新增功能

AppScan® Source 10.6.0 版的新增功能

AppScan® Source 10.6.0 版中的加強和新增功能

AppScan® Source 10.6.0 版中的修正程式與安全更新項目

修正和安全更新將在此處列出。

AppScan® Source 10.6.0 版中的已知問題

  • AppScan® Source Eclipse 外掛程式所需的 Draw2d jar 無法在「Java Developers」的 Eclipse IDE 中使用。

    若要暫時解決這個問題,請手動下載此 jar,並先將其複製到 eclipse\plugins 資料夾,然後再安裝外掛程式。

AppScan® Source 10.6.0 版起接近結束期限或移除的功能

  • 從 10.7.0 版開始,授權程序即將變更。此變更不會影響現有的使用。請密切注意 HCL AppScan 提供的更多詳細資訊和最新消息。
  • 不再支援 DISA 應用程式與安全性開發 STIG V4R10 報告。

AppScan® Source 10.5.0 版的新增功能

AppScan® Source 10.5.0 版中的加強和新增功能

其他 AppScan® Source 升級資訊

升級 AppScan® Source 時,請遵循下列步驟,將 AppScan® Source 外掛程式安裝至 Visual Studio 2022 實例:
  1. 關閉所有 Visual Studio 2022 實例。
  2. HCL 軟體下載和授權管理入口網站下載 VS2022Plugin.zip
  3. 將 zip 檔的內容解壓縮至預設安裝目錄。

    預設位罝是 C:\Program Files\HCL\AppScanSource

  4. <default_installation_directory>/bin 中按兩下 AppScanSourcePlugin2022.vsix
  5. 在產生的「VSIX 安裝程式」對話框中,選取 Visual Studio <版本> 2022,然後按一下安裝

    根據在系統上安裝的項目,版本可以是 Professional、Enterprise 或 Community。如果可用,您可以選擇安裝一個以上的版本。

  6. 當安裝完成時,請關閉對話框。
  7. 重新啟動 Visual Studio 2022。

    AppScan® Source 外掛程式會顯示在延伸模組下方。

AppScan® Source 10.5.0 版中的修正程式與安全更新項目

修正和安全更新將在此處列出。

AppScan® Source 10.5.0 版中的已知問題

  • CAC 鑑別無法與 AppScan® Source Eclipse 外掛程式中的 TLS 1.2 搭配使用
    若要暫時解決這個問題,請將以下內容新增至 -vmargs 下的 eclipse.ini 檔:
    --add-exports=java.base/sun.security.internal.spec=ALL-UNNAMED
  • 用於掃描個別檔案或資料夾或子資料夾中檔案集合的右鍵選項,不會保留基本資料夾內容下的選項。
  • 如果重新命名為了在檔案系統層次進行掃描而設定的資料夾,可能會導致非預期的結果。

    若要暫時解決這個問題,請使用移除資料夾選項來移除、重新命名並再次新增該資料夾。

  • 當使用資料夾掃描產生評量時,在「發現項目」視圖中排除發現項目和在「已排除的發現項目」視圖中包括發現項目的過濾器會無法運作。

AppScan® Source 10.5.0 版起接近結束期限或移除的功能

  • Microsoft Visual Studio 2013 將於 2024 年 4 月 9 日終止支援 (EOS)。HCL® AppScan® Source 在 EOS 日期之後將不支援 Microsoft Visual Studio 2013。

AppScan® Source 10.4.0 版的新增功能

HCL® AppScan® Source 10.4.0 版是 HCL® AppScan® Source 主要版本 10.0.0 發行之後的第十二個修正套件版本。

AppScan® Source 10.4.0 版中的加強和新增功能

  • AppScan® Source 支援 Windows 11
  • AppScan® Source 支援 Red Hat Enterprise Linux 8.8
  • AppScan® Source 支援在授權不可用的情況下,使用指令行介面 (CLI) 掃描指令ounceauto ScanApplication 指令起始具等待時間的掃描。

    AppScan® Source for Automation 授權不可用時,掃描的等待時間為 CLI.ozsettings 中所配置的時段,或是 scan 指令中以 -waitforlicense 引數傳遞的值。將等待時間的值設定為零即可停用該功能。

  • AppScan® Source 支援僅限密碼掃描,您可以使用僅限密碼專案,或使用具有 scan CLI 指令-secretsonly 參數進行資料夾掃描。

    如果在掃描的程式碼中偵測到秘密,則僅限秘密掃描會針對這類秘密檢查寫在程式中的密碼、信用卡卡號和社會保險號碼 (SSN)。

  • AppScan® Source 可讓您透過編輯應用程式專案內容來啟用或停用僅限原始碼掃描的密碼掃描,或使用具有 scan CLI 指令-enablesecrets 參數進行資料夾掃描。您也可以在建立專案時啟用秘密掃描。

    如果在掃描的程式碼中偵測到秘密,則秘密掃描和其他相關掃描器會針對這類秘密檢查寫在程式中的密碼、信用卡卡號和社會保險號碼 (SSN)。

  • AppScan® Source 支援使用 GitHub ActionGitLab CI/CD 以及 AppScan® Source 指令行介面 (CLI) 儲存器來將掃描自動化。

AppScan® Source 10.4.0 版中的修正程式與安全更新項目

修正和安全更新將在此處列出。

AppScan® Source 10.4.0 版起接近結束期限或移除的功能

  • 不再支援 RSS 資訊來源。

AppScan® Source 10.3.0 版的新增功能

AppScan® Source 10.3.0 版中的加強和新增功能

  • AppScan® Source 支援使用指令行介面 (CLI)工具功能表ounceauto 指令,將掃描發現項目匯出為 CSV 和 SARIF 檔案格式。
  • HCL®AppScan® Source for Development (Eclipse Plug-in) 支援 Eclipse IDE 2022-09。
  • AppScan® Source 支援 Rust
  • 10.3.0 版 AppScan® Source 已加強支援 JavaRuby 的掃描功能。
  • AppScan® Source 支援密碼掃描
  • AppScan® Source 指令行介面 (CLI) 支援比較兩個評量檔
  • AppScan® Source 支援在 Podman 環境中執行指令行介面 (CLI) 儲存器。
  • Data Access API 需要 JDK 11 或更新的版本。
  • AppScan® Source 支援使用 JenkinsAzure 以及 AppScan® Source 指令行介面 (CLI) 儲存器自動化掃描。

AppScan® Source 10.3.0 版中的修正程式與安全更新項目

修正和安全更新將在此處列出。

AppScan® Source 10.3.0 版中的已知問題

  • 依預設,AppScan® Source 會使用 Java 11 來編譯 Java 專案。如果您的專案與 Java 11 不相容,且您想要配置掃描以使用不同的 Java 編譯器版本,請遵循此處提供的步驟。
  • 當使用 AppScan® Source 指令行介面 (CLI) 來掃描包含 AndroidManifest.xml 的資料夾時,掃描失敗並顯示錯誤:An error occurred copying files to the staging directory
    若要暫時解決這個問題,請採用以下其中一個方法:
    • 使用 appscan-config.xml 來配置掃描。
    • 從目標資料夾及/或子資料夾中刪除(或移動)AndroidManifest.xml

AppScan® Source 10.3.0 版起接近結束期限或移除的功能

  • 不再支援 HCL® AppScan® Source for Development(RAD 外掛程式)。

  • 在 Eclipse IDE 4.13 (2019-09) 上不再支援 HCL® AppScan® Source for Development(Eclipse 外掛程式)

AppScan® Source 10.2.0 版的新增功能

AppScan® Source 10.2.0 版中的加強和新增功能

  • AppScan® Source 可讓您在授權配置檔中配置授權非作用時間。
  • AppScan® Source CLI 現在只允許在掃描資料夾時掃描原始碼
  • 專案副檔名喜好設定現在會在下拉清單中列出可用的語言/專案類型,而不是在分頁上顯示。
  • AppScan® Source 支援 Red Hat Linux 8.6
  • AppScan® Source 支援 .NET 7

其他 AppScan® SourceAppScan® Enterprise 交互作業能力資訊

  • AppScan® Enterprise 10.2.0 版已升級 CVSS 3.1 的支援。如果 AppScan® Source 使用者升級至 AppScan® Enterprise 10.2.0 版,則由於 CVSS 3.1 規格的特質,嚴重性值可能會出現差異。請在此處深入瞭解

AppScan® Source 10.2.0 版中的修正程式與安全更新項目

修正和安全更新將在此處列出。

AppScan® Source 10.2.0 版中的已知問題

  • 在 Windows 2016 上執行 AppScan® Source 且使用非英文語言環境時,AppScan® Source 無法將評量發佈至 AppScan® Enterprise
  • 使用 C# 檔案掃描資料夾時,資料夾掃描會使用 Xamarin 掃描器。當使用者也並未使用 Xamarin 時,這可能會導致大量的誤判。

AppScan® Source 10.1.0 版的新增功能

AppScan® Source 10.1.0 版中的加強和新增功能

  • AppScan® Source 支援 Red Hat Enterprise Linux 8.3
  • Eclipse IDE 2022-06 現在支援 HCL®AppScan® Source for Development (Eclipse Plug-in)
  • AppScan® Source 支援 Java 17,並將其納入安裝套件中。
  • AppScan® Source 支援 Tomcat 9,並將其納入安裝套件中。
  • AppScan® Source 現在可不必先建立 .PAF 或 .PPF 檔,也能掃描資料夾
  • 擴充對 Ruby、Groovy、JavaScript 和 PHP 掃描的支援。請在此處尋找系統需求資訊。

其他 AppScan® SourceAppScan® Enterprise 交互作業能力資訊

AppScan® Source 10.1.0 版支援 AppScan® Enterprise Server 10.1.0 版。AppScan® Source 10.0.8 版及更早版本支援 AppScan® Enterprise Server 10.1.0 版。請升級這兩個產品,以確保適當的交互作業能力。

AppScan® Source 10.1.0 版中的修正程式與安全更新項目

修正和安全更新將在此處列出。

AppScan® Source 10.1.0 版起接近結束期限或移除的功能

  • 已移除下列報告和報告過濾器:
    • CWE SANS Top 25 2011 報告
    • OWASP Top 10 2013 報告
    • CWE SANS Top 25 2011 報告過濾器
    • OWASP Top 25 2010 報告過濾器
    • OWASP Top 25 2013 報告過濾器
  • 不再支援問題報告追蹤系統整合。
  • 不再支援透過電子郵件傳送發現項目。

  • 不再支援品質度量。
  • Tomcat 7 不再納入 AppScan® Source 安裝套件中。
  • AppScan® Source 將會在未來版本中捨棄對 SolidDB 和 OracleDB 的支援。

AppScan® Source 10.0.8 版的新增功能

HCL® AppScan® Source 10.0.8 版是 HCL® AppScan® Source 主要版本 10.0.0 發行之後的第八個修正套件版本。

AppScan® Source 10.0.8 版中的加強和新增功能

AppScan® Source 10.0.8 版中的修正程式與安全更新項目

修正和安全更新將在此處列出。

AppScan® Source 10.0.8 版中的已知問題

  • 使用 Eclipse 外掛程式時,AppScan® Source for Development 必須使用 Java 8 進行配置。

AppScan® Source 10.0.7 版的新增功能

HCL® AppScan® Source 10.0.7 版是 HCL® AppScan® Source 主要版本 10.0.0 版發行之後的第七個修正套件版本。

AppScan® Source 10.0.7 版中的加強和新增功能

AppScan® Source 10.0.7 版中的修正程式與安全更新項目

修正和安全更新將在此處列出。

AppScan® Source 10.0.7 版中的已知問題

  • 在 Windows 上,從 AppScan® Source 9.0.3.x 或 10.0.0 版升級至 AppScan® Source 10.0.7 版時,您必須先執行 AppScan® Source 10.0.1 與 10.0.6 版之間的臨時升級。
    重要: 請勿解除安裝再重新安裝。若要維護資料庫,您必須採取兩個步驟進行升級 。
  • 使用 Oracle 資料庫配置的 AppScan® Source,需要使用 16 個或以上字元的高保護性密碼。

AppScan® Source 10.0.7 版中接近結束期限或移除的功能

  • 對 SolidDB/Oracle 的支援將在 AppScan® Source 的未來版本中移除。請立即制定計畫,將資料從 SolidDB/Oracle 移轉至 AppScan® Enterprise Server,無論是手動或透過資料庫移轉公用程式執行。

AppScan® Source 10.0.6 版的新增功能

AppScan® Source 10.0.6 版中的加強和新增功能

  • 如同在 AppScan® Source for Analysis 中一樣,Visual Studio 外掛程式中的「發現項目」視圖現在依預設會依修正程式群組來顯示發現項目。
  • AppScan® Source for Analysis 中用於比較評量的演算法,已更新為新的演算法。AppScan® Source for Analysis 用戶端的評量比較結果會與 AppScanDelta 指令一致;不過,可能會與舊版 AppScan® Source 的比較結果有一些差異。
  • 在演算法更新中,您現在可以選擇從 AppScan® Source for Analysis「評量差異」視圖中,儲存新發現項目和/或已解決發現項目的評量。

  • AppScan® Source 支援 C/C++、.Net 和 Java 的僅限原始碼掃描
  • AppScan® Source 已將公告資訊新增至業界標準報告,以協助發現項目的補救。
  • AppScan® Source 支援使用「主旨替代名稱 - 多網域 (SAN)」憑證進行 CAC 鑒別
  • AppScan® Source 支援 Dart 程式設計語言
  • 支援 Linux 系統上的停止/取消掃描。

AppScan® Source 10.0.6 版中的修正程式與安全更新項目

  • 修正和安全更新將在此處列出。

AppScan® Source 10.0.6 版中的已知問題

  • 如果您使用以 AppScan® Source 10.0.5 版或更早版本建立的 Objective-C .paf/.ppf 檔案來執行掃描,則 Objective-C 專案的掃描會失敗。請在 AppScan® Source 10.0.6 版中重新配置 Objective-C 專案,然後再試一次。

AppScan® Source 10.0.6 版中接近結束期限或移除的功能

  • AppScan® Source 已停止支援單一檔案掃描版本 10.0.0。

AppScan® Source 10.0.5 版的新增功能

HCL® AppScan® Source 10.0.5 版是 HCL® AppScan® Source 主要版本 10.0.0 發行之後的第五個修正套件版本。

AppScan® Source 10.0.5 版中的加強和新增功能

  • KBArticle 伺服器已取代為 AppScan Security Info ServerAppScan Security Info Server 的內容和介面已更新,為使用者提供更好的服務,但提供與先前 AppScan® Source 版本中的 KBArticle 伺服器相同的用途:協助使用者緩解和解決應用程式安全發現項目。
  • AppScan® Source 已將公告資訊新增至報告,以協助發現項目補救。
  • 補救協助視圖已重新命名為如何修正
  • AppScan® Source 已新增對 DISA STIG v5r1 報告格式的支援。

    這個新報告列出了 Application Security Checklist 第 5 版發行版 1 中指定的漏洞種類。AppScan® Source 會儘可能產生相關結果,以協助檢閱人員判定應用程式是否符合 STIG 的需求。

  • WindowsLinux 上都支援 HCL Common Local License Server 2.0。
  • 產生發現項目報告AppScan® Source 支援,其中發現項目是按修正程式群組分組。

其他 AppScan® Source 10.0.5 版及 AppScan® Enterprise 10.0.5 版交互作業能力資訊

  • 現在,您可以使用 AppScan® Enterpriseasc.properties 檔案的新內容,根據想要的使用者回應,來平衡從監視標籤發佈至 AppScan® Enterprise 或將問題匯入至 AppScan® Enterprise 的速度。請參閱 AppScan® Enterprise 說明文件,以瞭解使用 issue.import.batch.interval 內容的詳細資料。

AppScan® Source 10.0.5 版中的已知問題

  • 為 AppScan Source 設定的語言環境應該符合系統語言環境,以避免主控台輸出中出現亂碼字元。
  • Linux 上的如何修正視圖有一些呈現問題。此外,外部參照連結不會從 Linux 上的如何修正視圖中開啟;在外部瀏覽器中開啟文章以正確呈現並存取外部連結。
  • 當自動化伺服器無法啟動 AppScan Security Info 伺服器,導致使用 ounceauto 指令來產生報告時,如何修正資訊不會包含在報告中。若要暫時解決這個問題,請在使用 ounceauto 產生報告之前,先啟動 AppScan® Source for Analysis 或指令行介面(CLI 用戶端);AppScan Security Info 伺服器會由 AppScan® Source for Analysis 及 CLI 用戶端自動啟動。

AppScan® Source 10.0.4 版的新增功能

HCL® AppScan® Source 10.0.4 版是 HCL® AppScan® Source 主要版本 10.0.0 發行之後的第四個修正套件版本。

AppScan® Source 10.0.4 版中的加強和新增功能

  • 從 10.0.4 版起,AppScan® Source 支援下列作業系統:
    • Windows Server 2019
    • Red Hat Linux 7.8 和 7.9 版

    如需其他資訊,請參閱 系統需求和安裝必備項目

  • 從 10.0.4 版起,AppScan® Source 支援以下語言和語言版本:
    • Java 第 9、10、11 版:
      • 預設值為 AdoptOpenJDK 11
      • 指定的任何替代 JDK 都必須為 64 位元
    • .NET Core 3.1
    • 基礎架構即代碼 (IaC)

    如需相關資訊,請參閱 系統需求和安裝必備項目

AppScan® Source 10.0.4 版中的已知問題

  • AppScan® Source 9.3.14 版或更舊版本中建立,並在「內容」視圖中標記為排除的組合,在升級至 AppScan® Source 10.0.0 版及更新版本後不會排除發現項目。應在 AppScan® Source 10.0.0 版或更新版本中重新建立組合。
  • 若對 AppScan® Source for Analysis 用戶端中的所有應用程式執行掃描,可能會移入「發現項目」視圖,但不會移入修正程式群組。務必只對個別應用程式執行掃描避免此結果,並且在修正群組中適當地顯示發現項目。
  • 如果評量檔名包含原生字元,則無法在英文以外的語言環境中,將評量發佈至 AppScan® Enterprise。請從檔名移除原生字元,然後重新發佈。

AppScan® Source 10.0.3 版的新增功能

HCL® AppScan® Source 10.0.3 版是 HCL® AppScan® Source 主要版本 10.0.0 發行之後的第三個修正套件版本。

AppScan® Source 10.0.3 版中的加強和新增功能

  • 從 10.0.3 版起,AppScan® Source 新增對下列語言的支援:
    • Android Java
    • Ionic
    • Objective C
    • React Native
    • SAP ABAP
    • Vue.js
    • Xamarin

    如需其他資訊,請參閱系統需求

  • 靜態分析的修正程式群組支援。

    修正程式群組是一種新方法,用來管理、分類及解決在靜態分析掃描中發現的問題。執行靜態掃描之後,AppScan® Source 就會根據漏洞類型和必要的補救作業,將問題整理到修正程式群組。如需其他資訊,請參閱使用靜態分析修正程式群組

  • 作為修正程式群組支援的一部分,在「選取發現項目報告」對話框中可以看到伴隨報告的技術預覽。報告目前僅顯示有關修正程式群組類型的高階資訊。在未來版本中,將對報告功能加入額外深度,包括修正群組的最佳修正位置。

AppScan® Source 10.0.3 版中的已知問題

  • CLI 指令 details 間歇性地報告錯誤。但是,指令的功能不受影響。
    ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
  • 開啟已發佈至 AppScan® Source 資料庫的評量來檢視修正程式群組資訊時,NULL 可能會取代修正程式群組類型或修正程式群組 ID 顯示。將評量儲存至本端檔案系統,然後使用「開啟評量」指令開啟評量,以檢視已發佈靜態分析評量的修正程式群組資訊。

其他 AppScan Source 10.0.3 版安裝及交互作業能力資訊

  • 當先前安裝已與資料庫進行配置時,如果您升級 AppScan® Source 或執行 AppScan® Source 10.0.3 版的修復安裝,則必須手動啟動 AppScan Source DB 服務。

AppScan® Source 10.0.2 版的新增功能

HCL® AppScan® Source 10.0.2 版是 HCL® AppScan® Source 主要版本 10.0.0 發行之後的第二個修正套件版本。

AppScan® Source 10.0.2 版中的加強和新增功能

  • AppScan® Source 10.0.2 版起,需要 HCL 授權。請參閱如何取得和申請 AppScan Source 產品的授權,取得相關資訊。
  • AppScan® Source for Analysis 10.0.2 版不需要連接資料庫即可執行掃描。共用掃描配置和結果的與 AppScan Enterprise 整合配置在 AppScan® Enterprise 中。此處有斷線功能的詳細說明。
  • AppScan® Source 推出針對下列語言的支援:Angular 8、Angular 9、Groovy、Symfony 及 TypeScript。如需完整資訊,請參閱系統需求

其他 AppScan® Source 10.0.2 版安裝及交互作業能力資訊

  • AppScan® Source 10.0.2 版安裝至全新系統時,沒有要安裝的資料庫,因此不需要執行資料庫配置。配置與 AppScan Enterprise 整合,以儲存及擷取共用資訊。
  • AppScan® Source 10.0.2 版安裝至全新系統以在連線模式中使用時,需要 AppScan® Enterprise 10.0.2 版。不支援舊版 AppScan® Enterprise。此外,也須安裝 AppScan Enterprise Server,並同時安裝使用者管理Enterprise Console
  • 從舊版升級至 AppScan® Source 10.0.2 版時,先前安裝的任何資料庫都受到完整支援,包括配置功能。

  • 當先前安裝已與資料庫進行配置時,如果您執行 AppScan® Source 10.0.2 版的修復安裝,則必須手動啟動 AppScan Source DB 服務。
  • 如果您升級 AppScan® Source,其中僅安裝自動化伺服器或用戶端元件,並在稍後執行修復安裝,請更新 'ounce.ozsettings 中的下列內容:
    • name=core_provider value=1
    • name=connect_mode value=false
  • 不支援在 10.0.2 版之前建立的無聲自動安裝程式回應檔。必須建立新的無聲自動安裝程式回應檔,才能與 AppScan® Source 10.0.2 版搭配使用。

AppScan® Source 10.0.2 版中接近結束期限或移除的功能

  • AppScan Source 不再支援 IBM 授權,因此再也無法在授權管理程式中配置它們。請參閱如何取得和申請 AppScan Source 產品的授權,取得相關資訊。
  • AppScan® Source 10.0.2 版不再支援 Visual Studio 2010。
  • AppScan® Source 不再隨附 SolidDB,並且 SolidDB 的安裝不屬於解決方案的一部分。現已安裝的 SolidDB 會繼續獲得支援。
  • 管理員功能表裡不會再有審核日誌選項。

AppScan® Source 10.0.1 版的新增功能

HCL® AppScan® Source 10.0.1 版是 HCL® AppScan® Source 主要版本 10.0.0 發行之後的第一個修正套件版本。隨著這個版本的發行,AppScan® 團隊距離我們領先業界的安全掃描系列產品定期及頻繁更新的持續發行模型更近一步。

AppScan® Source 10.0.1 版中的加強和新增功能

  • AppScan® Source 10.0.1 版已加強授權功能,包括在使用者介面中針對 HCL 型授權的 Proxy 支援,可以使用不受信任的憑證與本端授權伺服器連線。
  • AppScan® Source 10.0.1 版引進了 AppScanDelta。此特性可讓使用者執行從指令行進行兩個評量之間的差異比較
  • AppScan® Source 支援 NetCore 2.1 和 2.2。
  • AppScan® Source 10.0.1 版包含針對 Scala、Swift、Kotlin 和 ReactJS 語言的支援。如需其他資訊,請參閱系統需求
  • AppScan® Source 10.0.1 版支援 DISA STG v4r10 報告格式。

AppScan® Source 10.0.1 版中的已知問題

  • 如果您掃描的是來自 2015 或更舊版本的 Visual Studio 專案,掃描可能會失敗,並且顯示要刪除 discoverymanager.exe.config 的訊息。請刪除指定的檔案然後再試一次。如需相關資訊,請參閱這裡

AppScan® Source 交互作業能力

  • 必須如下所述配置 9.0.3x 版和 10.0.0 版的 AppScan® Enterprise,才能與 AppScan® Source 10.0.1 版交互作業:
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan® Source 10.0.1 版中接近結束期限或移除的功能

AppScan® Source 10.0.1 版起,下列功能已接近結束期限。請做好因應規劃。

  • 重要事項!在新版本 AppScan® 中針對 IBM 授權的支援,將會在 2020 年第三季(八月/九月)結束。後續新版本的 AppScan® 產品支援 HCL 授權。如需授權的其他資訊,請參閱啟動軟體。您也可以聯絡 HCL 業務代表或 HCL 支援中心
  • 從 2020 年第三季(八月/九月)開始,SolidDB 不會再隨著產品更新出貨。現有安裝仍然受到支援。

AppScan® Source 10.0.0 版的新增功能

HCL® AppScan® Source 10.0.0 版大幅提升 AppScan® 系列產品背後的技術。為了現在和將來,HCL 已投資於 DevSecOps 市場中的產品,奠定基礎來強化我們領先市場的安全掃描產品。

AppScan® Source 10.0.0 版中的加強和新增功能

  • IBM® Security AppScan® Source 現在是 HCL® AppScan® Source

    在 2019 年中旬,HCL Technologies 收購 IBM 的 AppScan® 系列產品,包括 AppScan® EnterpriseAppScan® Standard、AppScan® SourceAppScan® on Cloud。所有 AppScan® 產品現在由 HCL Software 所擁有、開發及提升。所有授權、標誌、命名慣例及其他智慧財產權由 HCL 擁有。因此,所有 AppScan® 產品都已更換品牌,以反映此擁有權及其開發和成長階段。

  • 引進 HCL® AppScan® Source 的 HCL 授權

    從 IBM 移轉到 HCL 的過程中,HCL 針對 AppScan® 系列產品,引進 HCL 核心授權套件。AppScan®AppScan® Standard 及 AppScan® Source 使用本端 FlexLM 授權伺服器、透過 Proxy 伺服器鑑別;AppScan® on Cloud 採用 Okta 領先市場的客戶身分存取管理 (CAIM) 系統。

  • AppScan® Source 現在支援 Go 程式設計語言 (Golang)。
  • AppScan® Source 現在於 Visual Studio 2015、2017 和 2019 中支援 C++ 掃描。
  • AppScan® Source 現在支援 Oracle 19c。
  • 新的資料流掃描功能執行更完整的程式碼分析,產生更多發現項目。
  • 若是針對 AppScan® Source 具有自訂掃描器的語言,您在使用 AppScan® Source 第 10 版掃描時,可能會在發現項目中看見標示的差異。在掃描已轉換為自訂掃描的狀況中,這可能表示發現項目的減少。自訂掃描器的規則正在發展並定期增添中,且易於增強。
  • 加強與「智慧型程式碼分析 (ICA)」和「智慧型發現項目分析 (IFA)」的整合。

    啟用 ICA/IFA 時,您會看到且可以存取「已排除的發現項目」標籤。如需相關資訊,請參閱 AppScan® Source 說明文件中的智慧型發現項目分析 (IFA)

    根據預設,所有掃描的 IFA 已啟用。啟用時,會套用到目前掃描與未來掃描。無法將此功能從先前掃描套用到評量。

  • AppScan® Source 中掃描 .NET 專案(ASP、WEB、Framework、Core),與 HCL AppScan on Cloud 中的處理程序相似。.NET 專案必須先完成編譯,才能掃描,而且在專案內容中必須有正確的建置規格。
  • 15 GB 是安裝 AppScan® Source 和執行基本掃描所需的最小空間量。但是,所需的磁碟空間隨著要掃描的應用程式而不同。建議至少要有 8 GB 的 RAM 和 15-20 GB 的可用磁碟空間。您也可能需要提高 Windows 分頁檔需求(如需相關資訊,請參閱改善 Windows 10 電腦效能的提示)。
  • 如需系統需求、掃描以及外掛程式支援的相關資訊,請參閱 系統需求和安裝必備項目 或聯絡 HCL 支援中心

其他 AppScan® Source 10.0.0 版的安裝指示

當使用 Visual Studio 2019 外掛程式安裝 AppScan® Source 10.0.0 版時,即便安裝看來順利完成,但 Visual Studio 2019 外掛程式可能未適當安裝。

若要在 Visual Studio 2019 中安裝 AppScan® Source 10.0.0 版外掛程式:

  1. 請確定 HCL® AppScan® Source 10.0.0 版是安裝在目標系統上。在安裝期間選取 Microsoft Visual Studio 2019 外掛程式。
  2. 如果 AppScan® Source 10.0.0 之前的版本已安裝至 Visual Studio 2019 的目標實例,請如下所示將其解除安裝:
    1. 啟動目標 Visual Studio 2019 實例。
    2. 開啟至 Visual Studio > 延伸模組 > 管理延伸模組
    3. 在「已安裝」標籤上,從清單中選取「AppScan Source 外掛程式」。
    4. 按一下「解除安裝外掛程式」,然後遵循提示完成解除安裝。
  3. HCL® AppScan® Source 10.0.0 版外掛程式安裝至 Visual Studio 2019 實例,如下所示:
    1. 關閉所有 Visual Studio 2019 實例。
    2. HCL® AppScan® Source 版本下載網站下載 VS2019Plugin.zip
    3. 將 zip 檔的內容解壓縮至 <AppScan Source Install Dir>(預設位置是 C:\Program Files (x86)\IBM\AppScanSource)。出現提示時,針對所有選項選擇「」。
    4. <AppScan Source Install Dir>/bin 目錄中按兩下 AppScanSrcPlugin.vsix
    5. 在產生的「VSIX 安裝程式」對話框中,選取 Visual Studio <版本> 2019,然後按一下安裝

      根據在機器上安裝的項目,版本可以是 Professional、Enterprise 或 Community。如果可用,您可以選擇安裝一個以上的版本。

    6. 當安裝完成時,請關閉對話框。
    7. 重新啟動 Visual Studio 2019。「AppScan Source 外掛程式」會顯示在「延伸模組」下方。

AppScan® Source 10.0.0 版交互作業能力

HCL® AppScan® Source 10.0.0 需要 AppScan® Source 10.0.0 資料庫(SolidDB 或 Oracle):
  • AppScan® Source 10.0.0 用戶端將無法透過 10.0.0 以前的 AppScan® Source 資料庫正確地掃描,這是因為資料庫內容與掃描規則相關,造成內容的差異。
  • 同樣的,10.0.0 以前的 AppScan® Source 用戶端將無法透過 10.0.0 AppScan® Source 資料庫正確地掃描。
AppScan® Source 10.0.0 將與 AppScan® Enterprise 9.0.3.x 以前的版本交互作業:
  • 9.0.3.x 版的 AppScan® Enterprise 無法使用以 AppScan® Source 10.0.0 資料庫實例配置的 AppScan® Source 實例,反之亦然
  • 必須如下所述配置 9.0.3.x 版的 AppScan® Enterprise,才能與 AppScan® Source 10.0.0 交互作業:
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

AppScan® Source 10.0.0 版中的已知問題

本節涵蓋 AppScan® Source 10.0.0 版的相關資訊、已知限制及因應措施。
  • 不支援下列語言:
    • Arxan C
    • WSDL
  • 在 WebSphere 上,僅支援預設的 JSP 編譯選項。
  • 單一檔案掃描並非適用於所有的語言。
  • 沒有機制可停用 JSP 檔案的前置編譯。JSP 檔案將一律前置編譯。
  • 「停止/取消掃描」在 Linux 系統上不會運作。
  • 當使用指令行介面時,「停止/取消」可能無法在 Windows 系統上運作。若要暫時解決這個問題,請重新啟動 AppScan® Source 並且結束背景處理程序。
  • AppScan® Source 10.0.0 版從 Windows 系統解除安裝時,解除安裝處理程序有時會當機。如需相關資訊,請參閱在 Windows 解除安裝 AppScan Source 會當機
  • 在升級至 AppScan® Source 10.0.0 版之後,系統不會產生 PDF 報告。如需相關資訊,請參閱在升級實務範例中,AppScan Source 10.0.0 在 PDF 報告產生期間擲出 「java.lang.reflect.InvocationTargetException」

AppScan® Source 10.0.0 版中接近結束期限的功能

AppScan® Source 10.0.0 版起,下列功能已接近結束期限。請做好因應規劃。

AppScan® Source 10.0.0 版不再支援的功能

  • 不再支援漏洞快取。
  • 不支援增量掃描。
  • 不支援非 CPA 掃描。
  • 從 9.0.3.11 版起,AppScan® Source 不再支援 macOS 或 iOS Xcode 專案掃描。

    AppScan® Source 的部分元件為 32 位元。MacOS 10.14 (Mojave) 是支援 32 位元應用程式的最新 Mac 作業系統版本。

    您可以繼續在 Mac 10.12(含)以下作業系統上使用 AppScan® Source 9.0.3.10 版及更早版本。