迁移到 AppScan® Source 的当前版本
本主题包含了已对 AppScan® Source 的此版本所做更改的迁移信息。如果您是从 AppScan® Source 的较低版本进行升级,请确保留意所升级 AppScan® Source 版本以及引向此当前版本的所有版本的更改。
从 V9.0.3 迁移
HCL 许可
作为从 IBM 向 HCL 过渡计划的一部分,HCL 推出了一些面向 AppScan 产品系列的以 HCL 为中心的许可证软件包。AppScan 产品继续支持现有 IBM 许可证,直至 V10.0.1。自 V10.0.2 起,必须使用 HCL 许可证。
新许可证仅可通过 HCL 获取。
要获取并应用新的 AppScan Source 许可证,首先必须通过 我的 HCLSoftware 门户网站 获得相应许可证,然后使用 AppScan® Source License Manager 应用许可证。
有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证。
AppScan® Source 互操作性
- 由于数据库内容(与扫描规则相关)差异,因此 AppScan® Source V10.0.0 客户机无法正确使用 AppScan® Source V10.0.0 以下版本的数据库正确扫描。
- 同样,AppScan® Source V10.0.0 之前的客户也将无法使用 AppScan® Source V10.0.0 数据库正确扫描。
- AppScan® Source V9.0.3.x 无法使用通过 AppScan® Source 10.0.0 数据库实例配置的 AppScan® Enterprise 实例,反之亦然
- AppScan® Enterprise 9.0.3.x 版本必须按照如下说明配置,方可与 AppScan® Source 10.0.0 互操作:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
从 V9.0.2 迁移
新规则属性可能导致现有扫描中的结果分类更改。
在 9.0.2 版后,引入了 Attribute.Likelihood.High 和 Attribute.Likelihood.Low 规则属性。使用这些属性时,AppScan® Source 可更准确地确定结果是确定的和/或可疑的。因此,如果扫描 AppScan® Source V9.0.2 中的源代码,可能发现在 V9.0.2 之后的产品版本中扫描相同源代码时某些结果分类将更改。对于与可高度利用的 Web 源或者对于不太可利用的属性或环境源,这一点是最突出的。
缺省情况下,将使用这些规则属性。可禁用这些规则属性,如下所示:
- 在文本编辑器中打开 <data_dir>\config\ipva.ozsettings。(其中 <data_dir> 是 AppScan® Source 程序数据的位置,如中所述 安装和用户数据文件位置)在文件中定位
allow_likelihood设置。此设置将与以下类似:
在该设置中,修改<Setting name="allow_likelihood" value="true" default_value="true" description="Allow the processing of the Likelihood attributes to help determine trace confidence based on the source API" display_name="Allow Likelihood" type="bool" />value属性。如果属性设置为true,该设置将打开。如果设置为false,那么 AppScan® Source 将不会在扫描期间使用这些规则属性。 - 在修改该设置后保存文件,并启动或重新启动 AppScan® Source。
自动丢失的接收器生成
在 V9.0.2 之后,针对在 getters/setters 和返回布尔值的方法中结束的跟踪引入了自动丢失的接收器解决。这通过自动推断这些应用程序编程接口 (API) 的标记来完成。因此,如果扫描 AppScan® Source V9.0.2 中的源代码,可能注意到在 V9.0.2 之后的产品版本中扫描相同源代码时包含未解析的丢失的接收器的结果中的更改。
缺省情况下,自动标记生成已打开。如果想要使用其他方式的丢失的接收器解决(例如定制规则),可禁用该选项,如下所示:
- 在文本编辑器中打开 <data_dir>\config\ipva.ozsettings。(其中 <data_dir> 是 AppScan® Source 程序数据的位置,如中所述 安装和用户数据文件位置)在文件中定位
automatic_lost_sink_resolution设置。此设置将与以下类似:
在该设置中,修改<name="automatic_lost_sink_resolution" value="true" default_value="true" description="This setting tries to perform automatic lost sink resolution by assuming taint propagation for getters, setters and APIs which return boolean with no arguments." display_name="Auto Lost Sink Resolution" type="bool" />value属性。如果属性设置为true,该设置将打开。如果设置为false,那么 AppScan® Source 将不会自动生成这些方法的标记。 - 在修改该设置后保存文件,并启动或重新启动 AppScan® Source。
从 V9.0 迁移
AppScan® Enterprise Server 认证:关于将 IBM® Rational® Jazz™用户认证组件替换为 IBM® WebSphere® Liberty 的迁移注意事项
- 从仅具有本地 Jazz™ 用户的 Enterprise Server 迁移:在此升级方案中,先前的 Jazz™ 用户将作为 AppScan® Source Database 用户出现在 AppScan® Enterprise Server 中,但他们将无效。可以从 Database 中除去这些用户,也可以将他们转换为 AppScan® Source 用户。有关在 AppScan® Source 中启用前 Jazz 用户的信息,请联系 HCL 支持人员。
- 从已配置 LDAP 的 Enterprise Server 迁移:在 Enterprise Server 升级期间,可以选择再次为 Enterprise Server 配置 LDAP。如果执行此操作,那么现有用户在 AppScan® Source 中仍将有效。
- 从已配置 Windows™ 认证的 Enterprise Server 迁移:如果 Enterprise Server 已配置 Windows™ 认证,那么现有用户在 AppScan® Source 中将有效,前提是新 Enterprise Server Liberty 配置为使用 Windows™ 认证。
从 V8.7 迁移
对结果分类的更改
在 V8.7 之后,结果分类已更改。下表列出了旧分类与新分类的映射关系:
| AppScan® Source V8.8 之前的发现项分类 | AppScan® Source V8.8 以来的分类 |
|---|---|
| 漏洞 | 确定的安全性结果 |
| I 类异常 | 可疑的安全性结果 |
| II 类异常 | 扫描覆盖范围发现项 |
在“漏洞矩阵”视图中可以看到这些更改的示例。
在 V8.8 中,该视图看起来如下所示:
将改进扫描覆盖范围的缺省设置更改
在 AppScan® Source V8.8 中:
show_informational_findings中 scan.ozsettings 的默认值已从true更改为false。wafl_globals_tracking中 ipva.ozsettings 的默认值已从false更改为true。此设置使 AppScan® Source 能够查找基于框架的应用程序的不同组件之间的数据流(例如,从控制器到视图的数据流)。
缺省情况下,对 show_informational_findings 的更改将致使评估不包含严重性级别为参考的发现项。
复原先前版本的 AppScan® Source 预定义过滤器
在 AppScan® Source V8.8 中,预定义过滤器已改进,从而提供更好的扫描结果。如果您需要继续使用较低版本的 AppScan® Source 的预定义过滤器(已存档过滤器在AppScan Source 预定义过滤器(V8.7.x 和更低版本)中列出),请按照复原已归档的预定义过滤器中的指示信息执行操作。