美国政府法规遵从性
遵从美国政府的安全和信息技术法规有助于消除销售难题和障碍。这还向全球潜在客户提供了一个证据点,表明 HCL® 正在努力使其产品在行业中具有最高安全性。本主题列出了 AppScan® 源代码 支持的标准和准则。
- 因特网协议 V6 (IPV6)
- 联邦信息处理标准 (FIPS)
- 美国国家标准技术学会 (NIST) 特殊规范 (SP) 800-131a
- Windows 配置为使用美国政府配置基线 (USGCB) 的 Windows 计算机
因特网协议 V6 (IPV6)
AppScan® 源代码 支持 IPV6,但以下情况例外:
- 不支持输入 IPv6 数字地址,必须输入主机名。支持输入 IPv4 数字地址。
- 连接到 Rational Team Concert™ 时不支持 IPv6。
联邦信息处理标准 (FIPS)
在 AppScan® 源代码 支持的 Windows™ 和 Linux™ 平台上,AppScan® 源代码 通过使用经 FIPS 140-2 验证的加密模块和批准的算法来支持 FIPS 规范 140-2。
要了解关于 AppScan® 源代码 FIPS 合规性的背景信息以及了解如何启动和禁用 AppScan® 源代码 FIPS 140-2 方式,请参阅以下技术说明:
美国国家标准技术学会 (NIST) 特殊规范 (SP) 800-131a
NIST SP 800-131A 准则提供加密密钥管理指导。这些准则包括:
- 密钥管理过程。
- 如何使用密码算法。
- 要使用的算法及其最小强度。
- 安全通信的密钥长度。
政府部门和金融机构使用 NIST SP 800-131A 准则来确保产品满足特定安全需求。
仅当 AppScan® 源代码 在以 FIPS 140-2 方式运行时,才支持 NIST SP 800-131A。要了解如何启用和禁用 AppScan® 源代码 FIPS 140-2 方式,请参阅联邦信息处理标准 (FIPS)。
重要:
如果您将要连接到的 AppScan® Enterprise Server 支持 NIST 800-131a 合规性,那么必须将 AppScan® 源代码 设置为强制使用传输层安全性 V1.2。如果未强制执行传输层安全 V1.2,则与服务器的连接将失败。
- 如果未安装 AppScan® 源数据库(例如,如果仅安装了客户机组件),那么可以通过修改 <data_dir>\config\ounce.ozsettings(其中 <data_dir> 是 AppScan® 源代码 程序数据的位置,如中所述 安装和用户数据文件位置) 来强制使用传输层安全性 V1.2。在此文件中,找到以下设置:
<Setting name="tls_protocol_version" read_only="false" default_value="0" value="0" description="Minor Version of the TLS Connection Protocol" type="text" display_name="TLS Protocol Version" display_name_id="" available_values="0:1:2" hidden="false" force_upgrade="false" />在此设置中,将
value="0"更改为value="2",然后保存文件。 - 如果您安装了 AppScan® 源数据库,请在安装 AppScan® 源代码 以及 Enterprise Server 之后,在 HCL®AppScan® Enterprise Server 数据库配置工具中强制使用传输层安全性 V1.2。
Windows™ 配置为使用美国政府配置基线 (USGCB) 的 Windows 计算机
AppScan® 源代码 支持在使用 USGCB 规范来配置的 Windows™ 计算机上扫描应用程序。
注: 在使用 USGCB 规范来配置的机器上,AppScan® 源代码 不支持将缺陷跟踪系统与 HP Quality Center 或 Rational®ClearQuest® 集成。