HCL® AppScan® Source 版本 10.7.0 Readme 和版本 Notes®
2024 年 10 月
在安裝產品或其任何元件之前,先閱讀整份文件。
這份文件列出關於 AppScan® Source 的重要問題和主題:
- AppScan Source 授權
- 重要事項:Windows 的新檔案名稱
- AppScan Source for Analysis 產品說明文件
- 已知限制和暫行解決方法:
- 一般
- AppScan Source for Analysis
- 升級 AppScan Source 時未結束所有 AppScan Source java 處理程序,可能會導致「如何修正」視圖失敗
- Linux 上必備的 AppScan Source for Analysis 和 AppScan Source for Development (Eclipse plug-in) 元件
- Linux 上的 AppScan Source for Analysis 間歇性關閉
- 在切換國家語言時,可能進行快取
- AppScan Source for Analysis 安裝路徑不支援多位元組字元
- Linux - 在安裝期間,將 AppScan Source for Analysis 常駐程式配置為以非「ounce」身分執行後,啟動 AppScan Source 時發生錯誤
- 以非管理使用者的身分來移除 AppScan Source for Analysis
- 如果要建立 PDF 報告,對於部分非英文語言可能需要安裝系統字型。
- 修改自訂規則和外掛程式使用
- 不再支援「評量摘要」視圖圖表樣式選項
- AppScan Source command line interface (CLI)
- AppScan Source for Development (Eclipse plug-in)
- 升級 AppScan Source 時未結束所有 AppScan Source java 處理程序,可能會導致「如何修正」視圖失敗
- 將 AppScan Source for Development 套用至 Eclipse 之後,重新啟動起始 Eclipse 後將不會提示您選擇工作區
- 升級 AppScan Source for Development (Eclipse plug-in)
- Linux 上必備的 AppScan Source for Analysis 和 AppScan Source for Development (Eclipse plug-in) 元件
- 適用於 Eclipse 和 Eclipse 型產品的 AppScan Source for Development 外掛程式:針對 AppScan Source 安裝目錄多次提示
- AppScan Source for Development 中的「共用/廣域」過濾器無法一致地顯示
- 修改自訂規則和外掛程式使用
- 不再支援「評量摘要」視圖圖表樣式選項
- AppScan Source for Development (Visual Studio plug-in)
- MicrosoftWindows
- 掃描 Windows C/C++ 應用程式
- 在 Windows 解除安裝 AppScan Source 會當機
- AppScan Source 的安裝遭 Windows Defender 中斷
- 升級 AppScan Source 時未結束所有 AppScan Source java 處理程序,可能會導致「如何修正」視圖失敗
- 當 AppScan Source 配置檔包含特殊字元時發生錯誤
- 不支援檔案庫 id 和 progid 形式的 #import
- 參照的組件必須與要掃描或登錄在「全域組件快取 (GAC)」中的組件,位於同一個目錄
- 以 .NET Core 組合的 .NET 組合專案
- Visual Basic 6 掃描需要完整函數宣告
- 在非英文的語言環境執行時,會截斷訊息和對話框。
- AppScan Source for Development (Visual Studio plug-in) 限制
- Linux
- 節點鎖定的授權和 Red Hat Enterprise Linux 7.4
- 在 Red Hat Enterprise Linux 7.x 上解除安裝 AppScan Source
- 升級 AppScan Source 時未結束所有 AppScan Source java 處理程序,可能會導致「如何修正」視圖失敗
- SELinux 防止安裝、產品啟動和執行
- 「補救協助」視圖的 Linux Mozilla 需求
- Linux 上必備的 AppScan Source for Analysis 和 AppScan Source for Development (Eclipse plug-in) 元件
- Linux 上的 AppScan Source for Analysis 間歇性關閉
- Linux - 在安裝期間,將 AppScan Source for Analysis 常駐程式配置為以非「ounce」身分執行後,啟動 AppScan Source 時發生錯誤
- 掃描使用舊版 gcc(如 2.95.4)編譯的原始碼會產生錯誤
- macOS
- 其他資訊
- AppScan® Source 10.7.0 版
- AppScan® Source 10.6.0 版
- AppScan® Source 10.5.0 版
- AppScan® Source 10.4.0 版
- AppScan® Source 10.3.0 版
- AppScan® Source 10.2.0 版
- AppScan® Source 10.1.0 版
- AppScan® Source 10.0.8 版
- AppScan® Source 10.0.7 版
- AppScan® Source 10.0.6 版
- AppScan® Source 10.0.5 版
- AppScan® Source 10.0.4 版
- AppScan® Source 10.0.3 版
- AppScan® Source 10.0.2 版
- AppScan® Source 10.0.1 版
- AppScan® Source 10.0.0 版
- 說明文件
- 取得技術支援
AppScan® Source 授權
AppScan® Source 提供「授權管理程式」公用程式,可讓您用來載入及更新您用戶端機器上的授權資訊。此公用程式可讓您檢視現行授權狀態;或者,您可以使用此公用程式,匯入節點鎖定的軟體授權檔或使用授權伺服器上的浮動授權,然後啟動產品。節點鎖定的軟體授權關聯於個別機器 - 浮動授權可移出來使用於不同的用戶端機器上。
完成安裝之後,您可以從產品安裝精靈開啟「授權管理程式」公用程式,或者,您也可以從 Windows™「開始」功能表啟動此公用程式。
AppScan® Source 授權是取自 HCL® License & Delivery Portal。如需取得授權和授權啟動的詳細資訊,請參閱說明中如何取得和套用 AppScan Source 產品的授權和啟動軟體。
重要事項:Windows 的新檔案名稱
舊版 Windows 安裝檔名是 setup.exe。新版安裝檔名是 AppScanSrc_Installer.exe。
AppScan® Source for Analysis 產品說明文件
當您使用 AppScan® Source for Analysis 中的 功能表項目時,會開啟 HCL Software 產品說明文件處的 AppScan® Source 線上說明。同樣的,當您從 AppScan® Source for Analysis「歡迎使用」視圖遵循鏈結時,這些鏈結會在 HCL Software 產品說明文件處開啟。
AppScan® Source for Analysis 也提供了許多視圖、喜好設定頁面和對話框的上下文相關說明。用於上下文相關說明的鍵盤快速鍵在 Windows 上是 F1,在 Linux 上是 Shift+F1。此上下文相關說明也會開啟 HCL Software 產品說明文件處的 AppScan® Source。
如果您在使用產品時沒有連接網際網路,會在本端提供說明,如下所示:
- 某些 AppScan® Source for Analysis 特性的 Javadoc 位於 AppScan® Source 安裝目錄的 doc/Javadoc 或 doc\Javadoc 目錄中。從 9.0.3.4 版開始,會提供下列特性的 Javadoc:
- 應用程式伺服器匯入架構 API 類別和方法的 Javadoc 位於 doc/Javadoc/appserverimporter 或 doc\Javadoc\appserverimporter 中。
- Framework for Frameworks API 類別和方法的 Javadoc 位於 doc/Javadoc/frameworks 或 doc\Javadoc\frameworks 中。
在這些資料夾中,開啟 index.html 檔。
一般
「停止掃描」再也無法使用
AppScan® Source 不再允許您中斷掃描與傳回目前結果。掃描必須完成,才能看見結果。
在升級 AppScan® Source 之後,掃描結果中可能會出現已排除組合的發現項目
在升級 AppScan® Source 之後,某些發現項目的內容可能會變更,因而產生這個已知限制。
IPv6 限制
已針對網際網路通訊協定第 6 版 (IPv6) 啟用 AppScan® Source,但有以下例外:
- 不支援輸入 IPv6 數值位址,必須改為輸入主機名稱。支援輸入 IPv4 數值位址。
當掃描 Eclipse 工作區因遺漏類別或程式庫而失敗時,請使用經過前置編譯的類別
如果您順利匯入 Eclipse 工作區,但發現因遺漏類別或程式庫而掃描失敗,建議您使用利用經過前置編譯的類別來掃描的選項。若要這麼做,請在專案內容中選取該選項,然後瀏覽至 Eclipse 專案的 bin 目錄。
在土耳其文語言環境上不支援無聲自動安裝
如果您建立自訂無聲自動安裝,則在任何土耳其文語言環境(例如,tr
和 tr_TR
)上執行時不會成功。
Oracle 資料庫必須使用 UTF-8 字集
如果您將 AppScan® Enterprise Server 連接至 Oracle 資料庫,在建立資料庫時,您必須將字集設為 UTF-8(通常這不是預設字集)。
JSP 檔中的行號
從 .jsp 檔案產生的 .java 檔案行號會隨 JSP 檔名顯示。
Ounce/Maven
ounce:report
mojo 對現有評量 XML 檔無效,而僅適用於新掃描。
AppScan® Source for Analysis
升級 AppScan® Source 時未結束所有 AppScan® Source java
處理程序,可能會導致「如何修正」視圖失敗
如果您在 AppScan® Source java
處理程序仍在執行中時執行產品升級,「如何修正」視圖可能會在升級之後顯示類似如下的錯誤:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或
Error executing query and transform
在升級包括 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 元件的 AppScan® Source for Development (Visual Studio plug-in) 安裝之前,請先確定沒有 AppScan® Source java
處理程序在執行中。
Linux™ 上必備的 AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 元件
在 Linux™ 上,需要安裝第三方元件,Eclipse 才能呈現瀏覽器型的內容。如果沒有這個元件,AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 可能會出現一些症狀,例如登入之後當機或產品使用期間失敗。
Linux™ 上的 AppScan® Source for Analysis 間歇性關閉
如果要防止非預期的關閉,請升級 Pango。Pango 升級可能需要升級 glib。
在切換國家語言時,可能進行快取
您可以在喜好設定中切換語言,然後重新啟動工作台,AppScan® Source for Analysis 使用者介面就可以用不同國家的語言來顯示。快取字串以及用先前的語言來顯示字串是 Eclipse 常見的行為,這個行為會影響 AppScan® Source for Analysis。如果您切換顯示的國家語言,然後重新啟動工作台,當您啟動快取的字串所說明的使用者介面元素時,會重新整理該字串(比方說,如果已快取按鈕標籤,按一下按鈕,會將字串重新整理成新的語言)。
AppScan® Source for Analysis 安裝路徑不支援多位元組字元
任何 AppScan® Source for Analysis 版本的安裝路徑如果包含多位元組字元,則安裝期間會發生目錄無效的錯誤,導致安裝失敗。
Linux™ - 在安裝期間,將 AppScan® Source for Analysis 常駐程式配置為以非「ounce」身分執行後,啟動 AppScan® Source 時發生錯誤
AppScan® Source for Analysis 安裝程式可讓您將 AppScan® Source 常駐程式處理程序配置為以預設使用者名稱「ounce」或現有使用者身分來執行。
暫行解決方法:如果您沒有選擇預設使用者,就必須在 AppScan® Source 安裝目錄(例如,/opt/hcl/appscansource)中建立 eclipse.ini 檔,其中包含這一行:
-configuration @user.home/.ounceconfig
以非管理使用者的身分來移除 AppScan® Source for Analysis
Windows™ 上的 AppScan® Source for Analysis 需要管理員存取權,才能建立「新增或移除程式」項目。如果您以非管理員使用者的身分安裝 AppScan® Source for Analysis,若要移除 AppScan® Source for Analysis,請移至 <install_dir>\Uninstall_AppScan,然後執行 AppScan_Uninstaller.exe(其中 <install_dir> 是 AppScan® Source 安裝位置)。
如果要建立 PDF 報告,對於部分非英文語言可能需要安裝系統字型。
對於這些語言,您可能需要安裝所指出的字型才能建立報告:
- 日文:MS Gothic 或 VL Gothic
- 韓文:Gulim
- 簡體中文:SimSun-18030 或 MingLiU
- 繁體中文:SimSun-18030 或 MingLiU
修改自訂規則和外掛程式使用
如果您在 AppScan® Source for Analysis 中建立自訂規則,然後登入 AppScan® Source for Development plug-in,如果要查看變更,您必須重新啟動 IDE。
不再支援「評量摘要」視圖圖表樣式選項
在「評量摘要」視圖中,您無法再選擇要顯示的圖表樣式。長條圖是唯一可用的圖表樣式。
AppScan® Source for Development (Eclipse plug-in)
升級 AppScan® Source 時未結束所有 AppScan® Source java
處理程序,可能會導致「如何修正」視圖失敗
如果您在 AppScan® Source java
處理程序仍在執行中時執行產品升級,「如何修正」視圖可能會在升級之後顯示類似如下的錯誤:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或
Error executing query and transform
在升級包括 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 元件的 AppScan® Source for Development (Visual Studio plug-in) 安裝之前,請先確定沒有 AppScan® Source java
處理程序在執行中。
將 AppScan® Source for Development 套用至 Eclipse 之後,重新啟動起始 Eclipse 後將不會提示您選擇工作區
將 AppScan® Source for Development 套用至 Eclipse 之後,系統會提示您重新啟動工作台。重新啟動之後,系統會提示您選擇工作區。不過,當您再次重新啟動 Eclipse,或是關閉 Eclipse 再啟動時,卻不會提示您選擇工作區。
此問題與 https://bugs.eclipse.org/bugs/show_bug.cgi?id=409552 有關。
您可以使用下列其中一種方法來暫時解決這個問題:
- 啟動 Eclipse 時使用
-clean
選項。 - 結束 Eclipse,然後先在 Eclipse 安裝目錄中,刪除 configuration\org.eclipse.osgi\.manager 目錄,再重新啟動 Eclipse。
如果這個問題沒有解決,您可以使用
動作,以確定您使用的是正確的工作區。升級 AppScan® Source for Development (Eclipse plug-in)
建議先從 Eclipse IDE 解除安裝 AppScan® Source for Development,再升級至較新版本的 AppScan® Source for Development 或 AppScan® Source。
Linux™ 上必備的 AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 元件
在 Linux™ 上,需要安裝第三方元件,Eclipse 才能呈現瀏覽器型的內容。如果沒有這個元件,AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 可能會出現一些症狀,例如登入之後當機或產品使用期間失敗。
適用於 Eclipse 和 Eclipse 型產品的 AppScan® Source for Development 外掛程式:針對 AppScan® Source 安裝目錄多次提示
當您第一次使用 Eclipse 和 Eclipse 型產品的 AppScan® Source for Development 外掛程式時,將會出現對話框提示您指定 AppScan® Source 安裝目錄的路徑。如果指定安裝目錄並按一下確定,但是之後又再收到相同對話框,請按一下取消,重新啟動工作台,然後繼續進行正常產品使用。如果沒有在出現多個安裝目錄提示時重新啟動工作台,可能會導致掃描失敗。
AppScan® Source for Development 中的「共用/廣域」過濾器無法一致地顯示
AppScan® Source for Development 中的「過濾」模組可讓您開啟已儲存的評量,並讓您執行過濾動作,而不必登入以及對 AppScan® Enterprise Server 進行鑑別。由於共用過濾器是儲存在 AppScan® Source Database(需要登入和鑑別才能存取),如果您尚未將現行的外掛程式階段作業登入至 AppScan® Source,就無法在外掛程式中使用共用過濾器。
解決方法:在存取外掛程式中的過濾模組之前執行掃描(或執行必須登入的任何其他動作)。登入後即可使用共用過濾器。
修改自訂規則和外掛程式使用
如果您在 AppScan® Source for Analysis 中建立自訂規則,然後登入 AppScan® Source for Development plug-in,如果要查看變更,您必須重新啟動 IDE。
不再支援「評量摘要」視圖圖表樣式選項
在「評量摘要」視圖中,您無法再選擇要顯示的圖表樣式。長條圖是唯一可用的圖表樣式。
AppScan® Source for Development (Visual Studio plug-in)
升級 AppScan® Source 時未結束所有 AppScan® Source java
處理程序,可能會導致「如何修正」視圖失敗
如果您在 AppScan® Source java
處理程序仍在執行中時執行產品升級,「如何修正」視圖可能會在升級之後顯示類似如下的錯誤:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或
Error executing query and transform
在升級包括 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 元件的 AppScan® Source for Development (Visual Studio plug-in) 安裝之前,請先確定沒有 AppScan® Source java
處理程序在執行中。
複製大型評量的大量發現項目時發生延遲
當您複選及複製含有大量發現項目的評量中的多個發現項目時,可能會覺得複製動作在新增至剪貼簿之前有幾秒的延遲。試圖貼上所複製的內容之前,請確定複製動作已完成。
掃描在未安裝的 Microsoft™ Visual Studio 版本中建立的解決方案檔案
如果您嘗試掃描的解決方案檔案,是在系統上並未安裝之 Visual Studio 版本中所建立,則 AppScan® Source 會嘗試在系統上找出相容的 Visual Studio 版本,並使用其進行掃描。
在 Microsoft™ Visual Studio 中,AppScan® Source 的「關於」對話框被截斷
使用特定國家的語言時,AppScan® Source for Development (Visual Studio plug-in) 的「關於」對話框似乎會被截斷。如果要解決此問題,請調整畫面解析度及/或字型大小,來達到最佳檢視效果。
AppScan® Source for Development 中的「共用/廣域」過濾器無法一致地顯示
AppScan® Source for Development 中的「過濾」模組可讓您開啟已儲存的評量,並讓您執行過濾動作,而不必登入以及對 AppScan® Enterprise Server 進行鑑別。由於共用過濾器是儲存在 AppScan® Source Database(需要登入和鑑別才能存取),如果您尚未將現行的外掛程式階段作業登入至 AppScan® Source,就無法在外掛程式中使用共用過濾器。
解決方法:在存取外掛程式中的過濾模組之前執行掃描(或執行必須登入的任何其他動作)。登入後即可使用共用過濾器。
不再支援「評量摘要」視圖圖表樣式選項
在「評量摘要」視圖中,您無法再選擇要顯示的圖表樣式。長條圖是唯一可用的圖表樣式。
AppScan® Source command line interface (CLI)
發出 publishassessase
或 pase
指令會導致出現 HttpAuthenticator
警告
如果您使用 CLI 來發佈至只啟用 Windows 鑑別的 AppScan® Enterprise Console,您可能會看到與發出 publishassessase
或 pase
指令時出現的類似警告:
WARN [main] (HttpAuthenticator.java:207) - NEGOTIATE authentication error: org.ietf.jgss.GSSException, major code: 2, minor code: 0
major string: Unsupported mechanism
minor string: No factory available to create name for mechanism x.x.x.x.x.x.x
Assessment successfully published to: https://<ase_hostname>/ase
這些警告並不影響評量的發佈,您可忽略它們。
Microsoft™Windows™
掃描 Windows C/C++ 應用程式
現在會以 64 位元的形式掃描 Windows C/C++ 應用程式。
非 64 位元安全的 C/C++ 應用程式可能會遇到掃描錯誤。
在 Windows 解除安裝 AppScan® Source 會當機
當 AppScan Source 10.0.0 版的伺服器與用戶端功能集皆安裝在 Windows 系統上時,若處理程序嘗試將 JRE 檔案從 <InstallDir>\engine
中刪除,則解除安裝會當機。
當發生這種狀況時,請結束處理程序,然後手動完成解除安裝。
若要結束解除安裝處理程序並完成解除安裝:
- 首先按一下右上角的 x,嘗試手動關閉安裝程式對話框。
- 如果手動關閉對話框失敗:
- 開啟「Windows 作業管理員」。
- 在詳細資料標籤上,尋找
AppScanSrc_Uninstaller.exe
處理程序。 - 在該處理程序上按一下滑鼠右鍵,然選取結束作業。
- 在 Windows 檔案總管中,刪除安裝目錄。依預設,AppScan® Source 10.0.6 版及更舊版本的安裝目錄是
C:\Program Files(x86)\IBM\AppScanSource
。 - 刪除資料目錄。依預設,AppScan® Source 10.0.6 版及更舊版本的資料目錄是
C:\ProgramData\IBM\AppScanSource
。
AppScan® Source 的安裝遭 Windows Defender 中斷
在舊版 Windows 上安裝 AppScan® Source 時,Windows Defender 會中斷安裝處理程序,並顯示蹦現警告。按一下蹦現警告以繼續安裝。如需相關資訊,請參閱 https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-smartscreen/windows-defender-smartscreen-overview。
升級 AppScan® Source 時未結束所有 AppScan® Source java
處理程序,可能會導致「如何修正」視圖失敗
如果您在 AppScan® Source java
處理程序仍在執行中時執行產品升級,「如何修正」視圖可能會在升級之後顯示類似如下的錯誤:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或
Error executing query and transform
在升級包括 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 元件的 AppScan® Source for Development (Visual Studio plug-in) 安裝之前,請先確定沒有 AppScan® Source java
處理程序在執行中。
當 AppScan® Source 配置檔包含特殊字元時發生錯誤
在 Windows™ 中,配置檔(.ppf、.paf 和 .osc)的檔名中的部分特殊字元(例如 Ç, à, ∾, ¥, §, Æ
)可能會導致錯誤。
不支援檔案庫 id
和 progid
形式的 #import
Microsoft™ Visual C++ #import
前置處理器指引具有數種形式。AppScan® Source 不支援使用檔案庫 id
或 progid
的兩種形式。將不會掃描包含這些形式的檔案,並且在主控台中會出現錯誤訊息。
參照的組件必須與要掃描或登錄在「全域組件快取 (GAC)」中的組件,位於同一個目錄
只有當所有參照或相依的組合,與要掃描或登錄在 GAC 中的組合位於相同資料夾中時,AppScan® Source 才會對 .NET 應用程式進行完整的掃描。如果您的組件參照磁碟其他位置之組件中定義的類型,可能會出現如下的錯誤:
Skipping file <assembly_name> due to error: Failed (0x80004005) in <type> call
Referenced assembly <referenced assembly name> was not found.
如果要修正這些錯誤,請將所參照的組件複製到要掃描的組件所在的目錄,或者將它登錄到 GAC 中。
以 .NET Core 組合的 .NET 組合專案
AppScan® Source 不支援包含使用 .NET Core 產生之組合檔的 .NET 組合專案。.NET Core 專案掃描方式與 .NET 解決方案檔案相同。請參閱利用使用者介面動作來新增現有的應用程式,以取得其他資訊。
Visual Basic 6 掃描需要完整函數宣告
#if
、#else if
和 #end if
必須包含函數的完整宣告。例如:
#If NATIVEBINDING Then
Public Function TemplateFromRule(ByVal Rule As OrgMan.Rule) As AcDir.Template
Dim oOp As OrgMan.Operation
#Else
Public Function TemplateFromRule(ByVal Rule As Object) As AcDir.Template
Dim oOp As Object
#End If
If Rule Is Nothing Then Exit Function
oOp = Rule.Operation
If oOp Is Nothing Then Exit Function
TemplateFromRule = BuildTemplate(oOp.Command, Rule.Field, Rule.Value)
End Function
在非英文的語言環境執行時,會截斷訊息和對話框。
在 AppScan® Source 中,有些對話框和訊息會重新調整大小,即使沒有指定調整大小功能的典型 Microsoft™ Windows™ 控制項存在也一樣。如果您是在非英文的語言環境下執行 AppScan® Source 產品圖形使用者介面,而且對話框和訊息包含被截斷的字串,您可以調整對話框和訊息的大小,以閱讀對話框和訊息的完整內容。
AppScan® Source for Development (Visual Studio plug-in) 限制
任何適用於 AppScan® Source for Development (Visual Studio plug-in) 的限制,也都是 Windows 的專屬限制。請參閱AppScan Source for Development (Visual Studio plug-in)。
Linux™
節點鎖定的授權和 Red Hat Enterprise Linux 7.4
IBM 發出的節點鎖定授權可能無法在 Red Hat Enterprise Linux 7.4 上正確運作。請改用 HCL 發出的節點鎖定授權。請聯絡 HCL 支援以取得其他資訊。
在 Red Hat Enterprise Linux 7.x 上解除安裝 AppScan Source
在 Red Hat Enterprise Linux 7.x 上,解除安裝 AppScan Source 9.0.3.x 版之後,您必須重新啟動系統,以停止執行所有 AppScan Source 程序。
升級 AppScan® Source 時未結束所有 AppScan® Source java
處理程序,可能會導致「如何修正」視圖失敗
如果您在 AppScan® Source java
處理程序仍在執行中時執行產品升級,「如何修正」視圖可能會在升級之後顯示類似如下的錯誤:
This page can't be displayed
- Make sure the web address http://<my_host_and_port> is correct.
- Look for the page with your search engine.
- Refresh the page in a few minutes.
或
Error executing query and transform
在升級包括 AppScan® Source、AppScan® Source for Analysis 或 AppScan® Source for Development (Eclipse plug-in) 元件的 AppScan® Source for Development (Visual Studio plug-in) 安裝之前,請先確定沒有 AppScan® Source java
處理程序在執行中。
「補救協助」視圖的 Linux™ Mozilla 需求
需要有鏈結到 GTK2 或以上的 Mozilla,才能在 Linux™ 上使用「補救協助」視圖。
請安裝鏈結到 GTK2 或以上的 Mozilla。獲得 Mozilla 之後,將其解壓縮,然後新增指向 Mozilla 的環境變數 MOZILLA_FIVE_HOME
。例如,如果將保存檔解壓縮至 /usr/local
並使用 Bash Shell,請將 export MOZILLA_FIVE_HOME=/usr/local/mozilla
新增至 ~/.bashrc。
SELinux 防止安裝、產品啟動和執行
Security Enhanced Linux™ (SELinux) 是一個 Linux™ 功能,透過 Linux™ Kernel 的 Linux™ 安全模組來提供更佳的安全性和存取控制。依預設,它隨附在 Red Hat Enterprise 5 中。
- 安裝:在 SELinux「強制」模式下,無法安裝 AppScan® Source。必須將 SELinux 變更為「非強制」模式。如果要在「非強制」模式下執行 SELinux,請發出
/usr/bin/system-config-selinux
,或者,如果是執行 GNOME,請選取 。系統將提示您輸入 root 的密碼。在左窗格中選擇狀態(如果未選取)。在右窗格中,將現行強制模式下拉清單變更為非強制。將 SELinux 設為「非強制」後,正常執行 AppScan® Source 安裝。安裝完成後,可以將 SELinux 設定變更回強制。 - 產品啟動:AppScan® Source 授權管理程式無法在「強制」模式中使用。必須將 SELinux 變更為「非強制」模式。如果要在「非強制」模式下執行 SELinux,請發出
/usr/bin/system-config-selinux
,或者,如果是執行 GNOME,請選取 。系統將提示您輸入 root 的密碼。在左窗格中選擇狀態(如果未選取)。在右窗格中,將現行強制模式下拉清單變更為非強制。在將 SELinux 設定為「非強制」後,請執行授權管理程式。產品啟動完成後,可以將 SELinux 設定變更回強制。 - 執行:在 SELinux「強制」模式下,AppScan® Source 隨附的 JRE 和 JDK 無法運作。不過,不必停用「強制」模式,可以透過賦予權限的方式,讓觸發 SELinux 的檔案得以運作。作法是使用
chcon
指令發出chcon -t textrel_shlib_t <filename>
。需要對 <installdir>/jre 和 <installdir>/JDKS 目錄下的所有共用物件檔 (.so) 發出此指令。這可使用具有exec
參數的find
指令以批次方式執行。例如:cd /opt/ibm/appscansource/jre sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print cd ../JDKS sudo find . -name "*.so" -exec chcon -t textrel_shlib_t {} \; -print
Linux™ 上必備的 AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 元件
在 Linux™ 上,需要安裝第三方元件,Eclipse 才能呈現瀏覽器型的內容。如果沒有這個元件,AppScan® Source for Analysis 和 AppScan® Source for Development (Eclipse plug-in) 可能會出現一些症狀,例如登入之後當機或產品使用期間失敗。
Linux™ 上的 AppScan® Source for Analysis 間歇性關閉
如果要防止非預期的關閉,請升級 Pango。Pango 升級可能需要升級 glib。
Linux™ - 在安裝期間,將 AppScan® Source for Analysis 常駐程式配置為以非「ounce」身分執行後,啟動 AppScan® Source 時發生錯誤
AppScan® Source for Analysis 安裝程式可讓您將 AppScan® Source 常駐程式處理程序配置為以預設使用者名稱「ounce」或現有使用者身分來執行。
暫行解決方法:如果您沒有選擇預設使用者,就必須在 AppScan® Source 安裝目錄(例如,/opt/hcl/appscansource)中建立 eclipse.ini 檔,其中包含這一行:
-configuration @user.home/.ounceconfig
掃描使用舊版 gcc(如 2.95.4)編譯的原始碼會產生錯誤
例如,可能會發生以下的錯誤:
Skipping file: file.cpp due to error: "/home/file.cpp", line 97: error: namespace "std" has
no member "string"
std::string mystring;
可能出現。
暫行解決方法:在專案的編譯器選項中新增 --ignore_std
選項。此選項會啟用 gcc 相容性功能,該功能使 std 名稱空間成為廣域名稱空間的同義字。在 AppScan® Source for Analysis 中,於專案「內容」視圖的「專案相依關係」標籤中新增此選項。或是,如果使用 Ounce/Make 來建立專案檔,請修改 Ounce/Make 內容檔中 GlobalProjectOptions
元素的 compiler_options
屬性。
macOS
已淘汰 macOS 支援
從 9.0.3.11 版起,AppScan® Source 不再支援 macOS 或 iOS Xcode 專案掃描。
其他資訊
AppScan® Source 10.7.0 版中的加強和新增功能
- 重要授權變更HCLSoftware 產品在授權採購與管理方面正進行變更:
- AppScan® Source 10.7.0 版為具備授權支援的過渡版本,僅能在 2027 年 10 月 31 日之前使用。
- 支援新授權功能的 AppScan® Source 版本,將於 2025 年 6 月之前發佈。
- AppScan® Source 10.6.0 及更舊版本將於 2025 年 6 月結束支援 (EOS)。
- 為避免服務中斷,請盡快在新版本可用時升級。
- 如需相關資訊,請參閱授權變更公告。
- AppScan® Source「發現項目」視圖與報告具有新的直欄,可顯示與主要 CWE 相關的其他 CWE。
- AppScan® Source 支援 Red Hat Enterprise Linux 9.0 和 9.4 版。
- AppScan® Source 支援 ESQL。
- AppScan® Source 支援掃描基礎架構即程式碼專案中的 PowerShell (
.ps1
) 檔。 - AppScan® Source 支援 Java 21。
- 以下項目的規則更新:Angular、ASP、CSS、Dart、Java 原始碼掃描器、JavaScript、JQuery、Objective-C、PHP、Python、密碼掃描器、TerraForm、TypeScript 和 VueJS。
- AppScan® Source Data Access API 類別路徑已更新。
AppScan® Source 10.7.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
從 AppScan® Source 10.7.0 版起接近結束期限或移除的功能
- 從 10.7.0 版開始,授權程序即將變更。
- AppScan® Source 10.6.0 及更舊版本將於 2025 年 6 月結束支援 (EOS)。
AppScan® Source 10.6.0 版中的加強和新增功能
- AppScan® Source 支援 Windows Server 2022。
- AppScan® Source 支援 WebSphere Application Server 9.0 版。
- AppScan® Source 支援 .NET 8。
- 支援 DISA 應用程式與安全性開發 STIG V5R3。
- 掃描資料夾的 AppScan® Source for Analysis 使用者介面改善:
- 支援在使用資料夾掃描產生之評量中排除發現項目。
- 支援保留基本資料夾內容下方之掃描資料夾或子資料夾中個別檔案或多個檔案的選項。
- AppScan® Source for Development(Eclipse 外掛程式)支援 Eclipse IDE 2022-09 至 2024-03。
- 透過支援 Makefile 和 GNUMakefile 的掃描,延伸對 C/C++ 僅限原始碼掃描的支援
- AppScan® Source 支援使用
ounceauto
進行資料夾掃描。 - AppScan® Source 支援透過
scan.ozsettings
檔全域啟用密碼掃描。 - 提高 Java、JavaScript 和 Python 語言及密碼掃描的準確度。
AppScan® Source 10.6.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.6.0 版中的已知問題
- AppScan® Source Eclipse 外掛程式所需的 Draw2d jar 無法在「Java Developers」的 Eclipse IDE 中使用。
若要暫時解決這個問題,請手動下載此 jar,並先將其複製到
eclipse\plugins
資料夾,然後再安裝外掛程式。
從 AppScan® Source 10.6.0 版起接近結束期限或移除的功能
- 從 10.7.0 版開始,授權程序即將變更。此變更不會影響現有的使用。請密切注意 HCL® AppScan® 提供的更多詳細資訊和最新消息。
- 不再支援 DISA 應用程式與安全性開發 STIG V4R10 報告。
AppScan® Source 10.5.0 版中的加強和新增功能
- AppScan® Source for Analysis 用戶端支援透過使用者介面掃描資料夾。
- 支援掃描階式樣式表 (CSS)。
- AppScan® Source Visual Studio 外掛程式支援 Visual Studio 2022。
- 透過支援新的副檔名,延伸對 IaC、RPG 和 VB.NET 的支援:.
- IaC:
.conf
、.curl
、.ini
、.properties
、tf.json
- RPG:
.rpgl
、.sqlrpgle
- VB.NET:
.vbs
- IaC:
- 改善 PHP 掃描的正確性。
- 支援 2023 年 OWASP 前 10 大 API 安全性報告。
-
AppScan® Source 支援在評量檔中包括 GitHub 存放庫資訊,並將其發佈至 AppScan® Enterprise。可以透過
scan.ozsettings
檔啟用此功能。 -
在授權配置檔中新增了適用於使用本端 SSL 憑證的新內容 (
use_local_ssl_cert
)。
其他 AppScan® Source 升級資訊
- 關閉所有 Visual Studio 2022 實例。
- 從 HCL 軟體下載和授權管理入口網站下載
VS2022Plugin.zip
。 - 將 zip 檔的內容解壓縮至預設安裝目錄。
預設位罝是
C:\Program Files\HCL\AppScanSource
。 - 從
<default_installation_directory>/bin
中按兩下AppScanSourcePlugin2022.vsix
。 - 在產生的「VSIX 安裝程式」對話框中,選取 Visual Studio <版本> 2022,然後按一下安裝。
根據在系統上安裝的項目,版本可以是 Professional、Enterprise 或 Community。如果可用,您可以選擇安裝一個以上的版本。
- 當安裝完成時,請關閉對話框。
- 重新啟動 Visual Studio 2022。
AppScan® Source 外掛程式會顯示在延伸模組下方。
AppScan® Source 10.5.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.5.0 版中的已知問題
- CAC 鑑別無法與 AppScan® Source Eclipse 外掛程式中的 TLS 1.2 搭配使用若要暫時解決這個問題,請將以下內容新增至
-vmargs
下的eclipse.ini
檔:--add-exports=java.base/sun.security.internal.spec=ALL-UNNAMED
- 用於掃描個別檔案或資料夾或子資料夾中檔案集合的右鍵選項,不會保留基本資料夾內容下的選項。
- 如果重新命名為了在檔案系統層次進行掃描而設定的資料夾,可能會導致非預期的結果。
若要暫時解決這個問題,請使用移除資料夾選項來移除、重新命名,並再次新增該資料夾。
- 使用資料夾掃描產生評量時,在「發現項目」視圖中排除發現項目和在「已排除的發現項目」視圖中包括發現項目的過濾器都會無法運作。
從 AppScan® Source 10.5.0 版起接近結束期限或移除的功能
- Microsoft Visual Studio 2013 將於 2024 年 4 月 9 日終止支援 (EOS)。HCL® AppScan® Source 在 EOS 日期之後將不支援 Microsoft Visual Studio 2013。
AppScan® Source 10.4.0 版中的加強和新增功能
- AppScan® Source 支援 Windows 11。
- AppScan® Source 支援 Red Hat Enterprise Linux 8.8。
- AppScan® Source 支援在授權不可用的情況下,使用指令行介面 (CLI) 掃描指令或 ounceauto ScanApplication 指令起始具等待時間的掃描。
AppScan® Source for Automation 授權不可用時,掃描的等待時間為
CLI.ozsettings
中所配置的時段,或是scan
指令中以-waitforlicense
引數傳遞的值。將等待時間的值設定為零即可停用該功能。 - AppScan® Source 支援僅限密碼掃描,您可以使用僅限密碼專案,或使用具有
scan
CLI 指令的-secretsonly
參數進行資料夾掃描。如果在掃描的程式碼中偵測到秘密,則僅限秘密掃描會針對這類秘密檢查寫在程式中的密碼、信用卡卡號和社會保險號碼 (SSN)。
- AppScan® Source 可讓您透過編輯應用程式或專案內容來啟用或停用僅限原始碼掃描的密碼掃描,或使用具有
scan
CLI 指令的-enablesecrets
參數來掃描資料夾。您也可以在建立專案時啟用秘密掃描。如果在掃描的程式碼中偵測到秘密,則秘密掃描和其他相關掃描器會針對這類秘密檢查寫在程式中的密碼、信用卡卡號和社會保險號碼 (SSN)。
- AppScan® Source 支援使用 GitHub Action 或 GitLab CI/CD 以及 AppScan® Source 指令行介面 (CLI) 儲存器來將掃描自動化。
AppScan® Source 10.4.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
從 AppScan® Source 10.4.0 版起接近結束期限或移除的功能
-
不再支援 RSS 資訊來源。
AppScan® Source 10.3.0 版中的加強和新增功能
- AppScan® Source 支援使用指令行介面 (CLI)、工具功能表或 ounceauto 指令,將掃描發現項目匯出為 CSV 和 SARIF 檔案格式。
- HCL®AppScan® Source for Development (Eclipse Plug-in) 支援 Eclipse IDE 2022-09。
- AppScan® Source 支援 Rust。
- 10.3.0 版 AppScan® Source 已加強支援 Java 和 Ruby 的掃描功能。
- AppScan® Source 支援密碼掃描。
- AppScan® Source 指令行介面 (CLI) 支援比較兩個評量檔。
- AppScan® Source 支援在 Podman 環境中執行指令行介面 (CLI) 儲存器。
- Data Access API 需要 JDK 11 或更新的版本。
- AppScan® Source 支援使用 Jenkins 或 Azure 以及 AppScan® Source 指令行介面 (CLI) 儲存器自動化掃描。
AppScan® Source 10.3.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.3.0 版中的已知問題
- 依預設,AppScan® Source 會使用 Java 11 來編譯 Java 專案。如果您的專案與 Java 11 不相容,且您想要配置掃描以使用不同的 Java 編譯器版本,請遵循此處提供的步驟。
- 當使用 AppScan® Source 指令行介面 (CLI) 來掃描包含 AndroidManifest.xml 的資料夾時,掃描失敗並顯示錯誤:
An error occurred copying files to the staging directory
。若要暫時解決這個問題,請採用以下其中一個方法:- 使用 appscan-config.xml 來配置掃描。
- 從目標資料夾及/或子資料夾中刪除(或移動)AndroidManifest.xml。
從 AppScan® Source 10.3.0 版起接近結束期限或移除的功能
-
不再支援 HCL® AppScan® Source for Development(RAD 外掛程式)。
-
在 Eclipse IDE 4.13 (2019-09) 上不再支援 HCL® AppScan® Source for Development(Eclipse 外掛程式)
AppScan® Source 10.2.0 版中的加強和新增功能
- AppScan® Source 可讓您在授權配置檔中配置授權非作用時間。
- AppScan® Source CLI 現在只允許在掃描資料夾時掃描原始碼。
- 專案副檔名喜好設定現在會在下拉清單中列出可用的語言/專案類型,而不是在分頁上顯示。
- AppScan® Source 支援 Red Hat Linux 8.6。
- AppScan® Source 支援 .NET 7
其他 AppScan® Source 及 AppScan® Enterprise 交互作業能力資訊
- AppScan® Enterprise 10.2.0 版已升級 CVSS 3.1 的支援。如果 AppScan® Source 使用者升級至 AppScan® Enterprise 10.2.0 版,則由於 CVSS 3.1 規格的特質,嚴重性值可能會出現差異。請在此處深入瞭解。
AppScan® Source 10.2.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.2.0 版中的已知問題
- 在 Windows 2016 上執行 AppScan® Source 且使用非英文語言環境時,AppScan® Source 無法將評量發佈至 AppScan® Enterprise。
- 使用 C# 檔案掃描資料夾時,資料夾掃描 會使用 Xamarin 掃描器。當使用者也並未使用 Xamarin 時,這可能會導致大量的誤判。
AppScan® Source 10.1.0 版中的加強和新增功能
- AppScan® Source 支援 Red Hat Enterprise Linux 8.3。
- Eclipse IDE 2022-06 現在支援 HCL®AppScan® Source for Development (Eclipse Plug-in)。
- AppScan® Source 支援 Java 17,並將其納入安裝套件中。
- AppScan® Source 支援 Tomcat 9,並將其納入安裝套件中。
- AppScan® Source 現在可不必先建立 .PAF 或 .PPF 檔,也能掃描資料夾。
- 擴充對 Ruby、Groovy、JavaScript 和 PHP 掃描的支援。請在此處尋找系統需求資訊。
其他 AppScan® Source 及 AppScan® Enterprise 交互作業能力資訊
AppScan® Source 10.1.0 版支援 AppScan® Enterprise Server 10.1.0 版。AppScan® Source 10.0.8 版及更早版本不支援 AppScan® Enterprise Server 10.1.0 版。請升級這兩個產品,以確保適當的交互作業能力。
AppScan® Source 10.1.0 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
從 AppScan® Source 10.1.0 版起接近結束期限或移除的功能
- 已移除下列報告和報告過濾器:
- CWE SANS Top 25 2011 報告
- OWASP Top 10 2013 報告
- CWE SANS Top 25 2011 報告過濾器
- OWASP Top 25 2010 報告過濾器
- OWASP Top 25 2013 報告過濾器
- 不再支援問題報告追蹤系統整合。
-
不再支援透過電子郵件傳送發現項目。
- 不再支援品質度量。
- Tomcat 7 不再納入 AppScan® Source 安裝套件中。
- AppScan® Source 將會在未來版本中捨棄對 SolidDB 和 OracleDB 的支援。
AppScan® Source 10.0.8 版中的加強和新增功能
- AppScan® Source 指令行介面 (CLI) 已儲存器化,因此可讓應用程式和安全掃描更有效率且更健全。一旦安裝並配置,就可以隨需應變並快速地建立測試環境,而且可以同時執行掃描。如需儲存器化的相關資訊,請參閱 HCL 支援中心的本檔。
- AppScan® Source 支援透過指令行配置授權資訊。
- AppScan® Source 支援 Terraform。
- 支援下列報告:
- 支援下列報告過濾器:
AppScan® Source 10.0.8 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.0.8 版中的已知問題
- 使用 Eclipse 外掛程式時,AppScan® Source for Development 必須使用 Java 8 進行配置。
AppScan® Source 10.0.7 版中的加強和新增功能
- 從 10.0.7 版起,AppScan® Source 的安裝路徑已更新(以
HCL
取代IBM
)。不過,從 10.0.6 版或更舊版本升級時,會保留在路徑中使用
IBM
的原始安裝路徑。 - AppScan® Source 支援 IBM RPG 專案。
- AppScan® Source 支援 .NET 5/6。
- AppScan® Source 支援 OWASP Top 10 2021 報告。
- 啟用「共用存取卡 (CAC)」鑑別不再需要手動更新 java.security 檔案。
AppScan® Source 10.0.7 版中的修正程式與安全更新項目
修正和安全更新將在此處列出。
AppScan® Source 10.0.7 版中的已知問題
- 在 Windows 上,從 AppScan® Source 9.0.3.x 或 10.0.0 版升級至 AppScan® Source 10.0.7 版時,您必須先執行 AppScan® Source 10.0.1 與 10.0.6 版之間的臨時升級。重要: 請勿解除安裝再重新安裝。若要維護資料庫,您必須採取兩個步驟進行升級 。
- 使用 Oracle 資料庫配置的 AppScan® Source,需要使用 16 個或以上字元的高保護性密碼。
AppScan® Source 10.0.7 版中接近結束期限或移除的功能
AppScan® Source 10.0.6 版中的加強和新增功能
- 如同在 AppScan® Source for Analysis 中一樣,Visual Studio 外掛程式中的「發現項目」視圖現在依預設會依修正程式群組來顯示發現項目。
- AppScan® Source for Analysis 中用於比較評量的演算法,已更新為新的演算法。AppScan® Source for Analysis 用戶端的評量比較結果會與
AppScanDelta
指令一致;不過,可能會與舊版 AppScan® Source 的比較結果有一些差異。 -
在演算法更新中,您現在可以選擇從 AppScan® Source for Analysis 的「評量差異」視圖中,儲存新發現項目和/或已解決發現項目的評量。
- AppScan® Source 支援 C/C++、.Net 和 Java 的僅限原始碼掃描。
- AppScan® Source 已將公告資訊新增至業界標準報告,以協助發現項目的補救。
- AppScan® Source 支援使用「主旨替代名稱 - 多網域 (SAN)」憑證進行 CAC 鑒別。
- AppScan® Source 支援 Dart 程式設計語言。
- 支援 Linux 系統上的停止/取消掃描。
AppScan® Source 10.0.6 版中的已知問題
- 如果您使用以 AppScan® Source 10.0.5 版或更早版本建立的 Objective-C .paf/.ppf 檔案來執行掃描,則 Objective-C 專案的掃描會失敗。請在 AppScan® Source 10.0.6 版中重新配置 Objective-C 專案,然後再試一次。
AppScan® Source 10.0.6 版中的修正程式與安全更新項目
- 修正和安全更新將在此處列出。
AppScan® Source 10.0.6 版中接近結束期限或移除的功能
- AppScan® Source 已停止支援單一檔案掃描版本 10.0.0。
AppScan® Source 10.0.5 版中的加強和新增功能
- KBArticle 伺服器已取代為 AppScan Security Info Server。AppScan Security Info Server 的內容和介面已更新,為使用者提供更好的服務,但提供與先前 AppScan® Source 版本中的 KBArticle 伺服器相同的用途:協助使用者緩解和解決應用程式安全發現項目。
- AppScan® Source 已將公告資訊新增至報告,以協助發現項目補救。
- 補救協助視圖已重新命名為如何修正。
- AppScan® Source 已新增對 DISA STIG v5r1 報告格式的支援。
這個新報告列出了 Application Security Checklist 第 5 版發行版 1 中指定的漏洞種類。AppScan® Source 會儘可能產生相關結果,以協助檢閱人員判定應用程式是否符合 STIG 的需求。
- Windows 及 Linux 上都支援 HCL Common Local License Server 2.0。
- 產生發現項目報告的 AppScan® Source 支援,其中發現項目是按修正程式群組分組。
其他 AppScan® Source 10.0.5 版及 AppScan® Enterprise 10.0.5 版交互作業能力資訊
- 現在,您可以使用 AppScan® Enterprise 中 asc.properties 檔案的新內容,根據想要的使用者回應,來平衡從監視標籤發佈至 AppScan® Enterprise 或將問題匯入至 AppScan® Enterprise 的速度。請參閱 AppScan® Enterprise 說明文件,以瞭解使用
issue.import.batch.interval
內容的詳細資料。
AppScan® Source 10.0.5 版中的已知問題
- 為 AppScan Source 設定的語言環境應該符合系統語言環境,以避免主控台輸出中出現亂碼字元。
- Linux 上的如何修正視圖有一些呈現問題。此外,外部參照連結不會從 Linux 上的如何修正視圖中開啟;在外部瀏覽器中開啟文章以正確呈現並存取外部連結。
- 當自動化伺服器無法啟動 AppScan Security Info 伺服器,導致使用
ounceauto
指令來產生報告時,如何修正資訊不會包含在報告中。若要暫時解決這個問題,請在使用ounceauto
產生報告之前,先啟動 AppScan® Source for Analysis 或指令行介面(CLI 用戶端);AppScan Security Info 伺服器會由 AppScan® Source for Analysis 及 CLI 用戶端自動啟動。
AppScan® Source 10.0.4 版中的加強和新增功能
- 從 10.0.4 版起,AppScan® Source 支援下列作業系統:
- Windows Server 2019
- Red Hat Linux 7.8 和 7.9 版
如需其他資訊,請參閱 系統需求和安裝必備項目。
- 從 10.0.4 版起,AppScan® Source 支援以下語言和語言版本:
- Java 第 9、10、11 版:
- 預設值為 AdoptOpenJDK 11
- 指定的任何替代 JDK 都必須為 64 位元
- .NET Core 3.1
- 基礎架構即代碼 (IaC)
如需相關資訊,請參閱 系統需求和安裝必備項目。
- Java 第 9、10、11 版:
AppScan® Source 10.0.4 版中的已知問題
- 在 AppScan® Source 9.3.14 版或更舊版本中建立,並在「內容」視圖中標記為排除的組合,在升級至 AppScan® Source 10.0.0 版及更新版本後不會排除發現項目。應在 AppScan® Source 10.0.0 版或更新版本中重新建立組合。
- 若對 AppScan® Source for Analysis 用戶端中的所有應用程式執行掃描,可能會移入「發現項目」視圖,但不會移入修正程式群組。務必只對個別應用程式執行掃描避免此結果,並且在修正群組中適當地顯示發現項目。
- 如果評量檔名包含原生字元,則無法在英文以外的語言環境中,將評量發佈至 AppScan® Enterprise。請從檔名移除原生字元,然後重新發佈。
AppScan® Source 10.0.3 版中的加強和新增功能
- 從 10.0.3 版起,AppScan® Source 新增對下列語言的支援:
- Android Java
- Ionic
- Objective C
- React Native
- SAP ABAP
- Vue.js
- Xamarin
如需其他資訊,請參閱系統需求。
- 靜態分析的修正程式群組支援。
修正程式群組是一種新方法,用來管理、分類及解決在靜態分析掃描中發現的問題。執行靜態掃描之後,AppScan® Source 就會根據漏洞類型和必要的補救作業,將問題整理到修正程式群組。如需其他資訊,請參閱使用靜態分析修正程式群組。
- 作為修正程式群組支援的一部分,在「選取發現項目報告」對話框中可以看到伴隨報告的技術預覽。報告目前僅顯示有關修正程式群組類型的高階資訊。在未來版本中,將對報告功能加入額外深度,包括修正群組的最佳修正位置。
AppScan® Source 10.0.3 版中的已知問題
- CLI 指令
details
間歇性地報告錯誤。但是,指令的功能不受影響。ERROR [main] (PrexisLogger.java:263) - Exception javax.xml.stream.XMLStreamException: Element type "Site" must be followed by either attribute specifications, ">" or "/>".
-
開啟已發佈至 AppScan® Source 資料庫的評量來檢視修正程式群組資訊時,
NULL
可能會取代修正程式群組類型或修正程式群組 ID 顯示。將評量儲存至本端檔案系統,然後使用「開啟評量」指令開啟評量,以檢視已發佈靜態分析評量的修正程式群組資訊。
其他 AppScan Source 10.0.3 版安裝及交互作業能力資訊
- 當先前安裝已與資料庫進行配置時,如果您升級 AppScan® Source 或執行 AppScan® Source 10.0.3 版的修復安裝,則必須手動啟動
AppScan Source DB
服務。
AppScan® Source 10.0.2 版中的加強和新增功能
- 從 AppScan® Source 10.0.2 版起,需要 HCL 授權。請參閱如何取得和申請 AppScan Source 產品的授權,取得相關資訊。
- AppScan® Source for Analysis 10.0.2 版不需要連接資料庫即可執行掃描。共用掃描配置和結果的與 AppScan Enterprise 整合配置在 AppScan® Enterprise 中。此處有斷線功能的詳細說明。
- AppScan® Source 推出針對下列語言的支援:Angular 8、Angular 9、Groovy、Symfony 及 TypeScript。如需完整資訊,請參閱系統需求。
其他 AppScan® Source 10.0.2 版安裝及交互作業能力資訊
- 將 AppScan® Source 10.0.2 版安裝至全新系統時,沒有要安裝的資料庫,因此不需要執行資料庫配置。配置與 AppScan Enterprise 整合,以儲存及擷取共用資訊。
- 將 AppScan® Source 10.0.2 版安裝至全新系統以在連線模式中使用時,需要 AppScan® Enterprise 10.0.2 版。不支援舊版 AppScan® Enterprise。此外,也須安裝 AppScan Enterprise Server,並同時安裝使用者管理及 Enterprise Console。
-
從舊版升級至 AppScan® Source 10.0.2 版時,先前安裝的任何資料庫都受到完整支援,包括配置功能。
- 當先前安裝已與資料庫進行配置時,如果您執行 AppScan® Source 10.0.2 版的修復安裝,則必須手動啟動
AppScan Source DB
服務。 - 如果您升級 AppScan® Source,其中僅安裝自動化伺服器或用戶端元件,並在稍後執行修復安裝,請更新 'ounce.ozsettings 中的下列內容:
name=core_provider value=1
name=connect_mode value=false
- 不支援在 10.0.2 版之前建立的無聲自動安裝程式回應檔。必須建立新的無聲自動安裝程式回應檔,才能與 AppScan® Source 10.0.2 版搭配使用。
AppScan® Source 10.0.2 版中接近結束期限或移除的功能
- AppScan Source 不再支援 IBM 授權,因此再也無法在授權管理程式中配置它們。請參閱如何取得和申請 AppScan Source 產品的授權,取得相關資訊。
- AppScan® Source 10.0.2 版不再支援 Visual Studio 2010。
- AppScan® Source 不再隨附 SolidDB,並且 SolidDB 的安裝不屬於解決方案的一部分。現已安裝的 SolidDB 會繼續獲得支援。
- 管理員功能表裡不會再有審核日誌選項。
AppScan® Source 10.0.1 版中的加強和新增功能
- AppScan® Source 10.0.1 版已加強授權功能,包括在使用者介面中針對 HCL 型授權的 Proxy 支援,可以使用不受信任的憑證與本端授權伺服器連線。
- AppScan® Source 10.0.1 版引進了
AppScanDelta
。此特性可讓使用者執行從指令行進行兩個評量之間的差異比較。 - AppScan® Source 支援 NetCore 2.1 和 2.2。
- AppScan® Source 10.0.1 版包含針對 Scala、Swift、Kotlin 和 ReactJS 語言的支援。如需其他資訊,請參閱系統需求。
- AppScan® Source 10.0.1 版支援 DISA STG v4r10 報告格式。
AppScan® Source 10.0.1 版中的已知問題
- 如果您掃描的是來自 2015 或更舊版本的 Visual Studio 專案,掃描可能會失敗,並且顯示要刪除 discoverymanager.exe.config 的訊息。請刪除指定的檔案然後再試一次。如需相關資訊,請參閱這裡。
AppScan® Source 交互作業能力
- 必須如下所述配置 9.0.3x 版和 10.0.0 版的 AppScan® Enterprise,才能與 AppScan® Source 10.0.1 版交互作業:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
AppScan® Source 10.0.1 版中接近結束期限或移除的功能
從 AppScan® Source 10.0.1 版起,下列功能已接近結束期限。請做好因應規劃。
AppScan® Source 10.0.0 版中的加強和新增功能
-
IBM® Security AppScan® Source 現在是 HCL® AppScan® Source。
在 2019 年中旬,HCL Technologies 收購 IBM 的 AppScan® 系列產品,包括 AppScan® Enterprise、AppScan® Standard、AppScan® Source 和 AppScan® on Cloud。所有 AppScan® 產品現在由 HCL Software 所擁有、開發及提升。所有授權、標誌、命名慣例及其他智慧財產權由 HCL 擁有。因此,所有 AppScan® 產品都已更換品牌,以反映此擁有權及其開發和成長階段。
-
引進 HCL® AppScan® Source 的 HCL 授權
從 IBM 移轉到 HCL 的過程中,HCL 針對 AppScan® 系列產品,引進 HCL 核心授權套件。AppScan®、AppScan® Standard 及 AppScan® Source 使用本端 FlexLM 授權伺服器、透過 Proxy 伺服器鑑別;AppScan® on Cloud 採用 Okta 領先市場的客戶身分存取管理 (CAIM) 系統。
- AppScan® Source 現在支援 Go 程式設計語言 (Golang)。
- AppScan® Source 現在於 Visual Studio 2015、2017 和 2019 中支援 C++ 掃描。
- AppScan® Source 現在支援 Oracle 19c。
- 新的資料流掃描功能執行更完整的程式碼分析,產生更多發現項目。
- 若是針對 AppScan® Source 具有自訂掃描器的語言,您在使用 AppScan® Source 第 10 版掃描時,可能會在發現項目中看見標示的差異。在掃描已轉換為自訂掃描的狀況中,這可能表示發現項目的減少。自訂掃描器的規則正在發展並定期增添中,且易於增強。
- 加強與「智慧型程式碼分析 (ICA)」和「智慧型發現項目分析 (IFA)」的整合。
啟用 ICA/IFA 時,您會看到且可以存取「已排除的發現項目」標籤。如需相關資訊,請參閱 AppScan® Source 說明文件中的智慧型發現項目分析 (IFA)。
根據預設,所有掃描的 IFA 已啟用。啟用時,會套用到目前掃描與未來掃描。無法將此功能從先前掃描套用到評量。
- 在 AppScan® Source 中掃描 .NET 專案(ASP、WEB、Framework、Core),與 HCL AppScan on Cloud 中的處理程序相似。.NET 專案必須先完成編譯,才能掃描,而且在專案內容中必須有正確的建置規格。
- 15 GB 是安裝 AppScan® Source 和執行基本掃描所需的最小空間量。但是,所需的磁碟空間隨著要掃描的應用程式而不同。建議至少要有 8 GB 的 RAM 和 15-20 GB 的可用磁碟空間。您也可能需要提高 Windows 分頁檔需求(如需相關資訊,請參閱改善 Windows 10 電腦效能的提示)。
-
如需系統需求、掃描以及外掛程式支援的相關資訊,請參閱 系統需求和安裝必備項目 或聯絡 HCL 支援中心。
AppScan® Source 10.0.0 版交互作業能力
- AppScan® Source 10.0.0 用戶端將無法透過 10.0.0 以前的 AppScan® Source 資料庫正確地掃描,這是因為資料庫內容與掃描規則相關,造成內容的差異。
- 同樣的,10.0.0 以前的 AppScan® Source 用戶端將無法透過 10.0.0 AppScan® Source 資料庫正確地掃描。
- 9.0.3.x 版的 AppScan® Enterprise 無法使用以 AppScan® Source 10.0.0 資料庫實例配置的 AppScan® Source 實例,反之亦然
- 必須如下所述配置 9.0.3.x 版的 AppScan® Enterprise,才能與 AppScan® Source 10.0.0 交互作業:
set "allow.newer.source.clients=true" in \Program Files (x86)\IBM\AppScan Enterprise\Liberty\usr\servers\ase\config\asc.properties file
其他 AppScan® Source 10.0.0 版的安裝指示
當使用 Visual Studio 2019 外掛程式安裝 AppScan® Source 10.0.0 版時,即便安裝看來順利完成,但 Visual Studio 2019 外掛程式可能未適當安裝。若要在 Visual Studio 2019 中安裝 AppScan® Source 10.0.0 版外掛程式:
- 請確定 HCL® AppScan® Source 10.0.0 版是安裝在目標系統上。在安裝期間選取 Microsoft Visual Studio 2019 外掛程式。
- 如果 AppScan® Source 10.0.0 之前的版本已安裝至 Visual Studio 2019 的目標實例,請如下所示將其解除安裝:
- 啟動目標 Visual Studio 2019 實例。
- 開啟至 。
- 在「已安裝」標籤上,從清單中選取「AppScan Source 外掛程式」。
- 按一下「解除安裝外掛程式」,然後遵循提示完成解除安裝。
- 將 HCL® AppScan® Source 10.0.0 版外掛程式安裝至 Visual Studio 2019 實例,如下所示:
- 關閉所有 Visual Studio 2019 實例。
- 從 HCL® AppScan® Source 版本下載網站下載 VS2019Plugin.zip。
- 將 zip 檔的內容解壓縮至 <AppScan Source Install Dir>(預設位置是 C:\Program Files (x86)\IBM\AppScanSource)。出現提示時,針對所有選項選擇「是」。
- 從 <AppScan Source Install Dir>/bin 目錄中按兩下 AppScanSrcPlugin.vsix。
- 在產生的「VSIX 安裝程式」對話框中,選取 Visual Studio <版本> 2019,然後按一下安裝。
根據在機器上安裝的項目,版本可以是 Professional、Enterprise 或 Community。如果可用,您可以選擇安裝一個以上的版本。
- 當安裝完成時,請關閉對話框。
- 重新啟動 Visual Studio 2019。「AppScan Source 外掛程式」會顯示在「延伸模組」下方。
AppScan® Source 10.0.0 版中的已知問題
- 不支援下列語言:
- Arxan C
- WSDL
- 在 WebSphere 上,僅支援預設的 JSP 編譯選項。
- 單一檔案掃描並非適用於所有的語言。
- 沒有機制可停用 JSP 檔案的前置編譯。JSP 檔案將一律前置編譯。
- 「停止/取消掃描」在 Linux 系統上不會運作。
- 當使用指令行介面時,「停止/取消」可能無法在 Windows 系統上運作。若要暫時解決這個問題,請重新啟動 AppScan® Source 並且結束背景處理程序。
- 將 AppScan® Source 10.0.0 版從 Windows 系統解除安裝時,解除安裝處理程序有時會當機。如需相關資訊,請參閱在 Windows 解除安裝 AppScan Source 會當機。
- 在升級至 AppScan® Source 10.0.0 版之後,系統不會產生 PDF 報告。如需相關資訊,請參閱在升級實務範例中,AppScan Source 10.0.0 在 PDF 報告產生期間擲出 「java.lang.reflect.InvocationTargetException」。
AppScan® Source 10.0.0 版中接近結束期限的功能
- 自訂發現項目
- 品質度量
- 電子郵件/設定
- RSS 資訊來源
- 應用程式屬性
使用 AppScan Enterprise 來儲存應用程式資訊。
- 問題追蹤系統整合
使用 AppScan® 問題閘道在 AppScan Enterprise 層次進行整合
AppScan® Source 10.0.0 版中不再支援的功能及特性
- 不再支援漏洞快取。
- 不支援增量掃描。
- 不支援非 CPA 掃描。
-
從 9.0.3.11 版起,AppScan® Source 不再支援 macOS 或 iOS Xcode 專案掃描。
AppScan® Source 的部分元件為 32 位元。MacOS 10.14 (Mojave) 是支援 32 位元應用程式的最新 Mac 作業系統版本。
您可以繼續在 Mac 10.12(含)以下作業系統上使用 AppScan® Source 9.0.3.10 版及更早版本。
說明文件
您可以在 https://support.hcltechsw.com/csm 找到 AppScan® Source 說明文件的相關資訊。
取得技術支援
取得本產品的技術支援相關資訊可從 https://support.hcltechsw.com/csm 取得。
版權
(C) Copyright HCL Technologies Limited® and its licensors 2024.All Rights Reserved.
HCL®HCL Technologies Limited、HCL Software、HCL® 標誌、hcl.com®、hcltech.com 和 AppScan® 均為 HCL Technologies Limited 在世界各地多個適用範圍中所註冊的商標或註冊商標。Rational®、WebSphere® 和 ClearQuest® 均為 IBM Corp. 的商標或註冊商標。其他產品和服務名稱可能是 HCL® 或其他公司的商標。您可以從網路上的「版權商標資訊」中取得現行的 HCL® 商標清單,網址是 http://www.hcltech.com/disclaimer。Linux™ 是 Linus Torvalds 在美國及/或其他國家或地區的註冊商標。Microsoft™、Windows™、Windows NT™ 及 Windows™ 標誌是 Microsoft™ Corporation 在美國及/或其他國家或地區的商標。Unix 是 The Open Group 在美國及其他國家或地區的註冊商標。Java™ 和所有以 Java 為基礎的商標與標誌是 Oracle 及/或其子公司的商標或註冊商標。
本程式包含:Jacorb 2.3.0(Copyright 1997-2006 JacORB 專案)及 XOM1.0d22 (Copyright 2003 Elliotte Rusty Harold),每一個都依 「GNU 程式庫通用公用授權 (Gnu Library General Public License, LGPL)」來提供,您可以在本程式隨附的「注意事項」檔案中找到此 LGPL 的副本。