新增功能
探索已添加到 AppScan® Source 的以下新功能 - 并请注意该发行版中已不推荐使用的任何特性和功能。
- AppScan Source V10.6.0 中的新增功能
- AppScan Source V10.5.0 中的新增内容
- AppScan Source V10.4.0 中的新增内容
- AppScan Source V10.3.0 中的新增内容
- AppScan Source V10.2.0 中的新增内容
- AppScan Source V10.1.0 中的新增内容
- AppScan Source V10.0.8 中的新增内容
- AppScan Source V10.0.7 中的新增内容
- AppScan Source V10.0.6 中的新增功能
- AppScan Source V10.0.5 中的新增内容
- AppScan Source V10.0.4 中的新增内容
- AppScan Source V10.0.3 中的新增内容
- AppScan Source V10.0.2 中的新增内容
- AppScan Source V10.0.1 中的新增内容
- AppScan Source V10.0.0 中的新增内容
AppScan® Source V10.6.0 中的新增功能
AppScan® Source V10.6.0 中的增强功能和新增功能
- AppScan® Source 支持 Windows Server 2022。
- AppScan® Source 支持 WebSphere Application Server 9.0。
- AppScan® Source 支持 .NET 8。
- 支持 DISA Application and Security Development STIG V5R3。
- AppScan® Source for Analysis 用户界面改进,便于扫描文件夹:
- 支持在使用文件夹扫描生成的评估中排除结果。
- 支持保留基本文件夹属性下的选项,用于扫描文件夹或子文件夹中的单个文件或文件集合。
- AppScan® Source for Development(Eclipse 插件)支持 Eclipse IDE 2022-09 至 2024-03。
- 通过支持扫描 Makefile 和 GNUMakefile,扩展支持对 C/C++ 进行仅源代码扫描
- AppScan® Source 支持使用
ounceauto
扫描文件夹。 - AppScan® Source 支持通过
scan.ozsettings
文件启用全局密钥扫描。 - 提高了 Java、JavaScript 和 Python 语言的准确性,以及密钥扫描的准确性。
AppScan® Source V10.6.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.6.0 中的已知问题
- AppScan® Source Eclipse 插件所需的 Draw2d jar 在“Java Developers”的 Eclipse IDE 中不可用。
要解决此问题,请手动下载此 jar 并将其复制到
eclipse\plugins
文件夹,然后再安装插件。
AppScan® Source V10.6.0 起即将停止提供或除去的功能
- 从 V10.7.0 开始,许可过程将发生变化。此更改不会影响现有使用情况。敬请关注 HCL AppScan 的更多详细信息和更新内容。
- 不再支持 DISA Application and Security Development STIG V4R10 报告。
AppScan® Source V10.5.0 中的新增内容
AppScan® Source V10.5.0 中的高级功能和新功能
- AppScan® Source for Analysis 客户机支持通过用户界面扫描文件夹。
- 支持扫描级联样式表 (CSS)。
- AppScan® Source Visual Studio 插件支持 Visual Studio 2022。
- 通过支持新的文件扩展名,扩展了 IaC、RPG 和 VB.NET 支持:
- IaC:
.conf
、.curl
、.ini
、.properties
、tf.json
- RPG:
.rpgl
、.sqlrpgle
- VB.NET:
.vbs
- IaC:
- 提高了 PHP 扫描的准确性。
- 支持 2023 年 OWASP 十大 API 安全风险报告。
-
AppScan® Source 支持在评估文件中包含 GitHub 存储库信息,并且会将其发布到 AppScan® Enterprise。可通过
scan.ozsettings
文件启用此功能。 -
在许可证配置文件中添加以使用本地 SSL 证书 (
use_local_ssl_cert
) 的新属性。
其他 AppScan® Source 升级信息
- 关闭所有 Visual Studio 2022 实例。
- 从 HCL 软件下载和许可证管理门户网站下载
VS2022Plugin.zip
。 - 将压缩文件的内容解压到缺省安装目录中。
缺省位置为
C:\Program Files\HCL\AppScanSource
。 - 在
<default_installation_directory>/bin
目录中双击AppScanSourcePlugin2022.vsix
。 - 在生成的“VSIX 安装程序”对话框中,选择 Visual Studio <Edition> 2022,然后单击安装。
基于系统上安装的内容,版本可以是专业版、企业版或社区版。可以选择安装多个版本(如有)。
- 安装完成后,关闭对话框。
- 重新启动 Visual Studio 2022。
AppScan® Source 插件显示在扩展下方。
AppScan® Source V10.5.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.5.0 中的已知问题
- CAC 认证不适用于 AppScan® Source Eclipse 插件中的 TLS 1.2要解决这个问题,请在
eclipse.ini
文件的-vmargs
下方添加以下内容:--add-exports=java.base/sun.security.internal.spec=ALL-UNNAMED
- 用于扫描单个文件或者文件夹或子文件夹中的文件集合的右键单击选项不会保留基本文件夹属性下的选项。
- 重命名设置为在文件系统级别进行扫描的文件夹时,可能会产生意外结果。
要解决这个问题,请使用“除去文件夹”选项除去文件夹,重命名文件夹,然后再次添加文件夹。
- 当使用文件夹扫描生成评估时,用于在“结果”视图中排除结果和在“已排除的结果”视图中包含结果的过滤器无法正常工作。
AppScan® Source V10.5.0 起即将停止提供或除去的功能
- Microsoft Visual Studio 2013 将于 2024 年 4 月 9 日终止服务 (EOS)。在 EOS 日期之后,HCL® AppScan® Source 将不支持 Microsoft Visual Studio 2013。
AppScan® Source V10.4.0 中的新增内容
AppScan® Source V10.4.0 中的高级功能和新功能
- AppScan® Source 支持 Windows 11。
- AppScan® Source 支持 Red Hat Enterprise Linux 8.8。
- 在许可证不可用时,AppScan® Source 支持使用命令行界面 (CLI) scan 命令或 ounceauto ScanApplication 命令,通过等待时间启动扫描。
当 AppScan® Source for Automation 许可证不可用时,扫描将等待在
CLI.ozsettings
中配置的时间段,或在scan
命令中使用参数-waitforlicense
传递的值配置的时间段。通过将值设置为零来禁用等待时间功能。 - 对于文件夹扫描,AppScan® Source 支持仅密钥扫描,要么使用仅密钥项目,要么将
-secretsonly
参数与scan
CLI 命令结合使用。当在要扫描的代码中检测到密钥时,仅密钥扫描将检查硬编码密码,信用卡号和社会保险号 (SSN)。
- 对于文件夹扫描,AppScan® Source 允许您通过编辑应用程序或项目属性,或者将
-enablesecrets
参数与scan
CLI 命令结合使用,来启用或禁用仅源代码扫描的密钥扫描。您还可以在项目创建时启用密钥扫描。当在要扫描的代码以及其他相关扫描程序中检测到密钥时,密钥扫描将检查硬编码密码,信用卡号和社会保险号 (SSN)。
- AppScan® Source 支持使用 GitHub 操作或 GitLab CI/CD 和 AppScan® Source 命令行界面 (CLI) 容器自动执行扫描。
AppScan® Source V10.4.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.4.0 起即将停止提供或除去的功能
-
不再支持 RSS 订阅源。
AppScan® Source V10.3.0 中的新增内容
AppScan® Source V10.3.0 中的高级功能和新功能
- AppScan® Source 支持使用命令行界面 (CLI)、“工具”菜单或 ounceauto 命令将扫描发现结果导出为 CSV 和 SARIF 文件格式。
- HCL®AppScan® Source for Development (Eclipse Plug-in) 支持 Eclipse IDE 2022-09。
- AppScan® Source 支持 Rust。
- AppScan® Source V10.3.0 增强了对 Java 和 Ruby 扫描的支持。
- AppScan® Source 支持密钥扫描。
- AppScan® Source 命令行界面 (CLI) 支持比较两个评估文件。
- AppScan® Source 支持在 Podman 环境中运行命令行界面 (CLI) 容器。
- Data Access API 需要 JDK 11 或更高版本。
- AppScan® Source 支持使用 Jenkins 或 Azure 和 AppScan® Source 命令行界面 (CLI) 容器自动执行扫描。
AppScan® Source V10.3.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.3.0 中的已知问题
- 缺省情况下,AppScan® Source 使用 Java 11 编译 Java 项目。如果您的项目与 Java 11 不兼容,并且您想配置扫描以使用不同的 Java 编译器版本,请遵循此处提供的步骤。
- 使用 AppScan® Source 命令行界面 (CLI) 扫描包含 AndroidManifest.xml 的文件夹时,扫描失败,并返回错误
An error occurred copying files to the staging directory
。要解决该问题,请执行以下任一操作:- 使用 appscan-config.xml 配置扫描。
- 从目标文件夹和/或子文件夹中删除(或移动)AndroidManifest.xml。
AppScan® Source V10.3.0 起即将停止提供或除去的功能
-
不再支持 HCL® AppScan® Source for Development(RAD 插件)。
-
Eclipse IDE 4.13 (2019-09) 不再支持 HCL® AppScan® Source for Development(Eclipse 插件)
AppScan® Source V10.2.0 中的新增内容
AppScan® Source V10.2.0 中的高级功能和新功能
- AppScan® Source 使您能够在许可证配置文件中配置许可证的不活动时间。
- 现在,AppScan® Source CLI 允许在扫描文件夹时仅扫描源代码 。
- 现在,项目文件扩展名首选项在下拉列表中列出可用语言/项目类型,而不是在选项卡上列出。
- AppScan® Source 支持 Red Hat Linux 8.6。
- AppScan® Source 支持 .NET 7。
附加 AppScan® Source 和 AppScan® Enterprise 互操作性信息
- AppScan® Enterprise V10.2.0 升级了对 CVSS 3.1 的支持。作为 AppScan® Source 用户,如果您升级到 AppScan® Enterprise V10.2.0,由于 CVSS 3.1 规范的性质,严重性值可能存在差异。单击此处了解更多信息。
AppScan® Source V10.2.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.2.0 中的已知问题
- 在 Windows 2016 上运行 AppScan® Source 并使用非英语语言环境时,AppScan® Source 无法将评估发布到 AppScan® Enterprise。
- 使用 C# 文件扫描文件夹时,文件夹扫描使用 Xamarin 扫描程序。当用户并未同样使用 Xamarin 时,这可能导致大量误报。
AppScan® Source V10.1.0 中的新增内容
AppScan® Source V10.1.0 中的高级功能和新功能
- AppScan® Source 支持 Red Hat Enterprise Linux 8.3。
- Eclipse IDE 2022-06 现在支持 HCL®AppScan® Source for Development (Eclipse Plug-in)。
- AppScan® Source 支持 Java 17,并将其包含在安装包中。
- AppScan® Source 支持 Tomcat 9,并将其包含在安装包中。
- AppScan® Source 现在允许扫描文件夹,而无需创建 .PAF 或 .PPF 文件。
- 扩展了对 Ruby、Groovy、JavaScript 和 PHP 扫描的支持。单击此处查找系统需求信息。
附加 AppScan® Source 和 AppScan® Enterprise 互操作性信息
AppScan® Source V10.1.0 支持 AppScan® Enterprise Server V10.1.0。AppScan® Source V10.0.8 和更低V不支持 AppScan® Enterprise Server V10.1.0。请升级这两个产品,以确保适当的互操作性。
AppScan® Source V10.1.0 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.1.0 起即将停止提供或除去的功能
- 已除去以下报告和报告过滤器:
- CWE SANS Top 25 2011 报告
- OWASP Top 10 2013 报告
- CWE SANS Top 25 2011 报告过滤器
- OWASP Top 25 2010 报告过滤器
- OWASP Top 25 2013 报告过滤器
- 不再支持缺陷跟踪系统集成。
-
不再支持通过电子邮件发送结果。
- 不再支持质量度量值。
- Tomcat 7 不再包含在 AppScan® Source 安装包中。
- AppScan® Source 将在未来的发行版中放弃对 SolidDB 和 OracleDB 的支持。
AppScan® Source V10.0.8 中的新增内容
AppScan® Source V10.0.8 中的高级功能和新功能
- AppScan® Source 命令行界面 (CLI) 已容器化,提高了应用程序和安全扫描的效率和可靠性。安装并配置完成后,可以按需快速创建测试环境,并且可以并发运行扫描。有关容器化的更多信息,请参阅 HCL 支持中的此文档。
- AppScan® Source 支持通过命令行配置许可证信息。
- AppScan® Source 支持 Terraform。
- 支持以下报告:
- 支持以下报告过滤器:
AppScan® Source V10.0.8 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.0.8 中的已知问题
- 使用 Eclipse 插件时, AppScan® Source for Development 必须配置 Java 8。
AppScan® Source V10.0.7 中的新增内容
HCL® AppScan® Source V10.0.7 是发布 HCL® AppScan® Source 主要版本 V10.0.0 之后的第七个修订包版本。
AppScan® Source V10.0.7 中的高级功能和新功能
- 自 V10.0.7 起,AppScan® Source 具有更新的安装路径,
IBM
替换为HCL
。但是,从 V10.0.6 或更早版本升级将保留在路径中使用
IBM
的原始安装路径。 - AppScan® Source 支持 IBM RPG 项目。
- AppScan® Source 支持 .NET 5/6。
- AppScan® Source 支持 OWASP Top 10 2021 报告。
- 启用通用访问卡 (CAC) 认证不再需要手动更新 java.security 文件。
AppScan® Source V10.0.7 中的修复和安全更新
此处列出了修复和安全更新。
AppScan® Source V10.0.7 中的已知问题
- 在 Windows 上,从 AppScan® Source V9.0.3.x 或 V10.0.0 升级到 AppScan® Source V10.0.7 时,必须先执行到 AppScan® Source V10.0.1 至 V10.0.6 之间的临时升级。重要: 不要卸载然后重新安装。要维护数据库,必须分两个步骤进行升级。
- 使用 Oracle 数据库配置的 AppScan® Source 需要使用 16 个或更多字符的强密码。
AppScan® Source V10.0.7 中即将停止提供或除去的功能
AppScan® Source V10.0.6 中的新增内容
AppScan® Source V10.0.6 中的高级功能和新功能
- 与在 AppScan® Source for Analysis 中一样,缺省情况下 Visual Studio 插件中的发现结果视图现在按修复组显示发现结果。
- 用于 AppScan® Source for Analysis 中的评估比较 的算法已使用新算法进行更新。AppScan® Source for Analysis 客户机中的评估比较结果将与
AppScanDelta
命令一致;但是,与先前版本的 AppScan® Source 中的比较结果可能会有一些差异。 -
现在,作为算法更新的一部分,您可以从 AppScan® Source for Analysis 中的评估差异视图中选择保存新发现结果和/或已解析发现结果的评估。
- AppScan® Source 支持对 C/C++、.Net 和 Java 进行仅源代码扫描。
- AppScan® Source 向行业标准报告添加了建议信息,以帮助修复发现结果。
- AppScan® Source 支持使用“主题备用名 - 多域 (SAN)”证书进行 CAC 认证。
- AppScan® Source 支持 Dart 编程语言。
- 支持在 Linux 系统上停止/取消扫描。
AppScan® Source V10.0.6 中的修复和安全更新
- 此处列出了修复和安全更新。
AppScan® Source V10.0.6 中的已知问题
- 如果您使用 AppScan® Source V10.0.5 或更旧版本创建的 Objective-C .paf/.ppf 文件运行扫描,则对 Objective-C 项目的执行扫描将失败。重新配置 AppScan® Source V10.0.6 中的 Objective-C 项目,然后重试。
AppScan® Source V10.0.6 中即将停止提供或除去的功能
- AppScan® Source 已停止对单文件扫描 V10.0.0 的支持。
AppScan® Source V10.0.5 中的新增内容
AppScan® Source V10.0.5 中的高级功能和新功能
- KBArticle 服务器已替换为 AppScan Security Info Server。AppScan Security Info Server 的内容和界面已更新,以便更好地为用户提供服务,但其用途与先前 AppScan® Source 版本中的 KBArticle 服务器相同:帮助用户缓解和解决应用程序安全发现结果。
- AppScan® Source 向报告添加了建议信息,以帮助修复发现结果。
- 修复帮助视图已重命名为如何修复。
- AppScan® Source 已添加对 DISA STIG V5r1 报告格式的支持。
此新报告列出了应用程序安全核对表 V5.1 中指定的漏洞类别。在可能的情况下,AppScan® Source 会生成相关结果,以帮助审阅者确定应用程序是否符合 STIG 的要求。
- 在 Windows 和 Linux 上支持 HCL Common Local License Server 2.0。
- AppScan® Source 支持生成结果报告,在其中,结果按修复组分组。
附加 AppScan® Source V10.0.5 和 AppScan® Enterprise V10.0.5 互操作性信息
- 现在,可以使用 AppScan® Enterprise 中 asc.properties 文件中的新属性,根据预期用户响应来均衡从“监控”选项卡中将问题发布到 AppScan® Enterprise 或导入到 AppScan® Enterprise 的速度。请参阅AppScan® Enterprise 文档以获取关于如何使用
issue.import.batch.interval
的详细信息。
AppScan® Source V10.0.5 中的已知问题
- AppScan Source 的语言环境设置应与系统语言环境设置匹配,以避免控制台输出中出现字符乱码。
- 在 Linux 的如何修复视图中存在一些呈现问题。此外,外部引用链接不会从 Linux 的如何修复视图打开;可在外部浏览器中打开文章以正确呈现并访问外部链接。
- 在使用
ounceauto
命令生成报告时,当自动化服务器无法启动 AppScan Security Info 服务器时,报告中未包含如何修复信息。要解决此问题,请在使用ounceauto
生成报告前启动 AppScan® Source for Analysis 或命令行界面(CLI 客户机);AppScan Security Info 服务器由 AppScan® Source for Analysis 和 CLI 客户机自动启动。
AppScan® Source V10.0.4 中的新增内容
AppScan® Source V10.0.4 中的高级功能和新功能
- 自 V10.0.4 起,AppScan® Source 支持以下操作系统:
- Windows Server 2019
- Red Hat Linux V7.8 和 V7.9
有关其他信息,请参阅系统需求和安装必备软件。
- 自 V10.0.4 起,AppScan® Source 支持以下语言和语言版本:
- Java V9、V10 和 V11。
- AdoptOpenJDK 11 是缺省配置
- 指定的任何备用 JDK 都必须为 64 位
- .NET Core 3.1
- 基础结构即代码 (IaC)
有关其他信息,请参阅系统需求和安装必备软件。
- Java V9、V10 和 V11。
AppScan® Source V10.0.4 中的已知问题
- 在 AppScan® Source V9.3.14 或更低版本中创建并在“属性”视图中标记为排除的捆绑包在升级到 AppScan® Source V10.0.0 及更高版本后不会排除结果。应在 AppScan® Source V10.0.0 或更高版本中重新创建捆绑包。
- 对 AppScan® Source for Analysis 客户机中的所有应用程序执行扫描可能会填充“结果”视图,而不会填充修订组。请对单个应用程序执行扫描以避免此结果并在修订组中恰当显示结果。
- 如果评估文件名包含本机字符,则在非英语语言环境中将评估发布到 AppScan® Enterprise 会失败。请从文件名中删除本机字符并重新发布。
AppScan® Source V10.0.3 中的新增内容
AppScan® Source V10.0.3 中的高级功能和新功能
- 自 V10.0.3 开始,AppScan® Source 添加了对以下语言的支持:
- Android Java
- Ionic
- 目标 C
- React Native
- SAP ABAP
- Vue.js
- Xamarin
有关更多信息,请参阅系统要求。
- 对静态分析的修订组支持。
修订组是一种管理、分类和解决在静态分析扫描中发现的问题的新方法。运行静态扫描后,AppScan® Source 会根据漏洞类型和所需修复任务将问题组织到修订组中。有关更多信息,请参阅使用静态分析修订组。
- 作为修订组支持的一部分,在“选择结果报告”对话框中会显示辅助报告的技术预览。报告当前仅显示有关修订组类型的简要信息。在未来的版本中,将向报告功能添加其他深入信息,包括修订组的最佳修订位置。
AppScan® Source V10.0.3 中的已知问题
- CLI 命令
details
间歇性地报告错误。但是,此命令的功能不受影响。ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
-
打开发布到 AppScan® Source 数据库的评估查看修订组信息时,
NULL
可能会显示在修订组类型或修订组标识的位置。将评估保存到本地文件系统,然后使用“打开评估”命令将其打开,以查看已发布静态分析评估的修订组信息。
附加 AppScan Source V10.0.3 安装和互操作性信息
- 如果升级 AppScan® Source 或执行 AppScan® Source V10.0.3 的修复安装,则在先前安装配置了数据库的情况下,您必须手动启动
AppScan Source DB
服务。
AppScan® Source V10.0.2 中的新增内容
AppScan® Source V10.0.2 中的高级功能和新功能
- 自 AppScan® Source V10.0.2 起,需要使用 HCL 许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证。
- AppScan® Source Analysis V10.0.2 不要求连接数据库,即可执行扫描。可在 AppScan® Enterprise 中配置与 AppScan Enterprise 的集成以共享扫描配置和结果。有关断开连接时的功能,详见此处。
- AppScan® Source 推出了对以下语言的支持:Angular 8、Angular 9、Groovy、Symfony 和 TypeScript。有关完整信息,请参阅系统要求。
附加 AppScan® Source V10.0.2 安装和互操作性信息
- 将 AppScan® Source V10.0.2 安装到干净的系统中时,无需安装数据库,因此无需执行数据库配置。配置与 AppScan Enterprise 的集成以存储和检索共享信息。
- 将 AppScan® Source V10.0.2 安装到干净系统中以在连接方式下使用时,需要使用 AppScan® Enterprise V10.0.2。不支持更低版本的 AppScan® Enterprise。此外,AppScan Enterprise Server 必须安装有 User Administration 和 Enterprise Console。
-
从先前版本升级至 AppScan® Source V10.0.2 后,完全支持先前安装的任何数据库,包括配置功能。
- 如果执行 AppScan® Source V10.0.2 的修复安装,则在先前安装配置了数据库的情况下,您必须手动启动
AppScan Source DB
服务。 - 如果升级仅安装了自动化服务器或客户机组件的 AppScan® Source 并且随后执行修复安装,则在 'ounce.ozsettings 中更新以下属性:
name=core_provider value=1
name=connect_mode value=false
- 不支持在 V10.0.2 之前创建的静默安装程序响应文件。必须创建新的静默安装程序响应文件,才能用于 AppScan® Source V10.0.2。
AppScan® Source V10.0.2 中即将停止提供或除去的功能
- AppScan Source 不再支持 IBM 许可证,也无法再在许可证管理器中配置这些许可证。有关其他信息,请参阅如何获取和应用 AppScan Source 产品许可证。
- AppScan® Source V10.0.2 不再支持 Visual Studio 2010。
- SolidDB 不再附带 AppScan® Source,且不再作为解决方案的一部分进行安装。现已安装的 SolidDB 继续受支持。
- “管理”菜单下的“审核日志”选项不再可用。
AppScan® Source V10.0.1 中的新增内容
AppScan® Source V10.0.1 中的高级功能和新功能
- AppScan® Source V10.0.1 具有增强的许可功能,在用户界面中包含对基于 HCL 的许可证的代理支持,允许使用不受信任的证书连接到本地许可证服务器。
- AppScan® Source V10.0.1 引入了
AppScanDelta
。此功能允许用户从命令行执行两个评估之间的差异比较。 - AppScan® Source 支持 NetCore 2.1 和 2.2。
- AppScan® Source V10.0.1 支持 Scala、Swift、Kotlin 和 ReactJS 语言。请参阅系统需求获取更多信息。
- AppScan® Source V10.0.1 支持 DISA STG v4r10 报告格式。
AppScan® Source V10.0.1 中的已知问题
- 如果正在扫描一个来自 2015 版本或更早版本的 Visual Studio 项目,则扫描可能失败,并显示一条要删除 discoverymanager.exe.config 的消息。删除指定的文件并重试。有关更多信息,请参阅此处。
AppScan® Source 互操作性
- AppScan® Enterprise V9.0.3x 和 V10.0.0 必须进行如下配置才能与 AppScan® Source V10.0.1互操作:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® Source V10.0.1 中即将停止提供或除去的功能
自 AppScan® Source V10.0.1 起,即将停止提供以下功能。请进行相应规划。
AppScan® Source V10.0.0 中的新增内容
继 HCL® AppScan® Source 系列产品之后,AppScan® V10.0.0 在技术方面取得了重大改进。HCL 已在 DevSecOps 市场中投资了产品,为现在和将来增强我们市场领先的安全扫描产品奠定了基础。
- 增强功能和新增功能
- AppScan Source V10.0.0 互操作性
- 其他 AppScan Source V10.0.0 安装说明
- V AppScan® Source 中的已知问题10.5.0
- AppScan Source V10.0.0 中即将即将停止提供的功能
- V AppScan® Source 中不再支持的功能10.5.0
AppScan® Source V10.0.0 中的高级功能和新功能
-
IBM® Security AppScan® Source 现在为 HCL® AppScan® Source。
在 2019 年中旬,HCL Technologies 从 IBM 收购了 AppScan® 系列产品,包括 AppScan® Enterprise,AppScan® Standard、AppScan® Source 和 AppScan® on Cloud。现在,所有 AppScan® 产品均由 HCL Software 拥有、开发和推广。所有许可证、徽标、命名约定以及其他知识产权和/或商标权均由 HCL 拥有。因此,所有 AppScan® 产品均已更名,以反映这一所有权及其发展和增长的新阶段。
-
有关 HCL 许可 的介绍 HCL® AppScan® Source
作为从 IBM 到 HCL 过渡的一部分,HCL 正在为 AppScan® 系列产品引入以 HCL 为中心的许可证包。AppScan®、AppScan® Standard 和 AppScan® Source 使用本地 FlexLM 许可证服务器,该服务器通过代理服务器进行认证;AppScan® on Cloud 使用 Okta 提供的市场租赁客户标识访问管理 (CAIM) 系统。
- AppScan® Source 现支持 Go 编程语言 (Golang)。
- AppScan® Source 现在在 Visual Studio 2015、2017 和 2019 中支持 C++ 扫描。
- AppScan® Source 现在支持 Oracle 19c。
- 新的数据流扫描功能可以执行更完整的代码分析,从而获得更多结果。
- 对于 AppScan® Source 包含定制扫描程序的语言,使用 AppScan® Source v10 进行扫描时您可能会发现结果存在显著差异。如果扫描已转换为自定义扫描,这可能会减少结果数量。自定义扫描程序规则不断变化,将进行定期添加,很容易增强。
- 增强了与 Intelligent Code Analytics (ICA) 和 Intelligent Findings Analytics (IFA) 的集成。
启用 ICA/IFA 后,您可以看到和访问“已排除发现结果”选项卡。有关其他信息,请参阅AppScan® Source 文档中的 Intelligent Findings Analytics (IFA)。
缺省情况下,所有扫描均启用 IFA。如果启用,将应用至当前扫描和未来扫描。不能应用至之前扫描的评估。
- 扫描 AppScan® Source 中的 .NET 项目(ASP、WEB、Framework、Core)以反映 HCL AppScan on Cloud 中的进程。.NET 项目在扫描之前必须能够被编译,并且项目属性中必须具有正确的构建规范。
- 要安装和 AppScan® Source 运行基本扫描,必须至少具有 15 GB 空间。但是,所需磁盘空间将随要扫描的应用程序不同而异。建议至少准备 8 GB 的 RAM 和 15-20 GB 的可用磁盘空间。您可能还需要增加 Windows 页面文件要求(有关详细信息,请参阅 Windows 10 中提高电脑性能的提示)。
-
有关系统需求以及扫描和插件支持的其他信息,请参阅系统需求和安装必备软件或联系 HCL 支持人员。
其他 AppScan® Source V10.0.0 安装说明
安装 AppScan® Source V10.0.0 与 Visual Studio 2019 插件时,安装似乎成功完成,但 Visual Studio 2019 插件可能安装不正确。要在 Visual Studio 2019 中安装 AppScan® Source V10.0.0 插件,请执行以下操作:
- 确保在目标系统上安装 HCL® AppScan® Source V10.0.0。在安装过程中选择 Microsoft Visual Studio 2019 插件。
- 如果已在 Visual Studio 2019 目标实例中安装了 V10.0.0 之前版本的 AppScan® Source,请按照以下步骤将其卸载:
- 启动目标 Visual Studio 2019 实例。
- 打开 。
- 在已安装选项卡上,从列表中选择 AppScan Source 插件。
- 单击卸载插件,然后按照提示完成卸载。
- 按照如下步骤操作,将 HCL® AppScan® Source V10.0.0 插件安装到 Visual Studio 2019 实例:
- 关闭所有 Visual Studio 2019 实例。
- 从HCL® AppScan® Source 版本下载网站下载 VS2019Plugin.zip。
- 将压缩文件的内容解压到 <AppScan Source Install Dir>(缺省位置为 C:\Program Files (x86)\IBM\AppScanSource)。出现提示时,所有选项都选择是。
- 在 <AppScan Source Install Dir>/bin 目录中双击 AppScanSrcPlugin.vsix。
- 在生成的“VSIX 安装程序”对话框中,选择Visual Studio <Edition> 2019,然后单击安装。
基于机器上安装的内容,版本可以是专业版、企业版或社区版。可以选择安装多个版本(如有)。
- 安装完成后,关闭对话框。
- 重新启动 Visual Studio 2019。AppScan Source 插件显示在扩展下方。
AppScan® Source V10.0.0 互操作性
- 由于数据库内容(与扫描规则相关)差异,因此 AppScan® Source V10.0.0 客户机无法正确使用 AppScan® Source V10.0.0 以下版本的数据库正确扫描。
- 同样,AppScan® Source V10.0.0 之前的客户也将无法使用 AppScan® Source V10.0.0 数据库正确扫描。
- AppScan® Enterprise V9.0.3.x 无法使用通过 AppScan® Source 10.0.0 数据库实例配置的 AppScan® Source 实例,反之亦然
- AppScan® Enterprise V9.0.3.x 必须按照如下说明配置,才能与 AppScan® Source V10.0.0 互操作:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® Source V10.0.0 中的已知问题
- 以下语言不受支持:
- Arxan C
- WSDL
- 在 WebSphere 中,仅支持缺省 JSP 编译选项。
- 并非所有语言都支持单文件扫描。
- 没有禁用 JSP 文件预编译的机制。JSP 文件将始终进行预编译。
- 停止/取消扫描操作不适用于 Linux 系统。
- 使用命令行界面时,停止/取消操作在 Windows 系统中可能无效。要解决此问题,请重新启动 AppScan® Source 并终止后台进程。
- 从 Windows 系统中卸载 AppScan® Source V10.0.0 时,卸载进程有时会挂起。有关更多信息,请参阅卸载 Windows 上的 AppScan Source 挂起。
- 升级至 AppScan® Source V10.0.0 后, 未生成 PDF 报告。有关更多信息,请参阅在升级场景中 PDF 报告生成期间 AppScan Source 10.0.0 引发 “java.lang.reflect.InvocationTargetException” 异常。
AppScan® Source V10.0.0 中即将即将停止提供的功能
- 定制结果
- 质量度量值
- 电子邮件/设置
- RSS 订阅源
- 应用程序属性
使用 AppScan Enterprise 存储应用程序信息。
- 缺陷跟踪系统集成
使用 AppScan® 问题网关从 AppScan Enterprise 级别集成
AppScan® Source V10.0.0 中不再支持的功能
- 不再支持漏洞高速缓存。
- 不支持增量扫描。
- 不支持非 CPA 扫描。
-
自 V9.0.3.11 起,AppScan® Source 不再支持 macOS 或 iOS Xcode 项目扫描。
AppScan® Source 的一些组件为 32 位。MacOS 10.14 (Mojave) 是支持 32 位应用程序的最后一个 Mac 操作系统版本。
您可以在 Mac 操作系统(包括 10.12 及更高版本)上继续使用 AppScan® Source V9.0.3.10 和更低版本。