移轉至 AppScan® Source 現行版本

本主題包含的移轉資訊是針對此 AppScan® Source 版本已發生的變更。如果是從舊版的 AppScan® Source 升級,請注意您目前所升級的 AppScan® Source 版本及截至此現行版本為止的所有版本所發生的變更。

從版本 9.0.3 移轉

HCL 授權

在從 IBM 移轉至 HCL 的過程中,HCL 推出以 HCL 為中心的授權套件,適用於 AppScan 的系列產品。AppScan 產品繼續支援現有的 IBM 授權,但只到版本 10.0.1。從版本 10.0.2 開始就需要 HCL 授權。

只能透過 HCL 取得新授權。

如果您要取得和申請新的 AppScan Source 授權,請先透過 HCL 軟體授權管理入口網站 取得適當的授權,再使用 AppScan® Source 授權管理程式申請授權。

如需相關資訊,請參閱如何取得和申請 AppScan Source 產品的授權

AppScan® Source 交互作業能力

HCL® AppScan® Source 10.0.0 需要 AppScan® Source 10.0.0 資料庫:
  • AppScan® Source 10.0.0 用戶端將無法透過 10.0.0 以前的 AppScan® Source 資料庫正確地掃描,這是因為資料庫內容與掃描規則相關,造成內容的差異。
  • 同樣的,10.0.0 以前的 AppScan® Source 用戶端將無法透過 10.0.0 AppScan® Source 資料庫正確地掃描。
AppScan® Source 10.0.0 將與 AppScan® Enterprise 9.0.3.x 以前的版本交互作業:
  • 9.0.3.x 版的 AppScan® Source 無法使用以 AppScan® Source 10.0.0 資料庫實例配置的 AppScan® Enterprise 實例,反之亦然
  • 必須如下所述配置 9.0.3x 版的 AppScan® Enterprise,才能與 AppScan® Source 10.0.0 交互作業:
    set "allow.newer.source.clients=true" in 
    \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file

從版本 9.0.2 移轉

註: 從 9.0.3.11 版起,AppScan® Source 不再支援 macOS 或 iOS Xcode 掃描。

新的規則屬性可能會導致現有掃描中的發現項目分類變更

9.0.2 版之後引進 Attribute.Likelihood.HighAttribute.Likelihood.Low 規則屬性。使用這些屬性時,AppScan® Source 可以更正確地判斷發現項目是明確的及/或可疑的。因此,如果您在 AppScan® Source 9.0.2 版或更舊版本中掃描原始碼,您可能會注意到當相同的原始碼在 9.0.2 之後的產品版本中掃描時,某些發現項目分類會變更。這對與可高度開發的 Web 原始碼相關的發現項目,或是較不可開發的內容或環境原始碼,最為明顯。

依預設會使用這些規則屬性。您可以依下列方式將其停用:

  1. 以文字編輯器開啟 <data_dir>\config\ipva.ozsettings(其中 <data_dir>AppScan® Source 程式資料的位置,如所述 安裝和使用者資料檔位置。在檔案中找出 allow_likelihood 設定。這項設定看起來如下:
    <Setting
      name="allow_likelihood"
      value="true"
      default_value="true"
      description="Allow the processing of the Likelihood 
        attributes to help determine trace confidence based 
        on the source API"
      display_name="Allow Likelihood"
      type="bool"
    />
    在這項設定中,修改 value 屬性。如果該屬性設為 true,這項設定即會開啟。如果設為 falseAppScan® Source 在掃描期間不會使用這些規則屬性。
  2. 修改好這項設定之後儲存檔案,再啟動或重新啟動 AppScan® Source

自動產生遺失的接收槽

在 9.0.2 版之後,為結尾為 getters/setters 的追蹤資料以及傳回布林值的方法建立了遺失的接收槽自動解析。這是透過自動為這些應用程式設計介面 (API) 推斷標記來完成。因此,如果您在 AppScan® Source 9.0.2 版或更舊版本中掃描原始碼,您可能會注意到當相同的原始碼在 9.0.2 之後的產品版本中掃描時,含有未解析的遺失接收槽的發現項目結果有些變更。

依預設會開啟自動產生標記。如果您想要使用遺失的接收槽解析的其他方法,例如自訂規則,您可以停用它,如下所示:

  1. 以文字編輯器開啟 <data_dir>\config\ipva.ozsettings(其中 <data_dir>AppScan® Source 程式資料的位置,如所述 安裝和使用者資料檔位置。在檔案中找出 automatic_lost_sink_resolution 設定。這項設定看起來如下:
    <name="automatic_lost_sink_resolution"
      value="true"
      default_value="true"
      description="This setting tries to perform automatic 
        lost sink resolution by assuming taint propagation 
        for getters, setters and APIs which return boolean 
        with no arguments."
      display_name="Auto Lost Sink Resolution"
      type="bool"
    />
    在這項設定中,修改 value 屬性。如果該屬性設為 true,這項設定即會開啟。如果設為 falseAppScan® Source 不會自動產生這些方法的標記。
  2. 修改好這項設定之後儲存檔案,再啟動或重新啟動 AppScan® Source

從 9.0 版移轉

AppScan® Enterprise Server 鑑別:使用 IBM® WebSphere® Liberty 取代 IBM® Rational® Jazz 使用者鑑別元件時的移轉考量

  • 從只有本端 Jazz 使用者的 Enterprise Server 移轉:在此升級實務中,原先的 Jazz 使用者在 AppScan® Source Database 中會顯示為 AppScan® Enterprise Server 使用者,但是將會無效。您可以從 Database中移除這些使用者,或轉換成 AppScan® Source 使用者。如需在 AppScan® Source 中啟用原先 Jazz 使用者的相關資訊,請聯絡 HCL 支援中心
  • 從已配置 LDAP 的 Enterprise Server 移轉:在 Enterprise Server 升級期間,您可以選擇重新以 LDAP 來配置 Enterprise Server。如果這樣做,則現有的使用者在 AppScan® Source 中仍然有效。
  • 從已配置 Windows 鑑別的 Enterprise Server 移轉:如果 Enterprise Server 已配置 Windows 鑑別,則只要新的 AppScan® Source Liberty 配置為使用 Windows 鑑別,現有的使用者在 Enterprise Server 中仍然有效。

從 8.7 版移轉

發現項目分類的變更

8.7 版之後,發現項目分類已變更。本表列出對映到新分類的舊分類:

1. 發現項目分類變更
AppScan® Source 8.8 版之前的發現項目分類 AppScan® Source 8.8 版開始的分類
漏洞 最後安全發現項目
類型 I 異常狀況 可疑安全發現項目
類型 II 異常狀況 掃描涵蓋面發現項目

可在「漏洞矩陣」視圖中看到這些變更的範例。

8.8 版之前的 AppScan Source 版本中的「漏洞矩陣」視圖

從 8.8 版開始,此視圖的外觀如下:

AppScan Source 8.8 版中的「漏洞矩陣」視圖

將改進掃描涵蓋面的預設值變更

AppScan® Source 8.8 版開始:

  • show_informational_findings 中的 scan.ozsettings 的預設值已從 true 變更為 false
  • wafl_globals_tracking 中的 ipva.ozsettings 的預設值已從 false 變更為 true。這項設定可讓 AppScan® Source 在架構型應用程式的不同元件之間尋找資料流(例如,從控制器到視圖的資料流)。

show_informational_findings 經過這樣變更後,將導致評量依預設不包括嚴重性層次為參考資訊的發現項目。

註: 如果您在 8.8 版之前建立的掃描配置還有尚未明確設定這些設定的值,則掃描配置現在會使用其新的預設值。

從舊版還原 AppScan® Source 預先定義的過濾器

AppScan® Source 8.8 版已改良預先定義的過濾器,可提供更好的掃描結果。如果您需要繼續使用 AppScan® Source 舊版本中預先定義的過濾器(保存的過濾器列於 AppScan Source 預先定義的過濾器(8.7.x 版及更舊版本) 中),請遵循 還原保存的預先定義過濾器 中的指示。