HCL® AppScan® Source 版本 10.6.0 自述文件和发行 Notes®
2024 年 7 月
请在安装产品或其任何组件之前仔细阅读整个文档。
此文档列出了有关 AppScan® Source 的重要问题和主题:
- AppScan Source 许可
- 重要提示:Windows 的新安装文件名
- AppScan Source for Analysis 产品文档
- 已知限制和变通方法:
- 常规
- AppScan Source for Analysis
- 如果在不结束所有 AppScan Source java 进程的情况下升级 AppScan Source,可能会导致 How to Fix(修复方式)视图失败
- Linux 上的 AppScan Source for Analysis 和 AppScan Source for Development (Eclipse plug-in) 必备组件
- Linux 上 AppScan Source for Analysis 的间断关闭
- 切换本地语言时可能进行高速缓存
- 不支持 AppScan Source for Analysis 安装路径中的多字节字符
- Linux - 在安装期间将 AppScan Source for Analysis 守护程序配置为以非“ounce”用户身份运行后,启动 AppScan Source 时出错
- 以非管理用户身份除去 AppScan Source for Analysis
- 要创建 PDF 报告,可能需要为某些非英语语言安装系统字体
- 修改定制规则和插件使用
- 不再支持“评估摘要”视图的图标样式选择
- AppScan Source command line interface (CLI)
- AppScan Source for Development (Eclipse plug-in)
- 如果在不结束所有 AppScan Source java 进程的情况下升级 AppScan Source,可能会导致 How to Fix(修复方式)视图失败
- 将 AppScan Source for Development 应用于 Eclipse 之后,初次重新启动 Eclipse 后将不会提示您选择工作空间
- 升级 AppScan Source for Development (Eclipse plug-in)
- Linux 上的 AppScan Source for Analysis 和 AppScan Source for Development (Eclipse plug-in) 必备组件
- AppScan Source for Development 用于 Eclipse 和基于 Eclipse 产品的插件:针对 AppScan Source 安装目录的多个提示
- AppScan Source for Development 中的共享/全局过滤器没有一致地显示。
- 修改定制规则和插件使用
- 不再支持“评估摘要”视图的图标样式选择
- AppScan Source for Development (Visual Studio plug-in)
- MicrosoftWindows
- 扫描 Windows C/C++ 应用程序
- 卸载 Windows 上的 AppScan Source 挂起
- AppScan Source 安装被 Windows Defender 中断
- 如果在不结束所有 AppScan Source java 进程的情况下升级 AppScan Source,可能会导致 How to Fix(修复方式)视图失败
- 当 AppScan Source 配置文件包含特殊字符时出错
- 不支持库 id 和 progid 格式的 #import
- 引用的组合件必须与正在扫描的组合件位于同一目录,或者注册在全局组合件高速缓存 (GAC) 中
- 使用 .NET Core 汇编的 .NET 组合件项目
- Visual Basic 6 扫描必需完整函数声明
- 非英语语言环境中的对话框和消息截断
- AppScan Source for Development (Visual Studio plug-in) 限制
- Linux
- 节点锁定许可证和 Red Hat Enterprise Linux 7.4
- 在 Red Hat Enterprise Linux 7.x 上卸载 AppScan Source
- 如果在不结束所有 AppScan Source java 进程的情况下升级 AppScan Source,可能会导致 How to Fix(修复方式)视图失败
- SELinux 防止安装、产品激活和运行
- Linux“修复帮助”视图的 Mozilla 需求
- Linux 上的 AppScan Source for Analysis 和 AppScan Source for Development (Eclipse plug-in) 必备组件
- Linux 上 AppScan Source for Analysis 的间断关闭
- Linux - 在安装期间将 AppScan Source for Analysis 守护程序配置为以非“ounce”用户身份运行后,启动 AppScan Source 时出错
- 扫描使用旧版本的 gcc(如 2.95.4)编译的源代码会产生错误
- macOS
- 其他信息
- AppScan® Source V10.6.0
- AppScan® Source V10.5.0
- AppScan® Source V10.4.0
- AppScan® Source V10.3.0
- AppScan® Source V10.2.0
- AppScan® Source V10.1.0
- AppScan® Source V10.0.8
- AppScan® Source V10.0.7
- AppScan® Source V10.0.6
- AppScan® Source V10.0.5
- AppScan® Source V10.0.4
- AppScan® Source V10.0.3
- AppScan® Source V10.0.2
- AppScan® Source V10.0.1
- AppScan® Source V10.0.0
- 文档
- 获取技术支持
AppScan® Source 许可
AppScan® Source 提供 License Manager 实用程序,用于在客户机上装入和更新许可证信息。通过此实用程序,可以查看当前许可证状态,或者可以使用该实用程序激活产品,方法是导入节点锁定许可证文件或使用许可证服务器上的浮动许可证。节点锁定许可证与个别机器绑定,而浮动许可证则可检出以在不同客户机上使用。
可以在安装完成后从产品安装向导打开 License Manager 实用程序,也可以从 Windows™“开始”菜单将其启动。
AppScan® Source 许可证是从 HCL® License & Delivery Portal 获取的。有关获取许可证和激活许可证的详细信息,请参阅如何取得及应用 AppScan Source 的权限以及帮助系统中的 激活软件 许可证。
重要提示:Windows 的新安装文件名
在先前发行版中,Windows 安装文件名为 setup.exe。现在的安装文件名为 AppScanSrc_Installer.exe。
AppScan® Source for Analysis 产品文档
使用 AppScan® Source for Analysis 中的 菜单项时,将会打开 AppScan® SourceHCL 软件产品文档中的在线帮助。类似地,当您从 AppScan® Source for Analysis“欢迎”视图访问链接时,它们将在 HCL 软件产品文档中打开。
AppScan® Source for Analysis 还提供了许多视图、首选项页面和对话框的上下文相关帮助。上下文相关帮助的键盘快捷键在 Windows 上为 F1,在 Linux 上为 Shift+F1。此上下文相关帮助也会在 AppScan® SourceHCL 软件产品文档中打开。
如果要在没有因特网连接的情况下使用产品,帮助可在本地使用,方法如下:
- 某些 AppScan® Source for Analysis 功能的 Javadoc 位于 AppScan® Source 安装目录的 doc/Javadoc 或 doc\Javadoc 目录中。从 V9.0.3.4 开始,这些功能的 Javadoc 可用:
- 应用程序服务器导入框架 API 类和方法的 Javadoc 在 doc/Javadoc/appserverimporter 或doc\Javadoc\appserverimporter 中提供。
- 框架 API 类和方法的框架的 Javadoc 在 doc/Javadoc/frameworks 或 doc\Javadoc\frameworks 中提供。
在这些文件夹中,打开 index.html 文件。
常规
停止扫描不再可用
AppScan® Source 不再允许您中断扫描和返回当前结果。必须完成此扫描才能看到结果。
升级 AppScan® Source 后,已排除的捆绑软件中的结果可能出现在扫描结果中。
升级 AppScan® Source 之后,某些结果的属性可能会发生改变,这可能会导致此已知限制。
IPv6 限制
AppScan® Source 支持因特网协议 V6 (IPv6),但有以下例外:
- 不支持输入 IPv6 数字地址,必须输入主机名。支持输入 IPv4 数字地址。
当 Eclipse 工作空间的扫描因缺少类或库而失败时,请使用预编译的类
如果成功导入 Eclipse 工作空间但发现扫描因缺少类或库而失败,建议您使用通过预编译类扫描的选项。要完成该操作,请在项目属性中选择该选项,并浏览至 Eclipse 项目的 bin 目录。
“土耳其语”语言环境不支持静默安装。
在任何“土耳其语”语言环境(如 tr
和 tr_TR
)中运行时创建定制静默安装的操作都将失败。
Oracle 数据库必须使用 UTF-8 字符集
如果将 AppScan® Enterprise Server 连接到 Oracle 数据库,那么创建数据库时必须将字符集设置为 UTF-8(通常,这不是缺省字符集)。
JSP 文件中的行号
从 .jsp 文件生成的 .java 文件的行号会随 JSP 文件名显示。
Ounce/Maven
ounce:report
mojo 对现有评估 XML 文件无效,而仅适用于新扫描。
AppScan® Source for Analysis
如果在不结束所有 AppScan® Source java
进程的情况下升级 AppScan® Source,可能会导致 How to Fix(修复方式)视图失败
如果在 AppScan® Source java
进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或者
Error executing query and transform
升级包含 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 组件的 AppScan® Source for Development (Visual Studio plug-in) 安装之前,确保没有 AppScan® Source java
进程正在运行。
Linux™ 上的 AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 必备组件
在 Linux™ 上,Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件,那么 AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。
Linux™ 上 AppScan® Source for Analysis 的间断关闭
要防止意外关闭,请升级 Pango。Pango 升级可能需要升级 glib。
切换本地语言时可能进行高速缓存
通过切换首选项中的本地语言并重新启动工作台可以其他语言显示 AppScan® Source for Analysis 用户界面。对字符串进行高速缓存并以先前使用的语言进行显示是 Eclipse 的常见行为,AppScan® Source for Analysis 即受到此行为的影响。如果切换显示的本地语言并重新启动工作台,那么激活高速缓存的字符串所描述的用户界面元素时,将刷新该字符串(例如,如果按钮标签已进行了高速缓存,那么单击此按钮会将字符串刷新为新的语言)。
不支持 AppScan® Source for Analysis 安装路径中的多字节字符
如果安装路径包含多字节字符,那么安装期间 AppScan® Source for Analysis 的所有版本都将失败,并出现目录无效错误。
Linux™ - 在安装期间将 AppScan® Source for Analysis 守护程序配置为以非“ounce”用户身份运行后,启动 AppScan® Source 时出错
通过 AppScan® Source for Analysis 安装程序,可以将 AppScan® Source 守护程序进程配置为以名为“ounce”的缺省用户省份或以现有用户身份运行。
变通方法:如果不选择缺省用户,那么必须在 AppScan® Source 安装目录(例如 /opt/hcl/appscansource)中创建包含以下行的 eclipse.ini 文件:
-configuration @user.home/.ounceconfig
以非管理用户身份除去 AppScan® Source for Analysis
Windows™ 上的 AppScan® Source for Analysis 需要管理员访问权才能创建“添加或删除程序”条目。如果以非管理员用户身份安装 AppScan® Source for Analysis,请除去 AppScan® Source for Analysis,转到 <install_dir>\Uninstall_AppScan 并运行 AppScan_Uninstaller.exe(其中 <install_dir> 是 AppScan® Source 的安装位置)。
要创建 PDF 报告,可能需要为某些非英语语言安装系统字体
对于以下非英语语言,可能需要安装指定的字体才能创建 PDF 报告:
- 日语:MS Gothic 或 VL Gothic
- 韩语:Gulim
- 简体中文:SimSun-18030 或 MingLiU
- 繁体中文:SimSun-18030 或 MingLiU
修改定制规则和插件使用
如果您在 AppScan® Source for Analysis 中创建定制的规则,并且已登录到 AppScan® Source for Development plug-in,那么必需重新启动 IDE 才能看到更改。
不再支持“评估摘要”视图的图标样式选择
在“评估摘要”视图中,您可以不再选择显示图表样式。仅条形图的图标样式是可用的。
AppScan® Source for Development (Eclipse plug-in)
如果在不结束所有 AppScan® Source java
进程的情况下升级 AppScan® Source,可能会导致 How to Fix(修复方式)视图失败
如果在 AppScan® Source java
进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或者
Error executing query and transform
升级包含 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 组件的 AppScan® Source for Development (Visual Studio plug-in) 安装之前,确保没有 AppScan® Source java
进程正在运行。
将 AppScan® Source for Development 应用于 Eclipse 之后,初次重新启动 Eclipse 后将不会提示您选择工作空间
将 AppScan® Source for Development 应用于 Eclipse 之后,会提示您重新启动工作台。重新启动之后,会提示您选择工作空间。但是,当您再次重新启动 Eclipse(或将其关闭然后启动),却不会提示您选择工作空间。
该问题与 https://bugs.eclipse.org/bugs/show_bug.cgi?id=409552 相关。
可使用以下某种方法来变通解决该问题:
- 启动 Eclipse 时使用
-clean
选项。 - 退出 Eclipse,然后在 Eclipse 安装目录中,再次启动 Eclipse 之前删除 configuration\org.eclipse.osgi\.manager 目录。
如果该问题没有解决,可通过使用
操作来确保使用的是正确的工作空间。升级 AppScan® Source for Development (Eclipse plug-in)
建议在升级到 AppScan® Source for Development 或 AppScan® Source for Development 的更新版本之前,先从 Eclipse IDE 卸载 AppScan® Source。
Linux™ 上的 AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 必备组件
在 Linux™ 上,Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件,那么 AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。
AppScan® Source for Development 用于 Eclipse 和基于 Eclipse 产品的插件:针对 AppScan® Source 安装目录的多个提示
首次使用 AppScan® Source for Development Plug-in for Eclipse 和基于 Eclipse 的产品时,会出现对话框来提示您指定 AppScan® Source 安装目录的路径。如果指定安装目录并单击确定,但是之后再次收到同一对话框,请单击取消,重新启动工作台,然后继续进行正常产品使用。如果在收到多个针对安装目录的提示时重新启动工作台失败,可能会导致扫描失败。
AppScan® Source for Development 中的共享/全局过滤器没有一致地显示。
AppScan® Source for Development 中的过滤模型可使您打开已保存的资产并执行过滤操作,而无需登录 AppScan® Enterprise Server 和向其进行认证。由于共享过滤器存储在 AppScan® Source Database 中(需要登录和认证才能访问),如果您尚未将当前插件会话登录到 AppScan® Source,那么共享过滤器在插件中不可用。
变通方法:访问插件中的过滤模块之前执行扫描(或要求登录的任何其他操作)。一旦登录,共享过滤器就将可用。
修改定制规则和插件使用
如果您在 AppScan® Source for Analysis 中创建定制的规则,并且已登录到 AppScan® Source for Development plug-in,那么必需重新启动 IDE 才能看到更改。
不再支持“评估摘要”视图的图标样式选择
在“评估摘要”视图中,您可以不再选择显示图表样式。仅条形图的图标样式是可用的。
AppScan® Source for Development (Visual Studio plug-in)
如果在不结束所有 AppScan® Source java
进程的情况下升级 AppScan® Source,可能会导致 How to Fix(修复方式)视图失败
如果在 AppScan® Source java
进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或者
Error executing query and transform
升级包含 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 组件的 AppScan® Source for Development (Visual Studio plug-in) 安装之前,确保没有 AppScan® Source java
进程正在运行。
复制大型评估中的大量结果时发生延迟
当您在包含大量结果的评估中选择多个并复制多个结果时,在复制操作被添加到剪贴板之前可能遇到几秒钟的延迟。请确保在尝试粘贴所复制内容之前复制操作已完成。
扫描在未安装的 Microsoft™ Visual Studio 版本中创建的解决方案文件。
如果尝试扫描在系统上未安装的 Visual Studio 版本中创建的解决方案文件,AppScan® Source 将尝试在系统上查找 Visual Studio 的兼容版本并将其用于扫描。
Microsoft™ Visual Studio 中的 AppScan® Source“关于”对话框被截断
使用特定的国家语言时,AppScan® Source for Development (Visual Studio plug-in) 的“关于”对话框显示为被截断。要解决该问题,请调整屏幕分辨率和/或字体大小,以获取最好的显示效果。
AppScan® Source for Development 中的共享/全局过滤器没有一致地显示。
AppScan® Source for Development 中的过滤模型可使您打开已保存的资产并执行过滤操作,而无需登录 AppScan® Enterprise Server 和向其进行认证。由于共享过滤器存储在 AppScan® Source Database 中(需要登录和认证才能访问),如果您尚未将当前插件会话登录到 AppScan® Source,那么共享过滤器在插件中不可用。
变通方法:访问插件中的过滤模块之前执行扫描(或要求登录的任何其他操作)。一旦登录,共享过滤器就将可用。
不再支持“评估摘要”视图的图标样式选择
在“评估摘要”视图中,您可以不再选择显示图表样式。仅条形图的图标样式是可用的。
AppScan® Source command line interface (CLI)
发出 publishassessase
或 pase
命令会导致 HttpAuthenticator
警告
如果要使用 CLI 来发布到仅启用了 Windows 认证的 AppScan® Enterprise Console,那么在发出 publishassessase
或 pase
命令时可能会看到类似于以下内容的警告:
WARN [main] (HttpAuthenticator.java:207) - NEGOTIATE authentication error: org.ietf.jgss.GSSException, major code: 2, minor code: 0
major string: Unsupported mechanism
minor string: No factory available to create name for mechanism x.x.x.x.x.x.x
Assessment successfully published to: https://<ase_hostname>/ase
这些警告将不会影响评估的发布并可被忽略。
Microsoft™Windows™
扫描 Windows C/C++ 应用程序
Windows C/C++ 应用程序现已以 64 位方式扫描。
非 64 位安全 C/C++ 应用程序可能会遇到扫描错误。
卸载 Windows 上的 AppScan® Source 挂起
在 Windows 系统上安装 AppScan Source v10.0.0 服务器和客户机功能集后,如果进程尝试删除 <InstallDir>\engine
中的 JRE 文件,请卸载挂起。
发生此情况时,请手动终止进程并完成卸载。
要终止并完成卸载进程,请执行以下操作:
- 首先单击右上角的“x”,尝试手动关闭安装程序对话框。
- 如果手动关闭此对话框失败:
- 打开 Windows 任务管理器。
- 在详细信息选项卡上,找到
AppScanSrc_Uninstaller.exe
进程。 - 右键单击该进程并选择终止任务。
- 从 Windows Explorer 中,删除安装目录。缺省情况下,AppScan® Source V10.0.6 和更早版本的安装目录是
C:\Program Files(x86)\IBM\AppScanSource
。 - 删除数据目录。缺省情况下,AppScan® Source V10.0.6 和更早版本的数据目录是
C:\ProgramData\IBM\AppScanSource
。
AppScan® Source 安装被 Windows Defender 中断
在旧版 Windows 中安装 AppScan® Source 时,Windows Defender 可能会中断安装进程并弹出警告框。单击弹出框继续安装。有关其他信息,请参阅https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-smartscreen/windows-defender-smartscreen-overview。
如果在不结束所有 AppScan® Source java
进程的情况下升级 AppScan® Source,可能会导致 How to Fix(修复方式)视图失败
如果在 AppScan® Source java
进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或者
Error executing query and transform
升级包含 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 组件的 AppScan® Source for Development (Visual Studio plug-in) 安装之前,确保没有 AppScan® Source java
进程正在运行。
当 AppScan® Source 配置文件包含特殊字符时出错
在 Windows™ 上,配置文件(.ppf、.paf 和 .osc)的文件中的某些特殊字符(例如 Ç, à, ∾, ¥, §, Æ
)可能会导致错误。
不支持库 id
和 progid
格式的 #import
Microsoft™ Visual C++ #import
前处理器指令具有多种形式。AppScan® Source 不支持两个使用库 id
或 progid
的窗体。包含这些格式的文件将不进行扫描,并且在控制台中会出现错误消息。
引用的组合件必须与正在扫描的组合件位于同一目录,或者注册在全局组合件高速缓存 (GAC) 中
仅当所有引用的或从属的组合件与正在扫描或组合件位于同一文件夹中,或者注册在 GAC 中时,AppScan® Source 才能生成对 .NET 应用程序的完整扫描。如果组合件引用磁盘上其他位置的组合件中定义的类型,那么您可能会看到如下的错误:
Skipping file <assembly_name> due to error: Failed (0x80004005) in <type> call
Referenced assembly <referenced assembly name> was not found.
要修正这些错误,请将引用的组合件复制到与正在扫描的组合件相同的目录,或者将其注册到 GAC 中。
使用 .NET Core 汇编的 .NET 组合件项目
AppScan® Source 不支持包含使用 .NET Core 生成的汇编文件的 .NET 组合件项目。NET Core 项目的扫描方式与 .NET 解决方案文件相同。有关更多信息,请参阅 通过用户界面操作添加现有应用程序。
Visual Basic 6 扫描必需完整函数声明
#if
、#else if
和 #end if
必须包含函数的完整声明。例如:
#If NATIVEBINDING Then
Public Function TemplateFromRule(ByVal Rule As OrgMan.Rule) As AcDir.Template
Dim oOp As OrgMan.Operation
#Else
Public Function TemplateFromRule(ByVal Rule As Object) As AcDir.Template
Dim oOp As Object
#End If
If Rule Is Nothing Then Exit Function
oOp = Rule.Operation
If oOp Is Nothing Then Exit Function
TemplateFromRule = BuildTemplate(oOp.Command, Rule.Field, Rule.Value)
End Function
非英语语言环境中的对话框和消息截断
在 AppScan® Source 中,即使典型的 Microsoft™ Windows™ 控件指示其不具备调整大小的能力,某些对话框和消息的大小仍然可以调整。如果在非英语语言环境中运行 AppScan® Source 产品图形用户界面,而且对话框和消息包含截断的字符串,您可以调整对话框或消息的大小,以阅读对话框或消息的全部内容。
AppScan® Source for Development (Visual Studio plug-in) 限制
适用于 AppScan® Source for Development (Visual Studio plug-in) 的任何限制也特定于 Windows。请参阅 AppScan Source for Development (Visual Studio plug-in)。
Linux™
节点锁定许可证和 Red Hat Enterprise Linux 7.4
IBM 源节点锁定许可证可能无法正确使用 Red Hat Enterprise Linux 7.4。移动到 HCL 源节点锁定许可证。请联系 HCL 支持人员以获取其他信息。
在 Red Hat Enterprise Linux 7.x 上卸载 AppScan Source
在 Red Hat Enterprise Linux 7.x 上,必须在卸载 AppScan Source V9.0.3.x 后重新启动系统,才能停止运行所有 AppScan Source 进程。
如果在不结束所有 AppScan® Source java
进程的情况下升级 AppScan® Source,可能会导致 How to Fix(修复方式)视图失败
如果在 AppScan® Source java
进程仍在运行的情况下执行产品升级,则升级后的“修复方式”视图可能会显示类似以下内容的错误:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或者
Error executing query and transform
升级包含 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 组件的 AppScan® Source for Development (Visual Studio plug-in) 安装之前,确保没有 AppScan® Source java
进程正在运行。
Linux™“修复帮助”视图的 Mozilla 需求
Linux™ 上的“修复帮助”视图需要针对 GTK2 或更高版本来链接的 Mozilla。
安装针对 GTK2 或更高版本链接的 Mozilla。获取 Mozilla 后,将其解压缩,然后添加指向它的环境变量 MOZILLA_FIVE_HOME
。例如,如果将存档解压到 /usr/local
并使用 bash shell,请将 export MOZILLA_FIVE_HOME=/usr/local/mozilla
添加到 ~/.bashrc。
SELinux 防止安装、产品激活和运行
Security Enhanced Linux™ (SELinux) 是一个 Linux™ 功能,它通过 Linux™ 内核的 Linux™ 安全模块来提供更佳的安全性和访问控制。缺省情况下,它随附于 Red Hat Enterprise 5。
- 安装:在“强制”方式下无法使用 SELinux 来安装 AppScan® Source。必须将 SELinux 更改为“非强制”方式。要在“非强制”方式下运行 SELinux,请发出
/usr/bin/system-config-selinux
或(如果运行的是 GNOME)选择 。系统将提示您输入 root 用户的密码。在左窗格中选择状态(如果尚未选定)。在右窗格中,将当前强制方式下拉列表更改为非强制。将 SELinux 设置为“非强制”后,照常运行 AppScan® Source 安装。安装完成后,可以将 SELinux 设置更改回强制。 - 产品激活:在“强制”方式下无法使用 AppScan® Source License Manager。必须将 SELinux 更改为“非强制”方式。要在“非强制”方式下运行 SELinux,请发出
/usr/bin/system-config-selinux
或(如果运行的是 GNOME)选择 。系统将提示您输入 root 用户的密码。在左窗格中选择状态(如果尚未选定)。在右窗格中,将当前强制方式下拉列表更改为非强制。将 SELinux 设置为“非强制”后,运行 License Manager。完成产品激活后,可以将 SELinux 设置更改回强制。 - 运行中:在“强制”方式下,AppScan® Source 随附的 JRE 和 JDK 将不随 SELinux 运行。不过,不必禁用“强制”方式,因为可以向触发 SELinux 的文件授予相应的许可权来进行操作。这是(通过发出
chcon -t textrel_shlib_t <filename>
)使用chcon
命令来完成的。需要针对 <installdir>/jre 和 <installdir>/JDKS 目录下的所有共享对象文件 (.so) 来发出此命令。这可使用带exec
参数的find
命令以批处理方式执行。例如:cd /opt/ibm/appscansource/jre sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print cd ../JDKS sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print
Linux™ 上的 AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 必备组件
在 Linux™ 上,Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件,那么 AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。
Linux™ 上 AppScan® Source for Analysis 的间断关闭
要防止意外关闭,请升级 Pango。Pango 升级可能需要升级 glib。
Linux™ - 在安装期间将 AppScan® Source for Analysis 守护程序配置为以非“ounce”用户身份运行后,启动 AppScan® Source 时出错
通过 AppScan® Source for Analysis 安装程序,可以将 AppScan® Source 守护程序进程配置为以名为“ounce”的缺省用户省份或以现有用户身份运行。
变通方法:如果不选择缺省用户,那么必须在 AppScan® Source 安装目录(例如 /opt/hcl/appscansource)中创建包含以下行的 eclipse.ini 文件:
-configuration @user.home/.ounceconfig
扫描使用旧版本的 gcc(如 2.95.4)编译的源代码会产生错误
例如,诸如以下的错误:
Skipping file: file.cpp due to error: "/home/file.cpp", line 97: error: namespace "std" has
no member "string"
std::string mystring;
可能出现。
变通方法:向项目的编译器选项中添加 --ignore_std
选项。此选项会启用 gcc 兼容性功能,该功能使 std 名称空间成为全局名称空间的同义词。在 AppScan® Source for Analysis 中项目“属性”视图的“项目依赖性”选项卡上添加此选项。或者,如果使用 Ounce/Make 来创建项目文件,请修改 Ounce/Make 属性文件中 GlobalProjectOptions
元素的 compiler_options
属性。
macOS
停止 macOS 支持
自 V9.0.3.11 起,AppScan® Source 不再支持 macOS 或 iOS Xcode 项目扫描。
其他信息
AppScan® Source V10.6.0 中的增强功能和新增功能
- AppScan® Source 支持 Windows Server 2022。
- AppScan® Source 支持 WebSphere Application Server 9.0。
- AppScan® Source 支持 .NET 8。
- 支持 DISA Application and Security Development STIG V5R3。
- AppScan® Source for Analysis 用户界面改进,便于扫描文件夹:
- 支持在使用文件夹扫描生成的评估中排除结果。
- 支持保留基本文件夹属性下的选项,用于扫描文件夹或子文件夹中的单个文件或文件集合。
- AppScan® Source for Development(Eclipse 插件)支持 Eclipse IDE 2022-09 至 2024-03。
- 通过支持扫描 Makefile 和 GNUMakefile,扩展支持对 C/C++ 进行仅源代码扫描
- AppScan® Source 支持使用
ounceauto
扫描文件夹。 - AppScan® Source 支持通过
scan.ozsettings
文件启用全局密钥扫描。 - 提高了 Java、JavaScript 和 Python 语言的准确性,以及密钥扫描的准确性。
AppScan® Source V10.6.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.6.0 中的已知问题
- AppScan® Source Eclipse 插件所需的 Draw2d jar 在“Java Developers”的 Eclipse IDE 中不可用。
要解决此问题,请手动下载此 jar 并将其复制到
eclipse\plugins
文件夹,然后再安装插件。
AppScan® Source V10.6.0 起即将停止提供或除去的功能
- 从 V10.7.0 开始,许可过程将发生变化。此更改不会影响现有使用情况。敬请关注 HCL AppScan 的更多详细信息和更新内容。
- 不再支持 DISA Application and Security Development STIG V4R10 报告。
AppScan® Source V10.5.0 中的高级功能和新功能
- AppScan® Source for Analysis 客户机支持通过用户界面扫描文件夹。
- 支持扫描级联样式表 (CSS)。
- AppScan® Source Visual Studio 插件支持 Visual Studio 2022。
- 通过支持新的文件扩展名,扩展了 IaC、RPG 和 VB.NET 支持:
- IaC:
.conf
、.curl
、.ini
、.properties
、tf.json
- RPG:
.rpgl
、.sqlrpgle
- VB.NET:
.vbs
- IaC:
- 提高了 PHP 扫描的准确性。
- 支持 2023 年 OWASP 十大 API 安全风险报告。
-
AppScan® Source 支持在评估文件中包含 GitHub 存储库信息,并且会将其发布到 AppScan® Enterprise。可通过
scan.ozsettings
文件启用此功能。 -
在许可证配置文件中添加以使用本地 SSL 证书 (
use_local_ssl_cert
) 的新属性。
其他 AppScan® Source 升级信息
- 关闭所有 Visual Studio 2022 实例。
- 从 HCL 软件下载和许可证管理门户网站下载
VS2022Plugin.zip
。 - 将压缩文件的内容解压到缺省安装目录中。
缺省位置为
C:\Program Files\HCL\AppScanSource
。 - 在
<default_installation_directory>/bin
目录中双击AppScanSourcePlugin2022.vsix
。 - 在生成的“VSIX 安装程序”对话框中,选择 Visual Studio <Edition> 2022,然后单击安装。
基于系统上安装的内容,版本可以是专业版、企业版或社区版。可以选择安装多个版本(如有)。
- 安装完成后,关闭对话框。
- 重新启动 Visual Studio 2022。
AppScan® Source 插件显示在扩展下方。
AppScan® Source V10.5.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.5.0 中的已知问题
- CAC 认证不适用于 AppScan® Source Eclipse 插件中的 TLS 1.2要解决这个问题,请在
eclipse.ini
文件的-vmargs
下方添加以下内容:--add-exports=java.base/sun.security.internal.spec=ALL-UNNAMED
- 用于扫描单个文件或者文件夹或子文件夹中的文件集合的右键单击选项不会保留基本文件夹属性下的选项。
- 重命名设置为在文件系统级别进行扫描的文件夹时,可能会产生意外结果。
要解决这个问题,请使用“除去文件夹”选项除去文件夹,重命名文件夹,然后再次添加文件夹。
- 当使用文件夹扫描生成评估时,用于在“结果”视图中排除结果和在“已排除的结果”视图中包含结果的过滤器无法正常工作。
AppScan® Source V10.5.0 起即将停止提供或除去的功能
- Microsoft Visual Studio 2013 将于 2024 年 4 月 9 日终止服务 (EOS)。在 EOS 日期之后,HCL® AppScan® Source 将不支持 Microsoft Visual Studio 2013。
AppScan® Source V10.4.0 中的高级功能和新功能
- AppScan® Source 支持 Windows 11。
- AppScan® Source 支持 Red Hat Enterprise Linux 8.8。
- 在许可证不可用时,AppScan® Source 支持使用命令行界面 (CLI) scan 命令或 ounceauto ScanApplication 命令,通过等待时间启动扫描。
当 AppScan® Source for Automation 许可证不可用时,扫描将等待在
CLI.ozsettings
中配置的时间段,或在scan
命令中使用参数-waitforlicense
传递的值配置的时间段。通过将值设置为零来禁用等待时间功能。 - 对于文件夹扫描,AppScan® Source 支持仅密钥扫描,要么使用仅密钥项目,要么将
-secretsonly
参数与scan
CLI 命令结合使用。当在要扫描的代码中检测到密钥时,仅密钥扫描将检查硬编码密码,信用卡号和社会保险号 (SSN)。
- 对于文件夹扫描,AppScan® Source 允许您通过编辑应用程序或项目属性,或者将
-enablesecrets
参数与scan
CLI 命令结合使用,来启用或禁用仅源代码扫描的密钥扫描。您还可以在项目创建时启用密钥扫描。当在要扫描的代码以及其他相关扫描程序中检测到密钥时,密钥扫描将检查硬编码密码,信用卡号和社会保险号 (SSN)。
- AppScan® Source 支持使用 GitHub 操作或 GitLab CI/CD 和 AppScan® Source 命令行界面 (CLI) 容器自动执行扫描。
AppScan® Source V10.4.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.4.0 起即将停止提供或除去的功能
-
不再支持 RSS 订阅源。
AppScan® Source V10.3.0 中的高级功能和新功能
- AppScan® Source 支持使用命令行界面 (CLI)、“工具”菜单或 ounceauto 命令将扫描发现结果导出为 CSV 和 SARIF 文件格式。
- HCL®AppScan® Source for Development (Eclipse Plug-in) 支持 Eclipse IDE 2022-09。
- AppScan® Source 支持 Rust。
- AppScan® Source V10.3.0 增强了对 Java 和 Ruby 扫描的支持。
- AppScan® Source 支持密钥扫描。
- AppScan® Source 命令行界面 (CLI) 支持比较两个评估文件。
- AppScan® Source 支持在 Podman 环境中运行命令行界面 (CLI) 容器。
- Data Access API 需要 JDK 11 或更高版本。
- AppScan® Source 支持使用 Jenkins 或 Azure 和 AppScan® Source 命令行界面 (CLI) 容器自动执行扫描。
AppScan® Source V10.3.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.3.0 中的已知问题
- 缺省情况下,AppScan® Source 使用 Java 11 编译 Java 项目。如果您的项目与 Java 11 不兼容,并且您想配置扫描以使用不同的 Java 编译器版本,请遵循此处提供的步骤。
- 使用 AppScan® Source 命令行界面 (CLI) 扫描包含 AndroidManifest.xml 的文件夹时,扫描失败,并返回错误
An error occurred copying files to the staging directory
。要解决该问题,请执行以下任一操作:- 使用 appscan-config.xml 配置扫描。
- 从目标文件夹和/或子文件夹中删除(或移动)AndroidManifest.xml。
AppScan® Source V10.3.0 起即将停止提供或除去的功能
-
不再支持 HCL® AppScan® Source for Development(RAD 插件)。
-
Eclipse IDE 4.13 (2019-09) 不再支持 HCL® AppScan® Source for Development(Eclipse 插件)
AppScan® Source V10.2.0 中的高级功能和新功能
- AppScan® Source 使您能够在许可证配置文件中配置许可证的不活动时间。
- 现在,AppScan® Source CLI 允许在扫描文件夹时仅扫描源代码 。
- 现在,项目文件扩展名首选项在下拉列表中列出可用语言/项目类型,而不是在选项卡上列出。
- AppScan® Source 支持 Red Hat Linux 8.6。
- AppScan® Source 支持 .NET 7。
附加 AppScan® Source 和 AppScan® Enterprise 互操作性信息
- AppScan® Enterprise V10.2.0 升级了对 CVSS 3.1 的支持。作为 AppScan® Source 用户,如果您升级到 AppScan® Enterprise V10.2.0,由于 CVSS 3.1 规范的性质,严重性值可能存在差异。单击此处了解更多信息。
AppScan® Source V10.2.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.2.0 中的已知问题
- 在 Windows 2016 上运行 AppScan® Source 并使用非英语语言环境时,AppScan® Source 无法将评估发布到 AppScan® Enterprise。
- 使用 C# 文件扫描文件夹时,文件夹扫描使用 Xamarin 扫描程序。当用户并未同样使用 Xamarin 时,这可能导致大量误报。
AppScan® Source V10.1.0 中的高级功能和新功能
- AppScan® Source 支持 Red Hat Enterprise Linux 8.3。
- Eclipse IDE 2022-06 现在支持 HCL®AppScan® Source for Development (Eclipse Plug-in)。
- AppScan® Source 支持 Java 17,并将其包含在安装包中。
- AppScan® Source 支持 Tomcat 9,并将其包含在安装包中。
- AppScan® Source 现在允许扫描文件夹,而无需创建 .PAF 或 .PPF 文件。
- 扩展了对 Ruby、Groovy、JavaScript 和 PHP 扫描的支持。单击此处查找系统需求信息。
附加 AppScan® Source 和 AppScan® Enterprise 互操作性信息
AppScan® Source V10.1.0 支持 AppScan® Enterprise Server V10.1.0。AppScan® Source V10.0.8 和更低V不支持 AppScan® Enterprise Server V10.1.0。请升级这两个产品,以确保适当的互操作性。
AppScan® Source V10.1.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.1.0 起即将停止提供或除去的功能
- 已除去以下报告和报告过滤器:
- CWE SANS Top 25 2011 报告
- OWASP Top 10 2013 报告
- CWE SANS Top 25 2011 报告过滤器
- OWASP Top 25 2010 报告过滤器
- OWASP Top 25 2013 报告过滤器
- 不再支持缺陷跟踪系统集成。
-
不再支持通过电子邮件发送结果。
- 不再支持质量度量值。
- Tomcat 7 不再包含在 AppScan® Source 安装包中。
- AppScan® Source 将在未来的发行版中放弃对 SolidDB 和 OracleDB 的支持。
AppScan® Source V10.0.8 中的高级功能和新功能
- AppScan® Source 命令行界面 (CLI) 已容器化,提高了应用程序和安全扫描的效率和可靠性。安装并配置完成后,可以按需快速创建测试环境,并且可以并发运行扫描。有关容器化的更多信息,请参阅 HCL 支持中的此文档。
- AppScan® Source 支持通过命令行配置许可证信息。
- AppScan® Source 支持 Terraform。
- 支持以下报告:
- 支持以下报告过滤器:
AppScan® Source V10.0.8 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.0.8 中的已知问题
- 使用 Eclipse 插件时, AppScan® Source for Development 必须配置 Java 8。
AppScan® Source V10.0.7 中的高级功能和新功能
- 自 V10.0.7 起,AppScan® Source 具有更新的安装路径,
IBM
替换为HCL
。但是,从 V10.0.6 或更早版本升级将保留在路径中使用
IBM
的原始安装路径。 - AppScan® Source 支持 IBM RPG 项目。
- AppScan® Source 支持 .NET 5/6。
- AppScan® Source 支持 OWASP Top 10 2021 报告。
- 启用通用访问卡 (CAC) 认证不再需要手动更新 java.security 文件。
AppScan® Source V10.0.7 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.0.7 中的已知问题
- 在 Windows 上,从 AppScan® Source V9.0.3.x 或 V10.0.0 升级到 AppScan® Source V10.0.7 时,必须先执行到 AppScan® Source V10.0.1 至 V10.0.6 之间的临时升级。重要: 不要卸载然后重新安装。要维护数据库,必须分两个步骤进行升级。
- 使用 Oracle 数据库配置的 AppScan® Source 需要使用 16 个或更多字符的强密码。
AppScan® Source V10.0.7 中即将停止提供或除去的功能
AppScan® Source V10.0.6 中的高级功能和新功能
- 与在 AppScan® Source for Analysis 中一样,缺省情况下 Visual Studio 插件中的发现结果视图现在按修复组显示发现结果。
- 用于 AppScan® Source for Analysis 中的评估比较 的算法已使用新算法进行更新。AppScan® Source for Analysis 客户机中的评估比较结果将与
AppScanDelta
命令一致;但是,与先前版本的 AppScan® Source 中的比较结果可能会有一些差异。 -
现在,作为算法更新的一部分,您可以从 AppScan® Source for Analysis 中的评估差异视图中选择保存新发现结果和/或已解析发现结果的评估。
- AppScan® Source 支持对 C/C++、.Net 和 Java 进行仅源代码扫描。
- AppScan® Source 向行业标准报告添加了建议信息,以帮助修复发现结果。
- AppScan® Source 支持使用“主题备用名 - 多域 (SAN)”证书进行 CAC 认证。
- AppScan® Source 支持 Dart 编程语言。
- 支持在 Linux 系统上停止/取消扫描。
AppScan® Source V10.0.6 中的已知问题
- 如果您使用 AppScan® Source V10.0.5 或更旧版本创建的 Objective-C .paf/.ppf 文件运行扫描,则对 Objective-C 项目的执行扫描将失败。重新配置 AppScan® Source V10.0.6 中的 Objective-C 项目,然后重试。
AppScan® Source V10.0.6 中的修复和安全更新
- 此处列出了修复和安全更新。
AppScan® Source V10.0.6 中即将停止提供或除去的功能
- AppScan® Source 已停止对单文件扫描 V10.0.0 的支持。
AppScan® Source V10.0.5 中的高级功能和新功能
- KBArticle 服务器已替换为 AppScan Security Info Server。AppScan Security Info Server 的内容和界面已更新,以便更好地为用户提供服务,但其用途与先前 AppScan® Source 版本中的 KBArticle 服务器相同:帮助用户缓解和解决应用程序安全发现结果。
- AppScan® Source 向报告添加了建议信息,以帮助修复发现结果。
- 修复帮助视图已重命名为如何修复。
- AppScan® Source 已添加对 DISA STIG V5r1 报告格式的支持。
此新报告列出了应用程序安全核对表 V5.1 中指定的漏洞类别。在可能的情况下,AppScan® Source 会生成相关结果,以帮助审阅者确定应用程序是否符合 STIG 的要求。
- 在 Windows 和 Linux 上支持 HCL Common Local License Server 2.0。
- AppScan® Source 支持生成结果报告,在其中,结果按修复组分组。
附加 AppScan® Source V10.0.5 和 AppScan® Enterprise V10.0.5 互操作性信息
- 现在,可以使用 AppScan® Enterprise 中 asc.properties 文件中的新属性,根据预期用户响应来均衡从“监控”选项卡中将问题发布到 AppScan® Enterprise 或导入到 AppScan® Enterprise 的速度。请参阅AppScan® Enterprise 文档以获取关于如何使用
issue.import.batch.interval
的详细信息。
AppScan® Source V10.0.5 中的已知问题
- AppScan Source 的语言环境设置应与系统语言环境设置匹配,以避免控制台输出中出现字符乱码。
- 在 Linux 的如何修复视图中存在一些呈现问题。此外,外部引用链接不会从 Linux 的如何修复视图打开;可在外部浏览器中打开文章以正确呈现并访问外部链接。
- 在使用
ounceauto
命令生成报告时,当自动化服务器无法启动 AppScan Security Info 服务器时,报告中未包含如何修复信息。要解决此问题,请在使用ounceauto
生成报告前启动 AppScan® Source for Analysis 或命令行界面(CLI 客户机);AppScan Security Info 服务器由 AppScan® Source for Analysis 和 CLI 客户机自动启动。
AppScan® Source V10.0.4 中的高级功能和新功能
- 自 V10.0.4 起,AppScan® Source 支持以下操作系统:
- Windows Server 2019
- Red Hat Linux V7.8 和 V7.9
有关其他信息,请参阅系统需求和安装必备软件。
- 自 V10.0.4 起,AppScan® Source 支持以下语言和语言版本:
- Java V9、V10 和 V11。
- AdoptOpenJDK 11 是缺省配置
- 指定的任何备用 JDK 都必须为 64 位
- .NET Core 3.1
- 基础结构即代码 (IaC)
有关其他信息,请参阅系统需求和安装必备软件。
- Java V9、V10 和 V11。
AppScan® Source V10.0.4 中的已知问题
- 在 AppScan® Source V9.3.14 或更低版本中创建并在“属性”视图中标记为排除的捆绑包在升级到 AppScan® Source V10.0.0 及更高版本后不会排除结果。应在 AppScan® Source V10.0.0 或更高版本中重新创建捆绑包。
- 对 AppScan® Source for Analysis 客户机中的所有应用程序执行扫描可能会填充“结果”视图,而不会填充修订组。请对单个应用程序执行扫描以避免此结果并在修订组中恰当显示结果。
- 如果评估文件名包含本机字符,则在非英语语言环境中将评估发布到 AppScan® Enterprise 会失败。请从文件名中删除本机字符并重新发布。
AppScan® Source V10.0.3 中的高级功能和新功能
- 自 V10.0.3 开始,AppScan® Source 添加了对以下语言的支持:
- Android Java
- Ionic
- 目标 C
- React Native
- SAP ABAP
- Vue.js
- Xamarin
有关更多信息,请参阅系统要求。
- 对静态分析的修订组支持。
修订组是一种管理、分类和解决在静态分析扫描中发现的问题的新方法。运行静态扫描后,AppScan® Source 会根据漏洞类型和所需修复任务将问题组织到修订组中。有关更多信息,请参阅使用静态分析修订组。
- 作为修订组支持的一部分,在“选择结果报告”对话框中会显示辅助报告的技术预览。报告当前仅显示有关修订组类型的简要信息。在未来的版本中,将向报告功能添加其他深入信息,包括修订组的最佳修订位置。
AppScan® Source V10.0.3 中的已知问题
- CLI 命令
details
间歇性地报告错误。但是,此命令的功能不受影响。ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
-
打开发布到 AppScan® Source 数据库的评估查看修订组信息时,
NULL
可能会显示在修订组类型或修订组标识的位置。将评估保存到本地文件系统,然后使用“打开评估”命令将其打开,以查看已发布静态分析评估的修订组信息。
附加 AppScan Source V10.0.3 安装和互操作性信息
- 如果升级 AppScan® Source 或执行 AppScan® Source V10.0.3 的修复安装,则在先前安装配置了数据库的情况下,您必须手动启动
AppScan Source DB
服务。
AppScan® Source V10.0.2 中的高级功能和新功能
- 自 AppScan® Source V10.0.2 起,需要使用 HCL 许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证。
- AppScan® Source Analysis V10.0.2 不要求连接数据库,即可执行扫描。可在 AppScan® Enterprise 中配置与 AppScan Enterprise 的集成以共享扫描配置和结果。有关断开连接时的功能,详见此处。
- AppScan® Source 推出了对以下语言的支持:Angular 8、Angular 9、Groovy、Symfony 和 TypeScript。有关完整信息,请参阅系统要求。
附加 AppScan® Source V10.0.2 安装和互操作性信息
- 将 AppScan® Source V10.0.2 安装到干净的系统中时,无需安装数据库,因此无需执行数据库配置。配置与 AppScan Enterprise 的集成以存储和检索共享信息。
- 将 AppScan® Source V10.0.2 安装到干净系统中以在连接方式下使用时,需要使用 AppScan® Enterprise V10.0.2。不支持更低版本的 AppScan® Enterprise。此外,AppScan Enterprise Server 必须安装有 User Administration 和 Enterprise Console。
-
从先前版本升级至 AppScan® Source V10.0.2 后,完全支持先前安装的任何数据库,包括配置功能。
- 如果执行 AppScan® Source V10.0.2 的修复安装,则在先前安装配置了数据库的情况下,您必须手动启动
AppScan Source DB
服务。 - 如果升级仅安装了自动化服务器或客户机组件的 AppScan® Source 并且随后执行修复安装,则在 'ounce.ozsettings 中更新以下属性:
name=core_provider value=1
name=connect_mode value=false
- 不支持在 V10.0.2 之前创建的静默安装程序响应文件。必须创建新的静默安装程序响应文件,才能用于 AppScan® Source V10.0.2。
AppScan® Source V10.0.2 中即将停止提供或除去的功能
- AppScan Source 不再支持 IBM 许可证,也无法再在许可证管理器中配置这些许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证。
- AppScan® Source V10.0.2 不再支持 Visual Studio 2010。
- SolidDB 不再附带 AppScan® Source,且不再作为解决方案的一部分进行安装。现已安装的 SolidDB 继续受支持。
- “管理”菜单下的“审核日志”选项不再可用。
AppScan® Source V10.0.1 中的高级功能和新功能
- AppScan® Source V10.0.1 具有增强的许可功能,在用户界面中包含对基于 HCL 的许可证的代理支持,允许使用不受信任的证书连接到本地许可证服务器。
- AppScan® Source V10.0.1 引入了
AppScanDelta
。此功能允许用户从命令行执行两个评估之间的差异比较。 - AppScan® Source 支持 NetCore 2.1 和 2.2。
- AppScan® Source V10.0.1 支持 Scala、Swift、Kotlin 和 ReactJS 语言。请参阅系统需求获取更多信息。
- AppScan® Source V10.0.1 支持 DISA STG v4r10 报告格式。
AppScan® Source V10.0.1 中的已知问题
- 如果正在扫描一个来自 2015 版本或更早版本的 Visual Studio 项目,则扫描可能失败,并显示一条要删除 discoverymanager.exe.config 的消息。删除指定的文件并重试。有关更多信息,请参阅此处。
AppScan® Source 互操作性
- AppScan® Enterprise V9.0.3x 和 V10.0.0 必须进行如下配置才能与 AppScan® Source V10.0.1互操作:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® Source V10.0.1 中即将停止提供或除去的功能
自 AppScan® Source V10.0.1 起,即将停止提供以下功能。请进行相应规划。
AppScan® Source V10.0.0 中的高级功能和新功能
-
IBM® Security AppScan® Source 现在为 HCL® AppScan® Source。
在 2019 年中旬,HCL Technologies 从 IBM 收购了 AppScan® 系列产品,包括 AppScan® Enterprise,AppScan® Standard、AppScan® Source 和 AppScan® on Cloud。现在,所有 AppScan® 产品均由 HCL Software 拥有、开发和推广。所有许可证、徽标、命名约定以及其他知识产权和/或商标权均由 HCL 拥有。因此,所有 AppScan® 产品均已更名,以反映这一所有权及其发展和增长的新阶段。
-
有关 HCL 许可 的介绍 HCL® AppScan® Source
作为从 IBM 到 HCL 过渡的一部分,HCL 正在为 AppScan® 系列产品引入以 HCL 为中心的许可证包。AppScan®、AppScan® Standard 和 AppScan® Source 使用本地 FlexLM 许可证服务器,该服务器通过代理服务器进行认证;AppScan® on Cloud 使用 Okta 提供的市场租赁客户标识访问管理 (CAIM) 系统。
- AppScan® Source 现支持 Go 编程语言 (Golang)。
- AppScan® Source 现在在 Visual Studio 2015、2017 和 2019 中支持 C++ 扫描。
- AppScan® Source 现在支持 Oracle 19c。
- 新的数据流扫描功能可以执行更完整的代码分析,从而获得更多结果。
- 对于 AppScan® Source 包含定制扫描程序的语言,使用 AppScan® Source v10 进行扫描时您可能会发现结果存在显著差异。如果扫描已转换为自定义扫描,这可能会减少结果数量。自定义扫描程序规则不断变化,将进行定期添加,很容易增强。
- 增强了与 Intelligent Code Analytics (ICA) 和 Intelligent Findings Analytics (IFA) 的集成。
启用 ICA/IFA 后,您可以看到和访问“已排除发现结果”选项卡。有关其他信息,请参阅AppScan® Source 文档中的 Intelligent Findings Analytics (IFA)。
缺省情况下,所有扫描均启用 IFA。如果启用,将应用至当前扫描和未来扫描。不能应用至之前扫描的评估。
- 扫描 AppScan® Source 中的 .NET 项目(ASP、WEB、Framework、Core)以反映 HCL AppScan on Cloud 中的进程。.NET 项目在扫描之前必须能够被编译,并且项目属性中必须具有正确的构建规范。
- 要安装和 AppScan® Source 运行基本扫描,必须至少具有 15 GB 空间。但是,所需磁盘空间将随要扫描的应用程序不同而异。建议至少准备 8 GB 的 RAM 和 15-20 GB 的可用磁盘空间。您可能还需要增加 Windows 页面文件要求(有关详细信息,请参阅 Windows 10 中提高电脑性能的提示)。
-
有关系统需求以及扫描和插件支持的其他信息,请参阅系统需求和安装必备软件或联系 HCL 支持人员。
AppScan® Source V10.0.0 互操作性
- 由于数据库内容(与扫描规则相关)差异,因此 AppScan® Source V10.0.0 客户机无法正确使用 AppScan® Source V10.0.0 以下版本的数据库正确扫描。
- 同样,AppScan® Source V10.0.0 之前的客户也将无法使用 AppScan® Source V10.0.0 数据库正确扫描。
- AppScan® Enterprise V9.0.3.x 无法使用通过 AppScan® Source 10.0.0 数据库实例配置的 AppScan® Source 实例,反之亦然
- AppScan® Enterprise V9.0.3.x 必须按照如下说明配置,才能与 AppScan® Source V10.0.0 互操作:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
其他 AppScan® Source V10.0.0 安装说明
安装 AppScan® Source V10.0.0 与 Visual Studio 2019 插件时,安装似乎成功完成,但 Visual Studio 2019 插件可能安装不正确。要在 Visual Studio 2019 中安装 AppScan® Source V10.0.0 插件,请执行以下操作:
- 确保在目标系统上安装 HCL® AppScan® Source V10.0.0。在安装过程中选择 Microsoft Visual Studio 2019 插件。
- 如果已在 Visual Studio 2019 目标实例中安装了 V10.0.0 之前版本的 AppScan® Source,请按照以下步骤将其卸载:
- 启动目标 Visual Studio 2019 实例。
- 打开 。
- 在已安装选项卡上,从列表中选择 AppScan Source 插件。
- 单击卸载插件,然后按照提示完成卸载。
- 按照如下步骤操作,将 HCL® AppScan® Source V10.0.0 插件安装到 Visual Studio 2019 实例:
- 关闭所有 Visual Studio 2019 实例。
- 从HCL® AppScan® Source 版本下载网站下载 VS2019Plugin.zip。
- 将压缩文件的内容解压到 <AppScan Source Install Dir>(缺省位置为 C:\Program Files (x86)\IBM\AppScanSource)。出现提示时,所有选项都选择是。
- 在 <AppScan Source Install Dir>/bin 目录中双击 AppScanSrcPlugin.vsix。
- 在生成的“VSIX 安装程序”对话框中,选择Visual Studio <Edition> 2019,然后单击安装。
基于机器上安装的内容,版本可以是专业版、企业版或社区版。可以选择安装多个版本(如有)。
- 安装完成后,关闭对话框。
- 重新启动 Visual Studio 2019。AppScan Source 插件显示在扩展下方。
AppScan® Source V10.0.0 中的已知问题
- 以下语言不受支持:
- Arxan C
- WSDL
- 在 WebSphere 中,仅支持缺省 JSP 编译选项。
- 并非所有语言都支持单文件扫描。
- 没有禁用 JSP 文件预编译的机制。JSP 文件将始终进行预编译。
- 停止/取消扫描操作不适用于 Linux 系统。
- 使用命令行界面时,停止/取消操作在 Windows 系统中可能无效。要解决此问题,请重新启动 AppScan® Source 并终止后台进程。
- 从 Windows 系统中卸载 AppScan® Source V10.0.0 时,卸载进程有时会挂起。有关更多信息,请参阅卸载 Windows 上的 AppScan Source 挂起。
- 升级至 AppScan® Source V10.0.0 后, 未生成 PDF 报告。有关更多信息,请参阅在升级场景中 PDF 报告生成期间 AppScan Source 10.0.0 引发 “java.lang.reflect.InvocationTargetException” 异常。
AppScan® Source V10.0.0 中即将即将停止提供的功能
- 定制结果
- 质量度量值
- 电子邮件/设置
- RSS 订阅源
- 应用程序属性
使用 AppScan Enterprise 存储应用程序信息。
- 缺陷跟踪系统集成
使用 AppScan® 问题网关从 AppScan Enterprise 级别集成
AppScan® Source V10.0.0 中不再支持的功能和特性
- 不再支持漏洞高速缓存。
- 不支持增量扫描。
- 不支持非 CPA 扫描。
-
自 V9.0.3.11 起,AppScan® Source 不再支持 macOS 或 iOS Xcode 项目扫描。
AppScan® Source 的一些组件为 32 位。MacOS 10.14 (Mojave) 是支持 32 位应用程序的最后一个 Mac 操作系统版本。
您可以在 Mac 操作系统(包括 10.12 及更高版本)上继续使用 AppScan® Source V9.0.3.10 和更低版本。
文档
可在可以找到 AppScan Source 文档的位置获取有关 AppScan® Source 文档的信息。
获取技术支持
有关获取本产品的技术支持的信息可在 https://support.hcltech.com/csm?id=csm_index 上获取。
产品 Web 站点位于 https://www.hcl-software.com/wps/portal/products/appscan。
Copyright
版权所有 (C) HCL Technologies Limited® 及其许可方 2024。All Rights Reserved.
HCL®、HCL Technologies Limited、HCL Software、HCL® 徽标、hcl.com®、hcltech.com 和 AppScan® 是 HCL Technologies Limited 在全球许多司法管辖区注册的商标或注册商标。Rational®、WebSphere® 和 ClearQuest® 是 IBM 公司的商标或注册商标。其他产品和服务名称可能是 HCL® 或其他公司的商标。“版权和商标信息”Web 站点上提供了 HCL® 商标的最新列表,网址为:http://www.hcltech.com/disclaimer。Linux™ 是 Linus Torvalds 在美国和/或其他国家或地区的注册商标。Microsoft™、Windows™、Windows NT™ 和 Windows™ 徽标是 Microsoft™ Corporation 在美国和/或其他国家或地区的商标。Unix 是 The Open Group 美国和其他国家或地区的注册商标。Java™ 和所有基于 Java 的商标和徽标是 Oracle 和/或其附属公司的商标或注册商标。
本程序包括:Jacorb 2.3.0(Copyright 1997-2006 JacORB 项目)以及 XOM1.0d22 (Copyright 2003 Elliotte Rusty Harold),上述各项均依据 Gnu Library General Public License (LGPL) 提供,该许可证的副本在本程序随附的“声明”文件中提供。