遵守美國政府法規
遵守美國政府安全和資訊技術法規,有助於消除銷售障礙和路障。另外,這也是 HCL® 致力於產生業界頂尖安全產品的全球性證據。本主題列出 AppScan® Source 支援的標準和準則。
- 網際網路通訊協定第 6 版 (IPv6)
- 美國聯邦資訊處理標準 (FIPS)
- 國家標準與技術機構 (NIST) 特殊出版品 (SP) 800-131a
- Windows 機器,已配置成採用「美國政府配置基準」(United States Government Configuration Baseline, USGCB」
網際網路通訊協定第 6 版 (IPv6)
AppScan® Source 已針對 IPv6 啟用,但下列情況例外:
- 不支援輸入 IPv6 數值位址,必須改為輸入主機名稱。支援輸入 IPv4 數值位址。
- 連接至 Rational Team Concert™ 時不支援 IPv6。
美國聯邦資訊處理標準 (FIPS)
在 AppScan® Source 支援的 Windows™ 和 Linux™ 平台上,AppScan® Source 利用 FIPS 140-2 驗證過的加密模組和經過檢驗的演算法,支援 FIPS 出版品 140-2。
如果要瞭解 AppScan® Source FIPS 標準的相關背景資訊 - 以及瞭解如何啟用及停用 AppScan® Source FIPS 140-2 模式,請參閱這些 TechNotes:
國家標準與技術機構 (NIST) 特殊出版品 (SP) 800-131a
NIST SP 800-131A 準則提供加密金鑰管理指引。這些準則包括:
- 金鑰管理程序。
- 如何使用加密演算法。
- 要使用的演算法及其強度下限。
- 安全通訊的金鑰長度。
政府機構和金融機構使用 NIST SP 800-131A 準則,以確保產品符合指定的安全需求。
唯有當 AppScan® Source 是在 FIPS 140-2 模式下操作時,才支援 NIST SP 800-131A。如果要瞭解如何啟用及停用 AppScan® Source FIPS 140-2 模式,請參閱美國聯邦資訊處理標準 (FIPS)。
重要:
如果您要連接的 AppScan® Enterprise Server 是為了符合 NIST 800-131a 標準而啟用,您必須設定 AppScan® Source 強制執行「傳輸層安全 (TLS) 1.2 版」。如果未強制執行「傳輸層安全 (TLS) 1.2 版」,則伺服器連線會失敗。
- 如果您未安裝 AppScan® Source Database(例如,您只安裝用戶端元件),您可以修改 <data_dir>\config\ounce.ozsettings(其中 <data_dir> 是 AppScan® Source 程式資料的位置,如所述 安裝和使用者資料檔位置),以施行「傳輸層安全 (TLS) 1.2 版」。在這個檔案中,請尋找這項設定:
<Setting name="tls_protocol_version" read_only="false" default_value="0" value="0" description="Minor Version of the TLS Connection Protocol" type="text" display_name="TLS Protocol Version" display_name_id="" available_values="0:1:2" hidden="false" force_upgrade="false" />
在這項設定中,將
value="0"
變更為value="2"
,然後儲存檔案。 - 如果您要安裝 AppScan® Source Database,則在同時安裝了 HCL® AppScan® Enterprise Server 和 AppScan® Source 之後,在 Enterprise Server 資料庫配置工具中強制執行「傳輸層安全 (TLS) 1.2 版」。
Windows™ 機器,已配置成採用「美國政府配置基準」(United States Government Configuration Baseline, USGCB」
AppScan® Source 支援在以 USGCB 規格所配置的 Windows™ 機器上掃描應用程式。
註: 在以 USGCB 規格所配置的機器上,AppScan® Source 不支援整合問題追蹤系統與 HP Quality Center 或 Rational® ClearQuest®。