新增功能
探索這些已新增至 AppScan® Source 的新特性,並指出在這個版本中已淘汰的任何特性與功能。
- AppScan Source 10.6.0 版的新增功能
- AppScan Source 10.5.0 版的新增功能
- AppScan Source 10.4.0 版的新增功能
- AppScan Source 10.3.0 版的新增功能
- AppScan Source 10.2.0 版的新增功能
- AppScan Source 10.1.0 版的新增功能
- AppScan Source 10.0.8 版的新增功能
- AppScan Source 10.0.7 版的新增功能
- AppScan Source 10.0.6 版的新增功能
- AppScan Source 10.0.5 版的新增功能
- AppScan Source 10.0.4 版的新增功能
- AppScan Source 10.0.3 版的新增功能
- AppScan Source 10.0.2 版的新增功能
- AppScan Source 10.0.1 版的新增功能
- AppScan Source 10.0.0 版的新增功能
AppScan® Source 10.6.0 版的新增功能
AppScan® Source 10.6.0 版中的加強和新增功能
- AppScan® Source 支援 Windows Server 2022。
- AppScan® Source 支援 WebSphere Application Server 9.0 版。
- AppScan® Source 支援 .NET 8。
- 支援 DISA 應用程式與安全性開發 STIG V5R3。
- 掃描資料夾的 AppScan® Source for Analysis 使用者介面改善:
- 支援在使用資料夾掃描產生之評量中排除發現項目。
- 支援保留基本資料夾內容下方之掃描資料夾或子資料夾中個別檔案或多個檔案的選項。
- AppScan® Source for Development(Eclipse 外掛程式)支援 Eclipse IDE 2022-09 至 2024-03。
- 透過支援 Makefile 和 GNUMakefile 的掃描,延伸對 C/C++ 僅限原始碼掃描的支援
- AppScan® Source 支援使用
ounceauto
進行資料夾掃描。 - AppScan® Source 支援透過
scan.ozsettings
檔全域啟用密碼掃描。 - 提高 Java、JavaScript 和 Python 語言及密碼掃描的準確度。
AppScan® Source 10.6.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.6.0 版中的已知問題
- AppScan® Source Eclipse 外掛程式所需的 Draw2d jar 無法在「Java Developers」的 Eclipse IDE 中使用。
若要暫時解決這個問題,請手動下載此 jar,並先將其複製到
eclipse\plugins
資料夾,然後再安裝外掛程式。
從 AppScan® Source 10.6.0 版起接近結束期限或移除的功能
- 從 10.7.0 版開始,授權程序即將變更。此變更不會影響現有的使用。請密切注意 HCL AppScan 提供的更多詳細資訊和最新消息。
- 不再支援 DISA 應用程式與安全性開發 STIG V4R10 報告。
AppScan® Source 10.5.0 版的新增功能
AppScan® Source 10.5.0 版中的加強和新增功能
- AppScan® Source for Analysis 用戶端支援透過使用者介面掃描資料夾。
- 支援掃描階式樣式表 (CSS)。
- AppScan® Source Visual Studio 外掛程式支援 Visual Studio 2022。
- 透過支援新的副檔名,延伸對 IaC、RPG 和 VB.NET 的支援:
- IaC:
.conf
、.curl
、.ini
、.properties
、tf.json
- RPG:
.rpgl
、.sqlrpgle
- VB.NET:
.vbs
- IaC:
- 改善 PHP 掃描的正確性。
- 支援 2023 年 OWASP 前 10 大 API 安全性報告。
-
AppScan® Source 支援在評量檔中包括 GitHub 存放庫資訊,並將其發佈至 AppScan® Enterprise。可以透過
scan.ozsettings
檔啟用此功能。 -
在授權配置檔中新增了適用於使用本端 SSL 憑證的新內容 (
use_local_ssl_cert
)。
其他 AppScan® Source 升級資訊
- 關閉所有 Visual Studio 2022 實例。
- 從 HCL 軟體下載和授權管理入口網站下載
VS2022Plugin.zip
。 - 將 zip 檔的內容解壓縮至預設安裝目錄。
預設位罝是
C:\Program Files\HCL\AppScanSource
。 - 從
<default_installation_directory>/bin
中按兩下AppScanSourcePlugin2022.vsix
。 - 在產生的「VSIX 安裝程式」對話框中,選取 Visual Studio <版本> 2022,然後按一下安裝。
根據在系統上安裝的項目,版本可以是 Professional、Enterprise 或 Community。如果可用,您可以選擇安裝一個以上的版本。
- 當安裝完成時,請關閉對話框。
- 重新啟動 Visual Studio 2022。
AppScan® Source 外掛程式會顯示在延伸模組下方。
AppScan® Source 10.5.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.5.0 版中的已知問題
- CAC 鑑別無法與 AppScan® Source Eclipse 外掛程式中的 TLS 1.2 搭配使用若要暫時解決這個問題,請將以下內容新增至
-vmargs
下的eclipse.ini
檔:--add-exports=java.base/sun.security.internal.spec=ALL-UNNAMED
- 用於掃描個別檔案或資料夾或子資料夾中檔案集合的右鍵選項,不會保留基本資料夾內容下的選項。
- 如果重新命名為了在檔案系統層次進行掃描而設定的資料夾,可能會導致非預期的結果。
若要暫時解決這個問題,請使用移除資料夾選項來移除、重新命名並再次新增該資料夾。
- 當使用資料夾掃描產生評量時,在「發現項目」視圖中排除發現項目和在「已排除的發現項目」視圖中包括發現項目的過濾器會無法運作。
從 AppScan® Source 10.5.0 版起接近結束期限或移除的功能
- Microsoft Visual Studio 2013 將於 2024 年 4 月 9 日終止支援 (EOS)。HCL® AppScan® Source 在 EOS 日期之後將不支援 Microsoft Visual Studio 2013。
AppScan® Source 10.4.0 版的新增功能
AppScan® Source 10.4.0 版中的加強和新增功能
- AppScan® Source 支援 Windows 11。
- AppScan® Source 支援 Red Hat Enterprise Linux 8.8。
- AppScan® Source 支援在授權不可用的情況下,使用指令行介面 (CLI) 掃描指令或 ounceauto ScanApplication 指令起始具等待時間的掃描。
AppScan® Source for Automation 授權不可用時,掃描的等待時間為
CLI.ozsettings
中所配置的時段,或是scan
指令中以-waitforlicense
引數傳遞的值。將等待時間的值設定為零即可停用該功能。 - AppScan® Source 支援僅限密碼掃描,您可以使用僅限密碼專案,或使用具有
scan
CLI 指令的-secretsonly
參數進行資料夾掃描。如果在掃描的程式碼中偵測到秘密,則僅限秘密掃描會針對這類秘密檢查寫在程式中的密碼、信用卡卡號和社會保險號碼 (SSN)。
- AppScan® Source 可讓您透過編輯應用程式或專案內容來啟用或停用僅限原始碼掃描的密碼掃描,或使用具有
scan
CLI 指令的-enablesecrets
參數進行資料夾掃描。您也可以在建立專案時啟用秘密掃描。如果在掃描的程式碼中偵測到秘密,則秘密掃描和其他相關掃描器會針對這類秘密檢查寫在程式中的密碼、信用卡卡號和社會保險號碼 (SSN)。
- AppScan® Source 支援使用 GitHub Action 或 GitLab CI/CD 以及 AppScan® Source 指令行介面 (CLI) 儲存器來將掃描自動化。
AppScan® Source 10.4.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
從 AppScan® Source 10.4.0 版起接近結束期限或移除的功能
-
不再支援 RSS 資訊來源。
AppScan® Source 10.3.0 版的新增功能
AppScan® Source 10.3.0 版中的加強和新增功能
- AppScan® Source 支援使用指令行介面 (CLI)、工具功能表或 ounceauto 指令,將掃描發現項目匯出為 CSV 和 SARIF 檔案格式。
- HCL®AppScan® Source for Development (Eclipse Plug-in) 支援 Eclipse IDE 2022-09。
- AppScan® Source 支援 Rust。
- 10.3.0 版 AppScan® Source 已加強支援 Java 和 Ruby 的掃描功能。
- AppScan® Source 支援密碼掃描。
- AppScan® Source 指令行介面 (CLI) 支援比較兩個評量檔。
- AppScan® Source 支援在 Podman 環境中執行指令行介面 (CLI) 儲存器。
- Data Access API 需要 JDK 11 或更新的版本。
- AppScan® Source 支援使用 Jenkins 或 Azure 以及 AppScan® Source 指令行介面 (CLI) 儲存器自動化掃描。
AppScan® Source 10.3.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.3.0 版中的已知問題
- 依預設,AppScan® Source 會使用 Java 11 來編譯 Java 專案。如果您的專案與 Java 11 不相容,且您想要配置掃描以使用不同的 Java 編譯器版本,請遵循此處提供的步驟。
- 當使用 AppScan® Source 指令行介面 (CLI) 來掃描包含 AndroidManifest.xml 的資料夾時,掃描失敗並顯示錯誤:
An error occurred copying files to the staging directory
。若要暫時解決這個問題,請採用以下其中一個方法:- 使用 appscan-config.xml 來配置掃描。
- 從目標資料夾及/或子資料夾中刪除(或移動)AndroidManifest.xml。
從 AppScan® Source 10.3.0 版起接近結束期限或移除的功能
-
不再支援 HCL® AppScan® Source for Development(RAD 外掛程式)。
-
在 Eclipse IDE 4.13 (2019-09) 上不再支援 HCL® AppScan® Source for Development(Eclipse 外掛程式)
AppScan® Source 10.2.0 版的新增功能
AppScan® Source 10.2.0 版中的加強和新增功能
- AppScan® Source 可讓您在授權配置檔中配置授權非作用時間。
- AppScan® Source CLI 現在只允許在掃描資料夾時掃描原始碼。
- 專案副檔名喜好設定現在會在下拉清單中列出可用的語言/專案類型,而不是在分頁上顯示。
- AppScan® Source 支援 Red Hat Linux 8.6。
- AppScan® Source 支援 .NET 7
其他 AppScan® Source 及 AppScan® Enterprise 交互作業能力資訊
- AppScan® Enterprise 10.2.0 版已升級 CVSS 3.1 的支援。如果 AppScan® Source 使用者升級至 AppScan® Enterprise 10.2.0 版,則由於 CVSS 3.1 規格的特質,嚴重性值可能會出現差異。請在此處深入瞭解。
AppScan® Source 10.2.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.2.0 版中的已知問題
- 在 Windows 2016 上執行 AppScan® Source 且使用非英文語言環境時,AppScan® Source 無法將評量發佈至 AppScan® Enterprise。
- 使用 C# 檔案掃描資料夾時,資料夾掃描會使用 Xamarin 掃描器。當使用者也並未使用 Xamarin 時,這可能會導致大量的誤判。
AppScan® Source 10.1.0 版的新增功能
AppScan® Source 10.1.0 版中的加強和新增功能
- AppScan® Source 支援 Red Hat Enterprise Linux 8.3。
- Eclipse IDE 2022-06 現在支援 HCL®AppScan® Source for Development (Eclipse Plug-in)。
- AppScan® Source 支援 Java 17,並將其納入安裝套件中。
- AppScan® Source 支援 Tomcat 9,並將其納入安裝套件中。
- AppScan® Source 現在可不必先建立 .PAF 或 .PPF 檔,也能掃描資料夾。
- 擴充對 Ruby、Groovy、JavaScript 和 PHP 掃描的支援。請在此處尋找系統需求資訊。
其他 AppScan® Source 及 AppScan® Enterprise 交互作業能力資訊
AppScan® Source 10.1.0 版支援 AppScan® Enterprise Server 10.1.0 版。AppScan® Source 10.0.8 版及更早版本不支援 AppScan® Enterprise Server 10.1.0 版。請升級這兩個產品,以確保適當的交互作業能力。
AppScan® Source 10.1.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
從 AppScan® Source 10.1.0 版起接近結束期限或移除的功能
- 已移除下列報告和報告過濾器:
- CWE SANS Top 25 2011 報告
- OWASP Top 10 2013 報告
- CWE SANS Top 25 2011 報告過濾器
- OWASP Top 25 2010 報告過濾器
- OWASP Top 25 2013 報告過濾器
- 不再支援問題報告追蹤系統整合。
-
不再支援透過電子郵件傳送發現項目。
- 不再支援品質度量。
- Tomcat 7 不再納入 AppScan® Source 安裝套件中。
- AppScan® Source 將會在未來版本中捨棄對 SolidDB 和 OracleDB 的支援。
AppScan® Source 10.0.8 版的新增功能
AppScan® Source 10.0.8 版中的加強和新增功能
- AppScan® Source 指令行介面 (CLI) 已儲存器化,因此可讓應用程式和安全掃描更有效率且更健全。一旦安裝並配置,就可以隨需應變並快速地建立測試環境,而且可以同時執行掃描。如需儲存器化的相關資訊,請參閱 HCL 支援中心的本檔。
- AppScan® Source 支援透過指令行配置授權資訊。
- AppScan® Source 支援 Terraform。
- 支援下列報告:
- 支援下列報告過濾器:
AppScan® Source 10.0.8 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.0.8 版中的已知問題
- 使用 Eclipse 外掛程式時,AppScan® Source for Development 必須使用 Java 8 進行配置。
AppScan® Source 10.0.7 版的新增功能
HCL® AppScan® Source 10.0.7 版是 HCL® AppScan® Source 主要版本 10.0.0 版發行之後的第七個修正套件版本。
AppScan® Source 10.0.7 版中的加強和新增功能
- 從 10.0.7 版起,AppScan® Source 的安裝路徑已更新(以
HCL
取代IBM
)。不過,從 10.0.6 版或更舊版本升級時,會保留在路徑中使用
IBM
的原始安裝路徑。 - AppScan® Source 支援 IBM RPG 專案。
- AppScan® Source 支援 .NET 5/6。
- AppScan® Source 支援 OWASP Top 10 2021 報告。
- 啟用「共用存取卡 (CAC)」鑑別不再需要手動更新 java.security 檔案。
AppScan® Source 10.0.7 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.0.7 版中的已知問題
- 在 Windows 上,從 AppScan® Source 9.0.3.x 或 10.0.0 版升級至 AppScan® Source 10.0.7 版時,您必須先執行 AppScan® Source 10.0.1 與 10.0.6 版之間的臨時升級。重要: 請勿解除安裝再重新安裝。若要維護資料庫,您必須採取兩個步驟進行升級 。
- 使用 Oracle 資料庫配置的 AppScan® Source,需要使用 16 個或以上字元的高保護性密碼。
AppScan® Source 10.0.7 版中接近結束期限或移除的功能
AppScan® Source 10.0.6 版的新增功能
AppScan® Source 10.0.6 版中的加強和新增功能
- 如同在 AppScan® Source for Analysis 中一樣,Visual Studio 外掛程式中的「發現項目」視圖現在依預設會依修正程式群組來顯示發現項目。
- AppScan® Source for Analysis 中用於比較評量的演算法,已更新為新的演算法。AppScan® Source for Analysis 用戶端的評量比較結果會與
AppScanDelta
指令一致;不過,可能會與舊版 AppScan® Source 的比較結果有一些差異。 -
在演算法更新中,您現在可以選擇從 AppScan® Source for Analysis 的「評量差異」視圖中,儲存新發現項目和/或已解決發現項目的評量。
- AppScan® Source 支援 C/C++、.Net 和 Java 的僅限原始碼掃描。
- AppScan® Source 已將公告資訊新增至業界標準報告,以協助發現項目的補救。
- AppScan® Source 支援使用「主旨替代名稱 - 多網域 (SAN)」憑證進行 CAC 鑒別。
- AppScan® Source 支援 Dart 程式設計語言。
- 支援 Linux 系統上的停止/取消掃描。
AppScan® Source 10.0.6 版中的修正程式與安全更新項目
- 修正和安全更新將在此處列出。
AppScan® Source 10.0.6 版中的已知問題
- 如果您使用以 AppScan® Source 10.0.5 版或更早版本建立的 Objective-C .paf/.ppf 檔案來執行掃描,則 Objective-C 專案的掃描會失敗。請在 AppScan® Source 10.0.6 版中重新配置 Objective-C 專案,然後再試一次。
AppScan® Source 10.0.6 版中接近結束期限或移除的功能
- AppScan® Source 已停止支援單一檔案掃描版本 10.0.0。
AppScan® Source 10.0.5 版的新增功能
AppScan® Source 10.0.5 版中的加強和新增功能
- KBArticle 伺服器已取代為 AppScan Security Info Server。AppScan Security Info Server 的內容和介面已更新,為使用者提供更好的服務,但提供與先前 AppScan® Source 版本中的 KBArticle 伺服器相同的用途:協助使用者緩解和解決應用程式安全發現項目。
- AppScan® Source 已將公告資訊新增至報告,以協助發現項目補救。
- 補救協助視圖已重新命名為如何修正。
- AppScan® Source 已新增對 DISA STIG v5r1 報告格式的支援。
這個新報告列出了 Application Security Checklist 第 5 版發行版 1 中指定的漏洞種類。AppScan® Source 會儘可能產生相關結果,以協助檢閱人員判定應用程式是否符合 STIG 的需求。
- Windows 及 Linux 上都支援 HCL Common Local License Server 2.0。
- 產生發現項目報告的 AppScan® Source 支援,其中發現項目是按修正程式群組分組。
其他 AppScan® Source 10.0.5 版及 AppScan® Enterprise 10.0.5 版交互作業能力資訊
- 現在,您可以使用 AppScan® Enterprise 中 asc.properties 檔案的新內容,根據想要的使用者回應,來平衡從監視標籤發佈至 AppScan® Enterprise 或將問題匯入至 AppScan® Enterprise 的速度。請參閱 AppScan® Enterprise 說明文件,以瞭解使用
issue.import.batch.interval
內容的詳細資料。
AppScan® Source 10.0.5 版中的已知問題
- 為 AppScan Source 設定的語言環境應該符合系統語言環境,以避免主控台輸出中出現亂碼字元。
- Linux 上的如何修正視圖有一些呈現問題。此外,外部參照連結不會從 Linux 上的如何修正視圖中開啟;在外部瀏覽器中開啟文章以正確呈現並存取外部連結。
- 當自動化伺服器無法啟動 AppScan Security Info 伺服器,導致使用
ounceauto
指令來產生報告時,如何修正資訊不會包含在報告中。若要暫時解決這個問題,請在使用ounceauto
產生報告之前,先啟動 AppScan® Source for Analysis 或指令行介面(CLI 用戶端);AppScan Security Info 伺服器會由 AppScan® Source for Analysis 及 CLI 用戶端自動啟動。
AppScan® Source 10.0.4 版的新增功能
AppScan® Source 10.0.4 版中的加強和新增功能
- 從 10.0.4 版起,AppScan® Source 支援下列作業系統:
- Windows Server 2019
- Red Hat Linux 7.8 和 7.9 版
如需其他資訊,請參閱 系統需求和安裝必備項目。
- 從 10.0.4 版起,AppScan® Source 支援以下語言和語言版本:
- Java 第 9、10、11 版:
- 預設值為 AdoptOpenJDK 11
- 指定的任何替代 JDK 都必須為 64 位元
- .NET Core 3.1
- 基礎架構即代碼 (IaC)
如需相關資訊,請參閱 系統需求和安裝必備項目。
- Java 第 9、10、11 版:
AppScan® Source 10.0.4 版中的已知問題
- 在 AppScan® Source 9.3.14 版或更舊版本中建立,並在「內容」視圖中標記為排除的組合,在升級至 AppScan® Source 10.0.0 版及更新版本後不會排除發現項目。應在 AppScan® Source 10.0.0 版或更新版本中重新建立組合。
- 若對 AppScan® Source for Analysis 用戶端中的所有應用程式執行掃描,可能會移入「發現項目」視圖,但不會移入修正程式群組。務必只對個別應用程式執行掃描避免此結果,並且在修正群組中適當地顯示發現項目。
- 如果評量檔名包含原生字元,則無法在英文以外的語言環境中,將評量發佈至 AppScan® Enterprise。請從檔名移除原生字元,然後重新發佈。
AppScan® Source 10.0.3 版的新增功能
AppScan® Source 10.0.3 版中的加強和新增功能
- 從 10.0.3 版起,AppScan® Source 新增對下列語言的支援:
- Android Java
- Ionic
- Objective C
- React Native
- SAP ABAP
- Vue.js
- Xamarin
如需其他資訊,請參閱系統需求。
- 靜態分析的修正程式群組支援。
修正程式群組是一種新方法,用來管理、分類及解決在靜態分析掃描中發現的問題。執行靜態掃描之後,AppScan® Source 就會根據漏洞類型和必要的補救作業,將問題整理到修正程式群組。如需其他資訊,請參閱使用靜態分析修正程式群組。
- 作為修正程式群組支援的一部分,在「選取發現項目報告」對話框中可以看到伴隨報告的技術預覽。報告目前僅顯示有關修正程式群組類型的高階資訊。在未來版本中,將對報告功能加入額外深度,包括修正群組的最佳修正位置。
AppScan® Source 10.0.3 版中的已知問題
- CLI 指令
details
間歇性地報告錯誤。但是,指令的功能不受影響。ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
-
開啟已發佈至 AppScan® Source 資料庫的評量來檢視修正程式群組資訊時,
NULL
可能會取代修正程式群組類型或修正程式群組 ID 顯示。將評量儲存至本端檔案系統,然後使用「開啟評量」指令開啟評量,以檢視已發佈靜態分析評量的修正程式群組資訊。
其他 AppScan Source 10.0.3 版安裝及交互作業能力資訊
- 當先前安裝已與資料庫進行配置時,如果您升級 AppScan® Source 或執行 AppScan® Source 10.0.3 版的修復安裝,則必須手動啟動
AppScan Source DB
服務。
AppScan® Source 10.0.2 版的新增功能
AppScan® Source 10.0.2 版中的加強和新增功能
- 從 AppScan® Source 10.0.2 版起,需要 HCL 授權。請參閱如何取得和申請 AppScan Source 產品的授權,取得相關資訊。
- AppScan® Source for Analysis 10.0.2 版不需要連接資料庫即可執行掃描。共用掃描配置和結果的與 AppScan Enterprise 整合配置在 AppScan® Enterprise 中。此處有斷線功能的詳細說明。
- AppScan® Source 推出針對下列語言的支援:Angular 8、Angular 9、Groovy、Symfony 及 TypeScript。如需完整資訊,請參閱系統需求。
其他 AppScan® Source 10.0.2 版安裝及交互作業能力資訊
- 將 AppScan® Source 10.0.2 版安裝至全新系統時,沒有要安裝的資料庫,因此不需要執行資料庫配置。配置與 AppScan Enterprise 整合,以儲存及擷取共用資訊。
- 將 AppScan® Source 10.0.2 版安裝至全新系統以在連線模式中使用時,需要 AppScan® Enterprise 10.0.2 版。不支援舊版 AppScan® Enterprise。此外,也須安裝 AppScan Enterprise Server,並同時安裝使用者管理及 Enterprise Console。
-
從舊版升級至 AppScan® Source 10.0.2 版時,先前安裝的任何資料庫都受到完整支援,包括配置功能。
- 當先前安裝已與資料庫進行配置時,如果您執行 AppScan® Source 10.0.2 版的修復安裝,則必須手動啟動
AppScan Source DB
服務。 - 如果您升級 AppScan® Source,其中僅安裝自動化伺服器或用戶端元件,並在稍後執行修復安裝,請更新 'ounce.ozsettings 中的下列內容:
name=core_provider value=1
name=connect_mode value=false
- 不支援在 10.0.2 版之前建立的無聲自動安裝程式回應檔。必須建立新的無聲自動安裝程式回應檔,才能與 AppScan® Source 10.0.2 版搭配使用。
AppScan® Source 10.0.2 版中接近結束期限或移除的功能
- AppScan Source 不再支援 IBM 授權,因此再也無法在授權管理程式中配置它們。請參閱如何取得和申請 AppScan Source 產品的授權,取得相關資訊。
- AppScan® Source 10.0.2 版不再支援 Visual Studio 2010。
- AppScan® Source 不再隨附 SolidDB,並且 SolidDB 的安裝不屬於解決方案的一部分。現已安裝的 SolidDB 會繼續獲得支援。
- 管理員功能表裡不會再有審核日誌選項。
AppScan® Source 10.0.1 版的新增功能
AppScan® Source 10.0.1 版中的加強和新增功能
- AppScan® Source 10.0.1 版已加強授權功能,包括在使用者介面中針對 HCL 型授權的 Proxy 支援,可以使用不受信任的憑證與本端授權伺服器連線。
- AppScan® Source 10.0.1 版引進了
AppScanDelta
。此特性可讓使用者執行從指令行進行兩個評量之間的差異比較。 - AppScan® Source 支援 NetCore 2.1 和 2.2。
- AppScan® Source 10.0.1 版包含針對 Scala、Swift、Kotlin 和 ReactJS 語言的支援。如需其他資訊,請參閱系統需求。
- AppScan® Source 10.0.1 版支援 DISA STG v4r10 報告格式。
AppScan® Source 10.0.1 版中的已知問題
- 如果您掃描的是來自 2015 或更舊版本的 Visual Studio 專案,掃描可能會失敗,並且顯示要刪除 discoverymanager.exe.config 的訊息。請刪除指定的檔案然後再試一次。如需相關資訊,請參閱這裡。
AppScan® Source 交互作業能力
- 必須如下所述配置 9.0.3x 版和 10.0.0 版的 AppScan® Enterprise,才能與 AppScan® Source 10.0.1 版交互作業:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® Source 10.0.1 版中接近結束期限或移除的功能
從 AppScan® Source 10.0.1 版起,下列功能已接近結束期限。請做好因應規劃。
AppScan® Source 10.0.0 版的新增功能
HCL® AppScan® Source 10.0.0 版大幅提升 AppScan® 系列產品背後的技術。為了現在和將來,HCL 已投資於 DevSecOps 市場中的產品,奠定基礎來強化我們領先市場的安全掃描產品。
- 加強和新功能
- AppScan Source 10.0.0 版交互作業能力
- 其他 AppScan Source 10.0.0 版的安裝指示
- AppScan® Source 10.5.0 版中的已知問題
- AppScan Source 10.0.0 版中接近結束期限的功能
- AppScan® Source 10.5.0 版中不再支援的功能
AppScan® Source 10.0.0 版中的加強和新增功能
-
IBM® Security AppScan® Source 現在是 HCL® AppScan® Source。
在 2019 年中旬,HCL Technologies 收購 IBM 的 AppScan® 系列產品,包括 AppScan® Enterprise、AppScan® Standard、AppScan® Source 和 AppScan® on Cloud。所有 AppScan® 產品現在由 HCL Software 所擁有、開發及提升。所有授權、標誌、命名慣例及其他智慧財產權由 HCL 擁有。因此,所有 AppScan® 產品都已更換品牌,以反映此擁有權及其開發和成長階段。
-
引進 HCL® AppScan® Source 的 HCL 授權
從 IBM 移轉到 HCL 的過程中,HCL 針對 AppScan® 系列產品,引進 HCL 核心授權套件。AppScan®、AppScan® Standard 及 AppScan® Source 使用本端 FlexLM 授權伺服器、透過 Proxy 伺服器鑑別;AppScan® on Cloud 採用 Okta 領先市場的客戶身分存取管理 (CAIM) 系統。
- AppScan® Source 現在支援 Go 程式設計語言 (Golang)。
- AppScan® Source 現在於 Visual Studio 2015、2017 和 2019 中支援 C++ 掃描。
- AppScan® Source 現在支援 Oracle 19c。
- 新的資料流掃描功能執行更完整的程式碼分析,產生更多發現項目。
- 若是針對 AppScan® Source 具有自訂掃描器的語言,您在使用 AppScan® Source 第 10 版掃描時,可能會在發現項目中看見標示的差異。在掃描已轉換為自訂掃描的狀況中,這可能表示發現項目的減少。自訂掃描器的規則正在發展並定期增添中,且易於增強。
- 加強與「智慧型程式碼分析 (ICA)」和「智慧型發現項目分析 (IFA)」的整合。
啟用 ICA/IFA 時,您會看到且可以存取「已排除的發現項目」標籤。如需相關資訊,請參閱 AppScan® Source 說明文件中的智慧型發現項目分析 (IFA)。
根據預設,所有掃描的 IFA 已啟用。啟用時,會套用到目前掃描與未來掃描。無法將此功能從先前掃描套用到評量。
- 在 AppScan® Source 中掃描 .NET 專案(ASP、WEB、Framework、Core),與 HCL AppScan on Cloud 中的處理程序相似。.NET 專案必須先完成編譯,才能掃描,而且在專案內容中必須有正確的建置規格。
- 15 GB 是安裝 AppScan® Source 和執行基本掃描所需的最小空間量。但是,所需的磁碟空間隨著要掃描的應用程式而不同。建議至少要有 8 GB 的 RAM 和 15-20 GB 的可用磁碟空間。您也可能需要提高 Windows 分頁檔需求(如需相關資訊,請參閱改善 Windows 10 電腦效能的提示)。
-
如需系統需求、掃描以及外掛程式支援的相關資訊,請參閱 系統需求和安裝必備項目 或聯絡 HCL 支援中心。
其他 AppScan® Source 10.0.0 版的安裝指示
當使用 Visual Studio 2019 外掛程式安裝 AppScan® Source 10.0.0 版時,即便安裝看來順利完成,但 Visual Studio 2019 外掛程式可能未適當安裝。若要在 Visual Studio 2019 中安裝 AppScan® Source 10.0.0 版外掛程式:
- 請確定 HCL® AppScan® Source 10.0.0 版是安裝在目標系統上。在安裝期間選取 Microsoft Visual Studio 2019 外掛程式。
- 如果 AppScan® Source 10.0.0 之前的版本已安裝至 Visual Studio 2019 的目標實例,請如下所示將其解除安裝:
- 啟動目標 Visual Studio 2019 實例。
- 開啟至 。
- 在「已安裝」標籤上,從清單中選取「AppScan Source 外掛程式」。
- 按一下「解除安裝外掛程式」,然後遵循提示完成解除安裝。
- 將 HCL® AppScan® Source 10.0.0 版外掛程式安裝至 Visual Studio 2019 實例,如下所示:
- 關閉所有 Visual Studio 2019 實例。
- 從 HCL® AppScan® Source 版本下載網站下載 VS2019Plugin.zip。
- 將 zip 檔的內容解壓縮至 <AppScan Source Install Dir>(預設位置是 C:\Program Files (x86)\IBM\AppScanSource)。出現提示時,針對所有選項選擇「是」。
- 從 <AppScan Source Install Dir>/bin 目錄中按兩下 AppScanSrcPlugin.vsix。
- 在產生的「VSIX 安裝程式」對話框中,選取 Visual Studio <版本> 2019,然後按一下安裝。
根據在機器上安裝的項目,版本可以是 Professional、Enterprise 或 Community。如果可用,您可以選擇安裝一個以上的版本。
- 當安裝完成時,請關閉對話框。
- 重新啟動 Visual Studio 2019。「AppScan Source 外掛程式」會顯示在「延伸模組」下方。
AppScan® Source 10.0.0 版交互作業能力
- AppScan® Source 10.0.0 用戶端將無法透過 10.0.0 以前的 AppScan® Source 資料庫正確地掃描,這是因為資料庫內容與掃描規則相關,造成內容的差異。
- 同樣的,10.0.0 以前的 AppScan® Source 用戶端將無法透過 10.0.0 AppScan® Source 資料庫正確地掃描。
- 9.0.3.x 版的 AppScan® Enterprise 無法使用以 AppScan® Source 10.0.0 資料庫實例配置的 AppScan® Source 實例,反之亦然
- 必須如下所述配置 9.0.3.x 版的 AppScan® Enterprise,才能與 AppScan® Source 10.0.0 交互作業:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® Source 10.0.0 版中的已知問題
- 不支援下列語言:
- Arxan C
- WSDL
- 在 WebSphere 上,僅支援預設的 JSP 編譯選項。
- 單一檔案掃描並非適用於所有的語言。
- 沒有機制可停用 JSP 檔案的前置編譯。JSP 檔案將一律前置編譯。
- 「停止/取消掃描」在 Linux 系統上不會運作。
- 當使用指令行介面時,「停止/取消」可能無法在 Windows 系統上運作。若要暫時解決這個問題,請重新啟動 AppScan® Source 並且結束背景處理程序。
- 將 AppScan® Source 10.0.0 版從 Windows 系統解除安裝時,解除安裝處理程序有時會當機。如需相關資訊,請參閱在 Windows 解除安裝 AppScan Source 會當機。
- 在升級至 AppScan® Source 10.0.0 版之後,系統不會產生 PDF 報告。如需相關資訊,請參閱在升級實務範例中,AppScan Source 10.0.0 在 PDF 報告產生期間擲出 「java.lang.reflect.InvocationTargetException」。
AppScan® Source 10.0.0 版中接近結束期限的功能
- 自訂發現項目
- 品質度量
- 電子郵件/設定
- RSS 資訊來源
- 應用程式屬性
使用 AppScan Enterprise 來儲存應用程式資訊。
- 問題追蹤系統整合
使用 AppScan® 問題閘道在 AppScan Enterprise 層次進行整合
AppScan® Source 10.0.0 版不再支援的功能
- 不再支援漏洞快取。
- 不支援增量掃描。
- 不支援非 CPA 掃描。
-
從 9.0.3.11 版起,AppScan® Source 不再支援 macOS 或 iOS Xcode 專案掃描。
AppScan® Source 的部分元件為 32 位元。MacOS 10.14 (Mojave) 是支援 32 位元應用程式的最新 Mac 作業系統版本。
您可以繼續在 Mac 10.12(含)以下作業系統上使用 AppScan® Source 9.0.3.10 版及更早版本。