既知の問題と回避策

既知の問題と回避策を示します。

1. 既知の問題と回避策
問題 回避策
「AppScan Enterprise 管理」 ページからセキュリティー・テスト・ポリシーをエクスポートした場合、.policy ファイルにはテストの詳細が含まれません。 AppScan Standard をインストールし、目的のセキュリティー・テスト・ポリシー用に .policy ファイルをエクスポートします。
AppScan Enterprise UI 言語が英語以外の言語に設定されている場合は、以下の問題が発生する可能性があります。
  • 「スキャン」 タブで、「 修正方法」 メニューが英語で表示されます。
  • 「スキャン」タブから生成されたレポートでは、見出し名は新しい見出し名「修正方法」ではなく「アドバイザリーと推奨される修正」として出力されます。
  • 「モニター」 または 「スキャン」 ページで、セキュリティー・レポートを生成するために選択する必要があるチェック・ボックスのラベルが、新しい名前の「修正方法」 ではなく「アドバイザリーと推奨される修正」として表示されます。
  • UI 言語が Espanola (スペイン語) に設定されている場合は、リファレンス API リンクと「修正方法」レポートの内容が英語で出力されます。
  • 「スキャン」タブから *.PDF 形式で生成されたセキュリティー・レポートでは、「リスク」ヘッダーと「外部参照」ヘッダーが英語で出力されます。

  • テスト対象アプリケーションにセキュリティーの脆弱性がある場合、その「モニター」 ページで問題番号をクリックすると、 「修正方法」 リンクが英語で表示されます。

  • 「モニター」タブで異なる言語とエクスポートの問題を選択すると、IssueType 名が英語で表示されます。
  • 別の言語に切り替えると、「スキャン」タブの「修正方法」 (異なるプログラミング言語の内容) が以前の言語で表示されます。
 言語設定を変更しても、UI 機能は影響を受けません。ただし、これらの情報が英語になります。したがって、これらの問題が後続のリリースで解決されるまで、引き続き UI 機能を使用することをお勧めします。
Google Chrome または Mozilla Firefox ブラウザーでページ・ビューの 「ズーム率」を 100% に設定している場合に、IAST ページで Node.js エージェント・タイプを選択すると、指示テキストの最後のステップが切り捨てられて表示されません。 このような問題を回避するには、Internet Explorer で IAST ページを開くか、IAST ページを表示しているブラウザーで、切り捨てられた指示テキストが表示されるまで、表示倍率を調整することをお勧めします。
以前にデフォルト以外のポートを設定していた場合、v10.0.5 にアップグレードする際に、アドバイザリー・サービス・ポートが保持されません。 v10.0.5 にアップグレードする際に、ポートはデフォルト・ポート (9444) に変更されます。そのため、手動で変更する必要があります。
AppScan Enterprise をローカル・ライセンス・サーバーで構成し、IAST ライセンスを保有しているのに、IAST エージェントの作成時に次のメッセージが表示される場合: 「CRWAS2308E 作成している IAST エージェントに対するライセンスのチェックアウトが失敗しました。IAST サービスが実行され、ライセンス・サーバーが正しく構成されているかどうかを確認してください。CRWAS2308E. Windows サービスを開始し、IAST Communication Service を再起動します。
既に使用中のポートにユーザーが修正方法を設定している場合、UI ユーザーが問題の詳細にアクセスして修正方法のリンクにアクセスしようとしても、適切なエラー・メッセージが表示されません。 別のポートに修正方法を指定して、構成ウィザードを再実行します。
ユーザーが ASE UI で ユーザー定義テスト・ファイルをアップロードすると、次のエラー・メッセージが表示されます: アドバイザリー・サービス・サーバーへの接続中にエラーが発生しました。 UDT ファイルは AppScan Enterprise に正常にインポートされますが、ユーザーには UI またはレポートに UDT issueTypeId が「修正方法」の情報が表示されません。
UDT issueTypeId の xml「修正方法」情報を参照するには、次のようにします。
  1. <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives フォルダー・パスに移動し、対応する UDT IssueTypeName zip ファイルを抽出します (例:UserDefined_UDT1.zip)。
  2. ユーザーは、<ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US フォルダー・パスにある修正方法/アドバイザリー情報の xml (例: UserDefined_UDT1.xml) ファイルを確認できます。
10.0.4 へのアップグレード中に構成ファイルにエントリーが重複して追加される場合がある この問題の解決方法については、「技術情報 https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0090236」を参照してください。
AppScan Enterprise アプリケーションの構成ウィザードによるセキュリティー・ルールの更新中に、「セキュリティー・ルールの更新の内容を抽出中にエラーが発生しました。詳しくは、ログを参照してください。HCL サポートにお問い合わせください。」というエラー・メッセージが表示される場合があります。 構成ウィザードは、AppScan Enterprise インスタンスの構成に使用したユーザーと同じサービス・アカウントを使用して実行する必要があります。
フォルダーのアクセス権を変更せずにスキャンのページからフォルダーを編集し、「保存」ボタンをクリックすると、アクションが 3 としてマークされた項目が ActivityLog テーブルに作成されます。アクション 3 は、フォルダーが編集されていることを示します。 フォルダー・アクセス権を編集していない場合は、「キャンセル」ボタンをクリックしてページを終了する必要があります。
ドメイン名は、API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} を使用して ADAC クライアント統合 (.exd 形式のファイル) を介した、Postman または SoupUI ツールによって生成されたトラフィック・ファイルから除外されません。 トラフィック・ファイルからドメインのトラフィックを除外するには、.dast.config.har ファイルを使用する必要があります。
Windows での AppScan Enterprise サービス・アカウントのユーザー許可の変更時に、スキャン・ジョブが失敗しています。 AppScan Enterprise Server と Scanner マシンの両方で、サービス・アカウント・ユーザーを Windows 管理者グループに追加する必要があります。
AppScan エージェント・サービス・プロセスがタスク・マネージャーによって強制終了されるとき、HCL スキャナー・ライセンスのチェックインが即座に行われません。ライセンスがリリースされるまで、約 15 分かかります。 ライセンスを解放するために、サービスを介して、再度エージェントを始動および停止することが推奨されます。
AppScan Enterprise Server がシャットダウンされる前にユーザーがログアウトしていない場合、オープン・セッションでライセンスがプールにチェックインし直されない可能性があります。これらの残されたライセンスは、2 時間後にチェックインし直されます。 ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。
9.0.3.12 を 10.0.3 にアップグレードしているときに、エラー・メッセージが表示されます。 AppScan Enterprise v9.0.3.12 から v10.0.3 にアップグレードするときに、WFWEO.dll の登録に失敗しましたというエラー・メッセージが表示される場合は、v10.0.3 をアンインストールする必要があります (アンインストール中にも同じエラー・メッセージが表示される場合があります)。AppScan Enterprise v10.0.3 をアンインストールしたら、既存のデータベースを参照する AppScan Enterprise v10.0.3 を再インストールする必要があります。
AppScan Enterprise のインストール中に、アプリケーションがシステム内の新しいバージョンの存在を確認せずに Visual C++ 2015 Redistributable をインストールしようとしているため、より高いバージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。 Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。
クイック・スキャンを実行しようとすると、マニュアル探査ツールのブラウザーがアプリケーションを起動しなかったり、ブラウザーが途中でフリーズしたりします。 マニュアル探査ツールまたは Activity Recorder でトラフィックを手動で記録し、トラフィックを更新して、クイック・スキャンを実行してください。
Knowledge Center (KC) はすべての変更を含めて更新されていますが、製品のインライン・ヘルプはこのリリースでは更新されていません。 該当なし
拡張ログ・ファイルのサイズが大きい場合 (2GB 以上)、スキャン・タブ概要レポートからのダウンロード・ログ・ファイルの操作の結果、zip ファイルが 0KB になることがあります。 このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリーからファイルをコピーします。
OWASP 2013 の削除と OWASP 2017 レポートのサポート9.0.3.9 より前に作成されたレポート・パックとレポート・パック・テンプレートには、いずれも OWASP 2013 レポートが使用されています。 必要に応じて、ユーザーが手動で OWASP 2013 レポート・パックを削除して新しい OWASP 2017 レポートを追加します。
Dynamic Analysis Configuration Client でスキャンを編集する場合、編集しているスキャンが AppScan Enterprise で稼働中ではないことを確認してください。稼働中の場合、スキャンの更新中にジョブが中断される可能があります。 Client の「ジョブ・プロパティー」ページで「できるだけ早く実行」チェック・ボックスをクリアしてから、「ジョブの更新」をクリックします。
Dojo 機能のレンダリング。 Microsoft Silverlight を Internet Explorer 8.0 で使用して、Dojo 機能を適切にレンダリングします。
スキャン・ジョブに記録されたログインしか含まれていない場合 (マニュアル探査または開始 URL がない場合)、スキャンはそのページの下ではクロールしません。 少なくとも 1 つの URL をマニュアル探査または「スキャン対象」ページの開始 URL に追加してください。
データベースを 8.8 より前のバージョンからアップグレードしてから、既存のジョブをクリックすると、スキャン・ログは空になっています。 ジョブを再実行して、新規スキャン・ログを生成してください。
「アプリケーション・プロファイル・テンプレートの編集」ページを IE 8/9 で編集すると、変更は保存されません。 編集しているフィールドから移動してページに戻り、変更を保存します。あるいは、ブラウザーを Internet Explorer 11 または FireFox 24 にアップグレードします。
スキャン (アップグレードされたスキャンを含む) の実行時、JavaScript Analyzer (JSA) はデフォルトでオフになっています。 コンテンツ・スキャン・ジョブの「セキュリティー」ページで JSA を有効化します。
エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。 AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワーク・アクティビティーとしてフラグを付ける可能性があるセキュリティー・テストを送信します。
ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。 ジョブ・プロパティー内で正規化ルールが定義されている場合は、それらの結果が有効な URL であることを確認することが重要です。
問題管理がレポートに関して実行された場合、「レポート・パックの概要」レポートがレポート・データと同期しなくなります。 問題管理タスクの完了時に数を同期化するには、レポート・パックを再実行する必要があります。
削除されたレポートは、ダッシュボードからすぐには除去されません。 変更を有効にするには、ダッシュボードを再実行する必要があります。
Internet Explorer でマニュアル探査機能を使用しているときに、接続の問題とパフォーマンスの低下が発生することがあります。 Internet Explorer でマニュアル探査機能を使用しているときには、「インターネット オプション」の「詳細設定」で、「プロキシ接続で HTTP 1.1 を使用する」を有効にすることをお勧めします。
リストをソートするときに、デンマーク語日本語、および中国語では予想通りに照合順序が機能しない場合があります。 現地固有の照合として .NET および SQL 照合が使用されますが、本製品は ICU には準拠していません。

ASE 9.0.3.12 の構成ウィザードを (セキュリティー・ルールの更新ステップ後に) 実行すると、以下のエラー・メッセージが表示されます。

Liberty サーバーを開始できません。詳細: TRAS0038E: システムからファイル \IBM\AppScan Enterprise\Liberty\usr\servers\ase\logs\trace.log を削除できませんでした。

 このエラー・メッセージは、ASE を 9.0.3.x バージョンから、ライブラリー・トレース・ログが有効化されている (UI の管理者タブのデバッグ・ログが有効になっている) 9.0.3.12 にアップグレードした場合にのみ表示されます。

解決策

  • Before upgrade to 9.0.3.12 にアップグレードする前に、既存の ASE UI (「管理者」タブ > 「全般」設定>「ログ」設定> 「編集」) でロギングが有効になっているか確認してください。有効になっている場合は、「管理者」タブのログを無効にしてください。
  • 次の場所に移動します。‘ASE installation directory’\HCL\AppScan Enterprise\Liberty\usr\servers\ase\logs\?
  • 上記のディレクトリーから trace で始まるすべてのログ・ファイルを削除します。
  • ASE のアップグレードを実行してください。通常、この問題は再発しません。
  • 構成ウィザードを実行中にこの問題が発生した場合は、構成ウィザードを閉じます。
    • ASE installation directory’\HCL\AppScan Enterprise\Liberty\usr\servers\ase\logs\ に移動します。
    • 上記のディレクトリーから 「trace」で始まるすべてのログ・ファイルを削除します。
    • 構成ウィザードをはじめから実行してください。これによって問題は解決します。

ADAC のジョブ中断機能が、9.0.3.11 以前で作成したジョブに機能しません。これは、ジョブの編集を保存するまで継続します。

根本原因: これは、アプリケーションに問題があったためで、その開始 URL が ADAC ジョブ用の ASE データベースに更新されていませんでした。中断機能では ASE データベースのドメインを読み取っているため、ADAC ジョブに対する中断が機能しなくなっていました。開始 URL は dast.config ファイルに保管されているため、既存のファイルを手動で編集して ASE データベースに保管される URL に保存する必要があります。
  1. ADAC ジョブ (Created before 9.0.3.11 以前で作成したもの) を編集します。
  2. ジョブの更新を実行します。
  3. これによって構成したとおり (コンテンツ・スキャン・ジョブと同じよう) に中断が機能します。
/jobs/search api を取得する、REST API の 開始 URL を使用した検索は、9.0.3.11 リリース以降で作成されたスキャン・ジョブに対してのみ機能します。 該当なし