」のお知らせを参照してください。
- AppScan® Source の検出結果ビューとレポートには、プライマリー CWE に関連付けられている追加の CWE の新しい列があります。
- AppScan® Source は、Red Hat Enterprise Linux バージョン 9.0 および 9.4 をサポートします。
- AppScan® Source は ESQL をサポートします。
- AppScan® Source は、Infrastructure-As-Code プロジェクト内の PowerShell (
.ps1
) ファイルのスキャンをサポートします。 - AppScan® Source は Java 21 をサポートします。
- Angular、ASP、CSS、DART、Java ソース・コード・スキャナー、JavaScript、JQuery、Objective-C、PHP、Python、シークレット・スキャナー、Terraform、TypeScript、および VueJS のルールの更新。
- AppScan® Source の データ・アクセス API のクラスパスが更新されました。
AppScan® Source バージョン 10.7.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.7.0 で終了予定の機能または削除された機能
- バージョン 10.7.0 以降では、ライセンス手順が変更されています。
- バージョン 10.6.0 以前の AppScan® Source は、2025 年 6 月までにサポート終了 (EOS) となります。
AppScan® Source バージョン 10.6.0 の新機能
AppScan® Source バージョン 10.6.0 の強化機能と新機能
- AppScan® Source は Windows Server 2022 をサポートします。
- AppScan® Source は WebSphere Application Server 9.0 をサポートします。
- AppScan® Source は .NET 8 をサポートします。
- DISA アプリケーションのセキュリティーと導入 STIG V5R3 のサポート。
- フォルダーのスキャンの AppScan® Source for Analysis ユーザー・インターフェースの改善。
- フォルダー・スキャンを使用して生成された評価での検出結果の除外のサポート。
- フォルダーまたはサブフォルダー内の個々のファイルまたはファイルのコレクションをスキャンするためのベース・フォルダー・プロパティーにあるオプションの保持のサポート。
- AppScan® Source for Development (Eclipse プラグイン) は、Eclipse IDE 2022-09 から 2024-03 をサポートします。
- Makefile および GNUMakefile のスキャンのサポートによる、C/C++ ソース・コードのみのスキャンの拡張サポート
- AppScan® Source は、
ounceauto
を使用したフォルダー・スキャンをサポートします。 - AppScan® Source は、
scan.ozsettings
ファイルを通じてシークレット・スキャンのグローバルな有効化をサポートします。 - Java、JavaScript、および Python 言語とシークレット・スキャンの精度の向上
AppScan® Source バージョン 10.6.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.6.0 の既知の問題
- AppScan® Source Eclipse プラグインに必須の Draw2d jar は、「Java 開発者」用の Eclipse IDE では使用できません。
この問題を回避するには、プラグインをインストールする前に、この jar を手動でダウンロードして、
eclipse\plugins
フォルダーにコピーします。
AppScan® Source バージョン 10.6.0 で終了予定の機能または削除された機能
- バージョン 10.7.0 以降では、ライセンス手順が変更されています。この変更は、既存の使用には影響しません。HCL® AppScan® の詳細と更新情報を随時確認してください。
- 「DISA アプリケーションのセキュリティーと導入 STIG V4R10」レポートはサポートされなくなりました。
AppScan® Source バージョン 10.5.0 の新機能
AppScan® Source バージョン 10.5.0 の強化機能と新規機能
- AppScan® Source for Analysis クライアントは、ユーザー・インターフェースを介したフォルダーのスキャンをサポートしています。
- カスケード・スタイル・シート (CSS) のスキャンをサポートします。
- AppScan® Source Visual Studio プラグインは、Visual Studio 2022 をサポートしています。
- 新しいファイル拡張子のサポートにより、次のように IaC、RPG および VB.NET のサポートが拡張されています。
- IaC:
.conf
、.curl
、.ini
、.properties
、tf.json
- RPG:
.rpgl
、.sqlrpgle
- VB.NET:
.vbs
- IaC:
- PHP スキャンの精度が向上しました。
- OWASP API セキュリティー Top 10 - 2023 レポートのサポート。
-
AppScan® Source は、GitHub リポジトリー情報の評価ファイルの組み込みと、AppScan® Enterprise への公開をサポートします。この機能は、
scan.ozsettings
ファイルを使用して有効にできます。 -
ローカル SSL 証明書 (
use_local_ssl_cert
) を使用するために、新しいプロパティーがライセンス設定ファイルに追加されました。
AppScan® Source の追加アップグレード情報
- すべての Visual Studio 2022 インスタンスを閉じます。
- HCL ソフトウェア・ダウンロードおよびライセンス管理ポータルから
VS2022Plugin.zip
をダウンロードします。 - zip ファイルの中身をデフォルトのインストール・ディレクトリーに抽出します。
デフォルトの場所は
C:\Program Files\HCL\AppScanSource
です。 <default_installation_directory>/bin
でAppScanSourcePlugin2022.vsix
をダブルクリックします。- 表示される VSIX インストーラーのダイアログで、「Visual Studio <Edition> 2022」を選択し、「インストール」をクリックします。
システムのインストール内容に応じて、エディションには Professional、Enterprise、または Community があります。利用可能な場合は、インストールするエディションを複数選択できます。
- インストールが完了したら、ダイアログ・ボックスを閉じます。
- Visual Studio 2022 を再起動します。
AppScan® Source プラグインが「拡張機能」の下に表示されます。
AppScan® Source バージョン 10.5.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.5.0 の既知の問題
- AppScan® Source Eclipse プラグインの TLS 1.2 で CAC 認証が機能しないこの問題を回避するには、
-vmargs
にあるeclipse.ini
ファイルに次を追加します。--add-exports=java.base/sun.security.internal.spec=ALL-UNNAMED
- フォルダーまたはサブフォルダー内の個々のファイルまたはファイルのコレクションをスキャンするための右クリック・オプションは、ベース・フォルダー・プロパティーのオプションを保持しません。
- ファイル・システム・レベルでスキャンするように設定されたフォルダーの名前を変更すると、予期しない結果をもたらす恐れがあります。
この問題を回避するには、「フォルダーの削除」オプションを使用してフォルダーを削除し、フォルダーの名前を変更してから、もう一度追加します。
- 「フォルダーのスキャン」を使用して評価を生成する場合、「検出結果」ビューで検出結果を除外するフィルターと、「除外された検出結果」ビューに検出結果を含めるフィルターが機能しません。
AppScan® Source バージョン 10.5.0 で終了予定の機能または削除された機能
- Microsoft Visual Studio 2013 は、2024 年 4 月 9 日にサービス終了 (EOS) になります。EOS の日付を経過すると、HCL® AppScan® Source は Microsoft Visual Studio 2013 をサポートしなくなります。
AppScan® Source バージョン 10.4.0 の新機能
AppScan® Source バージョン 10.4.0 の強化機能と新規機能
- AppScan® Source は Windows 11 をサポートします。
- AppScan® Source が Red Hat Enterprise Linux 8.8 をサポートします。
- AppScan® Source では、ライセンスがないときに、コマンド行インターフェース (CLI) の scan コマンドまたは ounceauto ScanApplication コマンドを使用して、待機時間ありでスキャンを開始できます。
AppScan® Source for Automation ライセンスがない場合、スキャンは、
CLI.ozsettings
に設定されている待機時間、またはscan
コマンドの-waitforlicense
引数で渡される値だけ待機します。待機時間機能を無効にするには、値をゼロに設定します。 - AppScan® Source では、シークレットのみのプロジェクトで、または
scan
CLI コマンドでフォルダー・スキャンを実行するときに-secretsonly
パラメーターを使用することで、シークレットのみのスキャンを実行できます。シークレットのみのスキャンでは、ハードコードされたパスワード、クレジット・カード番号、社会保障番号 (SSN) がスキャン対象のコードで検出された場合に、これらのシークレットのチェックを行います。
- AppScan® Source では、アプリケーションまたはプロジェクト・プロパティーを編集するか、
scan
CLI コマンドでフォルダー・スキャンを実行するときに-enablesecrets
パラメーターを使用することで、ソース・コードのみのスキャンでシークレット・スキャンを有効または無効にすることができます。プロジェクトの作成時にシークレット・スキャンを有効にすることもできます。シークレット・スキャンでは、ハードコードされたパスワード、クレジット・カード番号、社会保障番号 (SSN) がスキャン対象のコードで検出された場合に、これらのシークレットのチェックを行います。
- AppScan® Source で、GitHub Action または GitLab CI/CD、および AppScan® Source コマンド行インターフェース (CLI) コンテナーを使用したスキャンの自動化がサポートされています。
AppScan® Source バージョン 10.4.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.4.0 で終了予定の機能または削除された機能
-
RSS フィードはサポートされなくなりました。
AppScan® Source バージョン 10.3.0 の新機能
AppScan® Source バージョン 10.3.0 の強化機能と新規機能
- AppScan® Source で、コマンド行インターフェース (CLI)、「 ツール」メニュー、または ounceauto コマンドを使用した、スキャン検出結果の CSV および SARIF ファイル形式へのエクスポートがサポートされています。
- HCL®AppScan® Source for Development (Eclipse Plug-in) で、Eclipse IDE 2022-09 がサポートされています。
- AppScan® Source で、Rust がサポートされています。
- バージョン 10.3.0 の AppScan® Source では、Java および Ruby スキャンのサポートが強化されました。
- AppScan® Source で、シークレット・スキャンがサポートされています。
- 2 つの評価ファイルを比較するための、AppScan® Source コマンド行インターフェース (CLI) のサポート。
- AppScan® Source で、Podman 環境でのコマンド行インターフェース (CLI) コンテナーの実行がサポートされています。
- データ・アクセス API には JDK 11 以降が必要です。
- AppScan® Source で、Jenkins または Azure および AppScan® Source コマンド行インターフェース (CLI) コンテナーを使用したスキャンの自動化がサポートされています。
AppScan® Source バージョン 10.3.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.3.0 の既知の問題
- デフォルトでは、AppScan® Source は Java 11 を使用して Java プロジェクトをコンパイルします。プロジェクトに Java 11 との互換性がない場合に、別の Java コンパイラー・バージョンを使用するようにスキャンを構成する場合は、ここで説明されている手順に従ってください。
- AppScan® Source コマンド行インターフェース (CLI) を使用して AndroidManifest.xml を含むフォルダーをスキャンすると、
An error occurred copying files to the staging directory
というエラーでスキャンが失敗します。この問題を回避するには、以下のいずれかを行います。- appscan-config.xml を使用してスキャンを構成します。
- ターゲット・フォルダーおよび/またはサブフォルダーから、AndroidManifest.xml を削除 (または移動) します。
AppScan® Source バージョン 10.3.0 で終了予定の機能または削除された機能
-
HCL® AppScan® Source for Development (RAD プラグイン) はサポートされなくなりました。
-
HCL® AppScan® Source for Development (Eclipse プラグイン) は Eclipse IDE 4.13 (2019-09) ではサポートされなくなりました
AppScan® Sourceバージョン 10.2 の新機能
AppScan® Source バージョン 10.2.0 の強化機能と新規機能
- AppScan® Source では、ライセンス構成ファイルでライセンス非アクティブ時間を構成できます。
- AppScan® Source CLI では、フォルダーのスキャン時にソース・コードのみのスキャンができるようになりました。
- プロジェクト・ファイル拡張子の設定で、使用可能な言語/プロジェクト・タイプがタブではなくドロップダウン・リストにリストされるようになりました。
- AppScan® Source は Red Hat Linux 8.6 をサポートします。
- AppScan® Source は .NET 7 をサポートします。
AppScan® Source および AppScan® Enterprise の相互運用性に関する追加情報
- AppScan® Enterprise バージョン 10.2.0 では、CVSS 3.1 のサポートがアップグレードされました。AppScan® Source ユーザーが AppScan® Enterprise バージョン 10.2.0 にアップグレードすると、CVSS 3.1 仕様の性質上、重大度値に不一致が生じる可能性があります。こちらで詳細を確認してください。
AppScan® Source バージョン 10.2.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.2.0 の既知の問題
- Windows 2016 で AppScan® Source が稼働していて英語以外のロケールを使用している場合、AppScan® Source は AppScan® Enterprise に評価を公開できません。
- C#ファイルを含むフォルダーをスキャンする場合、フォルダー・スキャンでは Xamarin スキャナーが使用されます。これにより、ユーザーが Xamarin 使用していない場合にも、多数の誤検出が発生する可能性があります。
AppScan® Sourceバージョン 10.1 の新機能
AppScan® Source バージョン 10.1.0 の強化機能と新規機能
- AppScan® Source が Red Hat Enterprise Linux 8.3 をサポートします。
- Eclipse IDE 2022-06 で HCL®AppScan® Source for Development (Eclipse Plug-in) がサポートされるようになりました。
- AppScan® Source が Java 17 をサポートし、インストール・パッケージに Java 17 が含まれました。
- AppScan® Source が Tomcat 9 をサポートし、インストール・パッケージに Tomcat 9 が含まれました。
- AppScan® Source で、最初に .PAF または .PPF ファイルを作成せずに、フォルダーのスキャンができるようになりました。
- Ruby、Groovy、JavaScript、および PHP スキャンのサポートが拡張されました。システム要件については、こちらを参照してください。
AppScan® Source および AppScan® Enterprise の相互運用性に関する追加情報
AppScan® Source バージョン 10.1.0 は、AppScan® Enterprise Server バージョン 10.1.0 をサポートしています。AppScan® Source バージョン 10.0.8 以前は、AppScan® Enterprise Server バージョン 10.1.0 をサポートしていません。適切な相互運用性を確保するには、両方の製品をアップグレードします。
AppScan® Source バージョン 10.1.0 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.1.0 で終了予定の機能または削除された機能
- 以下のレポートおよびレポート・フィルターが削除されました。
- 2011 年 CWE SANS Top 25 レポート
- OWASP Top 10 2013 レポート
- 2011 年 CWE SANS Top 25 レポート・フィルター
- 2010 年 OWASP Top 25 レポート・フィルター
- 2013 年 OWASP Top 25 レポート・フィルター
- 障害追跡システムの統合がサポートされなくなりました。
-
E メールによる検出結果の送信はサポートされなくなりました。
- 品質メトリックがサポートされなくなりました。
- Tomcat 7 が AppScan® Source インストール・パッケージに含まれなくなりました。
- AppScan® Source は、将来のリリースで SolidDB と OracleDB のサポートを終了する予定です。
AppScan® Source バージョン 10.0.8 の新機能
AppScan® Source バージョン 10.0.8 の強化機能と新規機能
- AppScan® Source コマンド行インターフェース (CLI) はコンテナー化されているため、アプリケーション・スキャンおよびセキュリティー・スキャンをこれまで以上に効率的かつ堅牢に実行できます。インストールと構成が完了すると、テスト環境をオンデマンドで迅速に作成でき、スキャンも同時に実行できます。コンテナー化の追加情報については、HCL サポートでこの文書を参照してください。
- AppScan® Source は、コマンド行を使用したライセンス情報の構成をサポートしています。
- AppScan® Source は Terraform をサポートしています。
- 以下のレポートをサポートしています。
- 次のレポート・フィルターをサポートしています。
AppScan® Source バージョン 10.0.8 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.0.8 の既知の問題
- Eclipse プラグインを使用する場合は、Java 8 を使用して AppScan® Source for Development を構成する必要があります。
AppScan® Source バージョン 10.0.7 の新機能
HCL® AppScan® Source バージョン 10.0.7 は、HCL® AppScan® Source メジャー・バージョン 10.0.0 をリリースして以来、7 番目のフィックス・パック・リリースです。
AppScan® Source バージョン 10.0.7 の強化機能と新規機能
- バージョン 10.0.7 では、AppScan® Source はインストール・パスが更新されており、
IBM
がHCL
に置き換わりました。ただし、バージョン 10.0.6 以前からアップグレードすると、パスに
IBM
が含まれる元のインストール・パスが保持されます。 - AppScan® Source は IBM RPG プロジェクトをサポートします。
- AppScan® Source は .NET 5/6 をサポートします。
- AppScan® Source は OWASP Top 10 2021 レポートをサポートします。
- Common Access Card (CAC) 認証を有効にすると、java.security ファイルの手動更新は不要になります。
AppScan® Source バージョン 10.0.7 のフィックスとセキュリティー更新
フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.0.7 の既知の問題
- Windows では、AppScan® Source バージョン 9.0.3.x または 10.0.0 から AppScan® Source バージョン 10.0.7 にアップグレードする場合、最初に AppScan® Source バージョン 10.0.1 ~ 10.0.6 への暫定アップグレードを実行する必要があります。重要: アンインストール後に再インストールしないでください。データベースを保守するには、2 つの手順でアップグレードする必要があります。
- Oracle データベースで構成されている AppScan® Source には、16 文字以上の強力なパスワードが必要です。
AppScan® Source バージョン 10.0.7 で終了予定または削除予定の機能
-
SolidDB/Oracle のサポートは、今後 AppScan® Source のバージョンで削除される予定です。手動またはデータベース・マイグレーション・ユーティリティーを使用して、SolidDB/Oracle から AppScan® Enterprise Server にデータをマイグレーションする計画をすぐに立ててください。
AppScan® Source バージョン 10.0.6 の新機能
AppScan® Source バージョン 10.0.6 の強化機能と新規機能
- AppScan® Source for Analysis の場合と同様に、Visual Studio プラグインの「検出結果」ビューには、デフォルトで修正グループ別の検出結果が表示されるようになりました。
- AppScan® Source for Analysis での評価比較に使用されるアルゴリズムが、新しいアルゴリズムで更新されました。AppScan® Source for Analysis クライアントからの評価比較結果は
AppScanDelta
コマンドと整合しますが、以前のバージョンの AppScan® Source の比較結果と比較すると何らかの違いがある可能性があります。 -
アルゴリズムの更新の一環として、AppScan® Source for Analysis の「差分評価」 ビューから、新規または解決済み検出結果 (あるいはその一方) の評価を保存することができるようになりました。
- AppScan® Source は C/C++、.NET、および Java のソース・コードのみのスキャンをサポートします。
- 検出結果の修復を支援するため、AppScan® Source では業界標準のレポートにアドバイザリー情報を追加しました。
- AppScan® Source は、サブジェクトの代替名 - マルチドメイン (SAN) 証明書を使用した CAC 認証をサポートします。
- AppScan® Source は、Dart プログラム言語をサポートします。
- Linux システムでのスキャンの停止/キャンセルのサポート。
AppScan® Source バージョン 10.0.6 のフィックスとセキュリティー更新
- フィックスとセキュリティー更新はここにリストされます。
AppScan® Source バージョン 10.0.6 の既知の問題
- AppScan® Source バージョン 10.0.5 以前で作成された Objective-C .paf/.ppf ファイルを使用してスキャンを実行すると、Objective-C プロジェクトのスキャンは失敗します。AppScan® Source バージョン 10.0.6 で Objective-C プロジェクトを再構成し、再試行してください。
AppScan® Source バージョン 10.0.6 で終了予定または削除予定の機能
- AppScan® Source は、単一ファイル・スキャン・バージョン 10.0.0 のサポートを停止しました。
AppScan® Source バージョン 10.0.5 の新機能
AppScan® Source バージョン 10.0.5 の強化機能と新規機能
- KBArticle サーバーは、AppScan セキュリティー情報サーバーに置き換えられました。AppScan セキュリティー情報サーバーのコンテンツとインターフェースは、ユーザーにより良いサービスを提供するために更新されましたが、以前の AppScan® Source バージョンにおける KBArticle サーバーと同じ目的を持っています。アプリケーションのセキュリティー検出結果を緩和および解決するためにユーザーを支援します。
- 検出結果の修復を支援するため、AppScan® Source ではレポートにアドバイザリー情報を追加しました。
- 「修復支援」ビューの名前が「修正方法」に変更されました。
- AppScan® Source に、DISA STIG v5r1 レポート形式のサポートが追加されました。
この新しいレポートには、Application Security Checklist Version 5, Release 1 で指定された脆弱性のカテゴリーが一覧表示されます。アプリケーションが STIG の要件に準拠しているかどうかをレビュー担当者が判断できるように、可能な限り AppScan® Source では適切な結果を生成します。
- Windows と Linux の両方で、HCL 共通ローカル・ライセンス・サーバー 2.0 のサポート 。
- AppScan® Source は、修正グループ別にグループ化される検出結果レポートの生成をサポートしています。
AppScan® Source バージョン 10.0.5 および AppScan® Enterprise バージョン 10.0.5 の相互運用性に関する追加情報
- AppScan® Enterprise の asc.properties ファイルの新しいプロパティーを使用して、AppScan® Enterprise への公開または「モニター」タブからの AppScan® Enterprise への問題のインポートの速度を、必要なユーザーの応答性に応じてバランスさせることができるようになりました。
issue.import.batch.interval
プロパティーの使用の詳細については、AppScan® Enterprise 資料を参照してください。
AppScan® Source バージョン 10.0.5 の既知の問題
- コンソール出力が文字化けしないようにするため、AppScan Source のロケール・セットがシステムのロケールと一致している必要があります。
- Linux での「修正方法」ビューにレンダリングの問題がいくつかあります。また、外部参照リンクは Linux の「修正方法」ビューから開かないでください。記事を外部ブラウザーで開くと、正しくレンダリングされ、外部リンクにアクセスできます。
- 自動化サーバーが AppScan Security Info サーバーの始動に失敗すると、
ounceauto
コマンドを使用してレポートが生成された場合に、レポートに「修正方法」情報は含まれません。この問題を回避するには、ounceauto
を使用してレポートを生成する前に、AppScan® Source for Analysis またはコマンド行インターフェース (CLI クライアント) を開始します。AppScan Security Info サーバーは、AppScan® Source for Analysis および CLI クライアントによって自動的に開始されます。
AppScan® Source バージョン 10.0.4 の新機能
AppScan® Source バージョン 10.0.4 の強化機能と新規機能
- バージョン 10.0.4 では、AppScan® Source は以下のオペレーティング・システムをサポートします。
- Windows Server 2019
- Red Hat Linux バージョン 7.8 および 7.9
詳しくは、システム要件およびインストールの前提条件を参照してください。
- AppScan® Source バージョン 10.0.4 では、以下の言語と言語バージョンがサポートされています。
- Java バージョン 9、10、11:
- AdoptOpenJDK 11 がデフォルトです
- 指定する代替 JDK は 64 ビットである必要があります
- .NET Core 3.1
- Infrastructure as Code (IaC)
詳細については、システム要件およびインストールの前提条件を参照してください。
- Java バージョン 9、10、11:
AppScan® Source バージョン 10.0.4 の既知の問題
- AppScan® Source バージョン 9.3.14 以前で作成され、「プロパティー」ビューで除外済みとしてマークされたバンドルが、AppScan® Source バージョン 10.0.0 以降にアップグレードした後では、検出で除外されません。バンドルは、AppScan® Source バージョン 10.0.0 以上で再作成する必要があります。
- AppScan® Source for Analysis クライアント内のすべてのアプリケーションでスキャンを実行すると、修正グループにデータを取り込まなくても「結果」ビューにデータが取り込まれる可能性があります。この結果を回避し、修正グループの検出結果を適切に表示するために、個々のアプリケーションでスキャンを実行します。
- 評価ファイル名にネイティブ文字が含まれていると、英語以外のロケールで評価の AppScan® Enterprise への公開が失敗します。ファイル名からネイティブ文字を削除し、再公開します。
AppScan® Source バージョン 10.0.3 の新機能
AppScan® Source バージョン 10.0.3 の強化機能と新規機能
- バージョン 10.0.3 の AppScan® Source では次の言語のサポートが追加されました。
- Android Java
- Ionic
- Objective C
- React Native
- SAP ABAP
- Vue.js
- Xamarin
詳細については、「システム要件」を参照してください。
- 静的分析の修正グループのサポート。
修正グループは、静的分析スキャンで見つかった問題を管理、トリアージおよび解決するための新しいアプローチです。静的スキャンを実行すると、AppScan® Source は問題を脆弱性タイプおよび必要な修復タスクに基づいて修正グループに整理します。詳細については、「静的分析修正グループの操作」を参照してください。
- 修正グループのサポートの一部として、Companion レポートのテクニカル・プレビューが「検出レポートの選択」ダイアログ・ボックスに表示されます。このレポートには、現在、修正グループ・タイプに関する高レベルの情報だけが表示されます。今後のリリースでは、修正グループの最適な修正場所を含め、レポート機能にさらに深さが追加されます。
AppScan® Source バージョン 10.0.3 の既知の問題
- CLI コマンド
details
は断続的にエラーをレポートします。ただし、コマンドの機能は影響を受けません。ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
-
修正グループ情報を表示するために AppScan® Source データベースに公開された評価を開くと、修正グループ・タイプまたは修正グループ ID の代わりに
NULL
が表示されます。ローカル・ファイル・システムに評価を保存してから、「評価を開く」コマンドを使用してその評価を開き、公開された静的分析評価の修正グループ情報を表示します。
AppScan Source バージョン 10.0.3 のインストールおよび相互運用性に関する追加情報
- AppScan® Source のアップグレードまたは AppScan® Source バージョン 10.0.3 の修復インストールを実行するときに、以前のインストールがデータベースを使用して構成されていた場合は、
AppScan Source DB
サービスを手動で開始する必要があります。
AppScan® Source バージョン 10.0.2 の新機能
AppScan® Source バージョン 10.0.2 の強化機能と新規機能
- AppScan® Source バージョン 10.0.2 以後は、HCL ライセンスが必要です。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
- AppScan® Source 分析の場合、バージョン 10.0.2 ではスキャンを実行するためにデータベース接続は不要です。スキャン構成と結果を共有するための AppScan Enterprise との統合は、AppScan® Enterprise で構成されます。切断された機能の詳細については、こちらで説明されています。
- AppScan® Source 次の言語のサポートについて紹介されています。Angular 8、Angular 9、Groovy、Symfony、および TypeScript。詳細については、「システム要件」を参照してください。
AppScan® Source バージョン 10.0.2 のインストールおよび相互運用性に関する追加情報
- AppScan® Source バージョン 10.0.2 をクリーンなシステムにインストールする場合は、インストールするデータベースがないため、データベース構成は行われません。共有情報を保管および取得するには、AppScan Enterprise との統合を構成します。
- 接続モードで使用するために AppScan® Source バージョン 10.0.2 をクリーンなシステムにインストールする場合は、AppScan® Enterprise バージョン 10.0.2 が必要です。古いバージョンの AppScan® Enterprise はサポートされていません。さらに、AppScan Enterprise Server は、ユーザー管理と Enterprise Console の両方とともにインストールする必要があります。
-
以前のバージョンから AppScan® Source バージョン 10.0.2 にアップグレードする場合は、構成機能を含めて、以前にインストールされていたすべてのデータベースが完全にサポートされます。
- AppScan® Source バージョン 10.0.2 の修復インストールを実行するときは、以前のインストールがデータベースを使用して構成されていた場合は、
AppScan Source DB
サービスを手動で開始する必要があります。 - Automation Server またはクライアント・コンポーネントのみがインストールされている AppScan® Source をアップグレードし、後から修復インストールを実行する場合は、'ounce.ozsettings で以下のプロパティーを更新します。
name=core_provider value=1
name=connect_mode value=false
- バージョン 10.0.2 より前に作成されたサイレント・インストーラーの応答ファイルはサポートされていません。AppScan® Source バージョン 10.0.2 で使用するには、新しいサイレント・インストーラーの応答ファイルを作成する必要があります。
AppScan® Source バージョン 10.0.2 で終了予定または削除予定の機能
- AppScan Source は IBM ライセンスをサポートしなくなり、ライセンス・マネージャーで構成できなくなりました。追加情報については、「AppScan Source 製品のライセンスの取得および適用方法」を参照してください。
- AppScan® Source バージョン 10.0.2 では、Visual Studio 2010 のサポートがなくなります。
- SolidDB は AppScan® Source に付属しなくなり、ソリューションの一部としてインストールされません。SolidDB の既存のインストールは引き続きサポートされます。
- 「管理」メニューの下の「監査ログ」オプションは使用できなくなります。
AppScan® Source バージョン 10.0.1 の新機能
AppScan® Source バージョン 10.0.1 の強化機能と新規機能
- AppScan® Source バージョン 10.0.1 では、ユーザー・インターフェースにおける HCL ベース・ライセンスのプロキシー・サポートや信頼できない証明書を使用してローカル・ライセンス・サーバーに接続する機能など、ライセンス機能を強化しました。
- AppScan® Source バージョン 10.0.1 では、
AppScanDelta
を導入しました。この機能では、コマンド・ラインから 2 つの評価の差分を取得できます。 - AppScan® Source は、NetCore 2.1 および 2.2 をサポートしています。
- AppScan® Source バージョン 10.0.1 には、Scala、Swift、Kotlin、および ReactJS の言語サポートが含まれています。詳細については、「システム要件」を参照してください。
- AppScan® Source バージョン 10.0.1 では、DISA STG v4r10 レポート形式をサポートします。
AppScan® Source バージョン 10.0.1 の既知の問題
- 2015 以前から Visual Studio プロジェクトをスキャンすると、スキャンが失敗し、discoverymanager.exe.config を削除するようメッセージが表示されることがあります。指定されたファイルを削除してやり直してください。詳細については、ここを参照してください。
AppScan® Source 相互運用性 (interoperability)
- AppScan® Enterprise 10.0.1 と相互運用するには、AppScan® Source の 9.0.3x および 10.0.0 バージョンを次のように構成する必要があります。
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® Source バージョン 10.0.1 で終了予定または削除予定の機能
次の機能は AppScan® Source バージョン 10.0.1 で終了を予定しています。それに従って計画してください。
- 重要! 新しい AppScan® リリースの IBM ライセンスのサポートは、2020 年第 3 四半期 (8 月/9 月) に終了します。AppScan® 製品の新しい後続バージョンでは、HCL ライセンスのみをサポートします。ライセンスの詳細については、「ソフトウェアのアクティブ化」を参照してください。または、HCL 担当者または HCL サポートにお問い合わせください。
- SolidDB は、2020 年第 3 四半期 (8 月/9 月) 以降の製品更新に付属しなくなります。既存のインストールは引き続きサポートされます。
AppScan® Sourceバージョン 10.0 の新機能
HCL® AppScan® Source バージョン 10.0.0 は、AppScan® 製品ファミリーの背景にある技術面での重要な進化を示しています。HCL では、市場をリードするセキュリティー・スキャン製品の強化の基盤となる DevSecOps 市場の製品の現在、そして未来に投資しています。
- 強化機能と新規機能
- AppScan Source バージョン 10.0.0 の相互運用性
- 追加の AppScan Source バージョン 10.0.0 インストール手順
- AppScan® Source バージョン 10.6.0 の既知の問題
- AppScan Source バージョン 10.0.0 で終了予定の機能
- AppScan® Source バージョン 10.6.0 でサポートされない機能
AppScan® Source バージョン 10.0.0 の強化機能と新規機能
-
IBM® Security AppScan® Source は HCL® AppScan® Source となりました。
2019 年中頃、HCL Technologies は AppScan®、AppScan® Enterprise スタンダード、AppScan®、 AppScan® Source on Cloud を含む AppScan® 製品ファミリーを IBM より買収しました。すべての AppScan® 製品は HCL Software によって所有され、開発、販売されることになりました。すべてのライセンス、ロゴ、命名規則、その他の知的財産権およびブランド権利は HCL が所有します。当該の AppScan® 製品はすべて、この所有権ならびに新しい段階の開発と成長を反映するため、再ブランド化されています。
-
HCL ライセンスの導入 HCL® AppScan® Source
IBM から HCL への移行の一環として、HCL は HCL を中心とした AppScan® 製品ファミリーのライセンス・パッケージを導入します。AppScan®、AppScan® スタンダード、AppScan® Source は、ローカル FlexLM ライセンス・サーバーを使用し、プロキシー・サーバーを介して認証します。AppScan® on Cloud では、市場で主流となっている Okta の CAIM (Customer Identity Access Management) システムを使用します。
- AppScan® Source Go プログラミング言語 (Golang) がサポートされるようになりました。
- AppScan® Source Visual Studio 2015、2017、2019 で C++ スキャンがサポートされるようになりました。
- AppScan® Source Oracle 19c がサポートされるようになりました。
- 新規データ・フロー・スキャン機能はより完璧なコード分析を実行し、結果としてより詳細な検出結果が得られます。
- AppScan® Source にカスタム・スキャナーがある言語の場合、AppScan® Source v10 でスキャンすると、検出結果に大きな違いが見られる場合があります。スキャンがカスタム・スキャンに変換された場合、これは検出結果が減少することを意味する場合があります。カスタム・スキャナーのルールは進化し、定期的に追加されており、簡単に拡張できます。
- Intelligent Code Analytics (ICA) および Intelligent Findings Analytics (IFA) との拡張統合。
ICA/IFA を有効にすると、「除外された検出結果」タブにアクセスできるようになります。詳細は、AppScan® Source 資料の「Intelligent Findings Analytics (IFA)」を参照してください。
デフォルトでは、IFA がすべてのスキャンで有効になっています。有効にすると、現在のスキャンと将来のスキャンに適用されます。以前のスキャンからの評価には適用できません。
- AppScan® Source での .NET プロジェクト (ASP、WEB、Framework、Core) のスキャンは HCL AppScan on Cloud のプロセスをミラーリングします。.NET プロジェクトは、スキャン前にコンパイルでき、プロジェクトのプロパティーには適切なビルド仕様が含まれている必要があります。
- AppScan® Source をインストールし基本的なスキャンを実行するには、最低 15 GB の空き容量が必要です。ただし、必要なディスク空き容量は、スキャン対象のアプリケーションによって異なります。最低 8 GB の RAM および 15~20 GB のディスク空き容量があることを推奨します。また、Windows のページ・ファイル要件を増加する必要があります (詳細は、「Windows 10 で PC のパフォーマンスを向上させるヒント」を参照してください。
-
システム要件、スキャンとプラグインのサポートに関する詳細については、「システム要件およびインストールの前提条件」を参照するか、HCL サポートまでお問い合わせください。
追加の AppScan® Source バージョン 10.0.0 インストール手順
AppScan® Source バージョン 10.0.0 と Visual Studio 2019 プラグインをインストールすると、インストールが成功したように見えますが、Visual Studio 2019 プラグインが適切にインストールされていない可能性があります。Visual Studio 2019 に AppScan® Source バージョン 10.0.0 のプラグインをインストールするには:
- ターゲット・システムに HCL® AppScan® Source バージョン 10.0.0 がインストールされていることを確認します。インストール時に Microsoft Visual Studio 2019 プラグインを選択します。
- Visual Studio 2019 のターゲット・インスタンスに AppScan® Source の 10.0.0 より前のバージョンがインストールされている場合は、次の手順でアンインストールします。
- ターゲット Visual Studio 2019 インスタンスを開始します。
- を開きます。
- 「インストール済み」タブで、リストから「AppScan Source Plug-in」を選択します。
- 「プラグインのアンインストール」をクリックし、プロンプトに従ってアンインストールを完了します。
- HCL® AppScan® Source バージョン 10.0.0 のプラグインを Visual Studio 2019 インスタンスに次の手順でインストールします。
- すべての Visual Studio 2019 インスタンスを閉じます。
- VS2019Plugin.zip をHCL® AppScan® Source リリース・ダウンロード・サイトからダウンロードします。
- zip ファイルの中身を <AppScan Source Install Dir> に抽出します (デフォルトの場所は C:\Program Files (x86)\IBM\AppScanSource です)。プロンプトに表示されるすべてのオプションで「はい」を選択します。
- <AppScan Source Install Dir>/bin ディレクトリーから AppScanSrcPlugin.vsix をダブルクリックします。
- 表示される VSIX インストーラーのダイアログで、「Visual Studio <Edition> 2019」を選択し、「インストール」をクリックします。
マシンのインストール内容に応じて、エディションには Professional、Enterprise、または Community があります。利用可能な場合は、インストールするエディションを複数選択できます。
- インストールが完了したら、ダイアログを閉じます。
- Visual Studio 2019 を再起動します。「AppScan Source Plug-in」は、「拡張機能」の下に表示されます。
AppScan® Source バージョン 10.0.0 の相互運用性
- AppScan® Source 10.0.0 クライアントは、スキャン・ルールに関連するデータベースの内容が異なるため、10.0.0 以前の AppScan® Source データベースでは正しくスキャンしません。
- 同様に、10.0.0 より前の AppScan® Source クライアントは、10.0.0 AppScan® Source データベースでは正しくスキャンしません。
- AppScan® Enterprise 10.0.0 データベースのインスタンスで構成された AppScan® Source のインスタンスは、AppScan® Source の 9.0.3.x バージョンでは使用できません。逆も同様です。
- AppScan® Enterprise 10.0.0 と相互運用するには、AppScan® Source の 9.0.3.x バージョンを次のように構成する必要があります。
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® Source バージョン 10.0.0 の既知の問題
- 次の言語はサポートされていません。
- Arxan C
- WSDL
- WebSphere では、デフォルトの JSP コンパイル・オプションのみがサポートされます。
- 単一ファイル・スキャンは、すべての言語で利用できるわけではありません。
- JSP ファイルのプリコンパイルを無効にするメカニズムはありません。JSP ファイルは常にプリコンパイルされます。
- Linux システムでは、スキャンの停止/キャンセルは機能しません。
- Windows システムでコマンド・ライン・インターフェースを使用するときは、停止/キャンセルが機能しないことがあります。この問題を回避するには、AppScan® Source を再起動し、バックグラウンド・プロセスを強制終了します。
- Windows システムから AppScan® Source バージョン 10.0.0 をアンインストールするときに、アンインストール・プロセスがハングすることがあります。詳しくは、「Windows で AppScan Source のアンインストールがハングする」を参照してください。
- AppScan® Source バージョン 10.0.0 にアップグレードすると、PDF レポートが生成されません。詳細については、「アップグレード・シナリオで PDF レポートの生成時に、AppScan Source 10.0.0 が「java.lang.reflect.InvocationTargetException」をスローする」を参照してください。
AppScan® Source バージョン 10.0.0 で終了予定の機能
- カスタム検出結果
- 品質メトリック
- E メール/設定
- RSS フィード
- アプリケーション属性
アプリケーション情報の保存には AppScan Enterprise を使用してください。
- 障害追跡システムの統合
AppScan® 問題ゲートウェイを使用して、 AppScan Enterprise レベルから統合してください
AppScan® Source バージョン 10.0.0 でサポートされない機能
- 脆弱性キャッシュは、サポート対象外となりました。
- インクリメント・スキャンはサポート外です。
- 非 CPA スキャンはサポート外です。
-
バージョン 9.0.3.11 以降の AppScan® Source では、macOS と iOS の Xcode プロジェクト・スキャンを使用できません。
AppScan® Source の一部のコンポーネントは 32 ビットです。MacOS 10.14 (Mojave) は、32 ビットのアプリケーションをサポートする最新の Mac OS バージョンです。
10.12 までの Mac オペレーティング・システムでは、AppScan® Source バージョン 9.0.3.10 以前を引き続き使用できます。