既知の問題と回避策

既知の問題と回避策を示します。

1. 既知の問題と回避策
問題 回避策
Firefox ブラウザーを使用している場合、"Group by" 課題は、一部の課題属性列に値を表示しません。 セクションを展開または折りたたむか、ブラウザを更新すると、すべての値が表示されます。
アクティビティ ログでは、日付フィルターにより、指定された日付範囲よりも 1 日多いデータが表示されます。 なし。
CVSS 3.1 属性を持たない課題については、期限切れの計算は行われません なし。
バージョン 10.1.0 以前でスキャンされ、アプリケーションに関連付けられたすべての問題について、CVSS バージョン = 2.0 フィルターは CVSS 2.0 と 3.1 の両方の問題を表示する場合があります。 バージョンに基づいて最初にすべての CVSS 2.0 の問題を一覧表示する CVSS バージョン 列に基づいて、問題を並べ替えることができます。

IAST .NET エージェントは、一部の .NET フレームワーク・アプリケーションで NuGet としてインストールできず、「Unable to resolve dependency 'MonoModReorg.RuntimeDetour'」というエラーが表示されることがあります。

IAST エージェントをインストールする前に、NuGet をインストールします。'MonoModReorg.RuntimeDetour'、バージョン 22.11.21-prerelease.2。Visual Studio の「NuGet」タブにある「プレリリース」チェックボックスがオンになっていることを確認します。これで、IAST エージェントを NuGet としてインストールできます。
LDAP が ASE に構成されている場合、およびスキャナーとサーバーが同じマシンにインストールされている場合は、ユーザー・グループをインポートできず、ユーザー・プロパティーを正しい値で保存できません Dynamic Analysis Scanner とともに、サーバー構成中に以前選択した「サーバー・コンポーネント」ウィンドウで該当するすべてのコンポーネント (ユーザーの管理/Enterprise Console/IAST) を選択して、構成ウィザードを再実行します。
重大度が「情報」の IAST 問題では、CVSS のバージョンが 3.1 ではなく 2.0 として表示されます。 IAST は AppScan Enterprise Scanner であるため、表示されたバージョンは無視して、バージョンを 3.1 と見なしてください。
スキャン状況アラートは、構成済みの E メール・アドレスに送信されません。 アラート・サービスを再開します。
10.0.8 から 10.1.0 にアップグレードすると、IAST Java war エージェントの配置または接続が失敗し、AppScan Enterprise との対話が行われません。 このエージェントを無効にしてから、再度有効にしてください。
AppScan Mobile Analyzer および AppScan Mobile Analyzer IOS スキャナー・プロファイルに関する問題を再インポートすると、エラーが発生します。 「モニター」タブを更新します。
問題を再テストすると、問題が実際に修正されていない場合でも、問題の状況が「修正済み」として報告されることがあります。 サイトで認証が必要な場合は、正しい再テスト状況を提供するために、再テストのスキャン・レベルでログインを必須に設定する必要があります。
問題のタイプ「Spring MVC でのリモート・コマンド実行 (CVE-2022-22965)」を再テストすると、問題が実際に修正されていない場合でも、「再オープン」ではなく「修正済み」として問題の状況が報告されることがあります。 アプリケーションのフル・スキャンを実行して、この問題のタイプが修正されているかどうかを確認することをお勧めします。
「モニター」タブでは、問題をクリックしても問題の詳細は表示されません。代わりに、エラー・メッセージ「CRWAS9999E 不明なエラーが発生しました。」が表示されます。この問題は、問題の詳細のテキスト・コンテンツが大きい場合に発生します。 <ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> に移動し、-Xss1024m という行を jvm.options に追加して、「HCL AppScan Enterprise Server」サービスを再始動します。
エージェント・サービスに「ライセンスの検査」状況が表示されます。 スキャナー・マシンで「HCL AppScan Agent Service」を再始動します。

DAST プロキシーの場合、Firefox ブラウザーを使用してトラフィックを記録しても、「セッション内」は自動的に検出されません。

 メイン・ページの URL を選択して 「セッション中」 ボタンをクリックして「セッション内」を手動で追加するか、トラフィックの記録前に大量のトラフィックを作成するすべての Firefox プラグイン (例: Clockify) をオフにします。
OWASP 2017 の削除と OWASP 2021 レポートのサポート: 10.0.7 より前に作成されたレポート・パックとレポート・パック・テンプレートには、いずれも OWASP 2017 レポートが使用されています。 必要に応じて、2017 年 OWASP Top 10 を手動で削除し、既存のすべてのスキャンのレポート・パックに 2021 年 OWASP Top 10 を追加してレポート・パックを実行する必要があります。
IAST エージェント・ページでは、次のような UI の不具合が発生する可能性があります。
「アクション」ドロップダウンから 「キーの生成」ボタンをクリックしても、応答がありません。 ページを最新表示して、再試行してください。
生成キー・ポップアップで 「生成」ボタンをクリックしても、応答がありません。 複数回クリックしないでください。約 1 分間待っても応答がない場合は、ポップアップを閉じてもう一度実行してください。
Node.js エージェントのキーを再生成すると、パッケージ・サイズが大きくなる可能性があります。 ほとんどの場合に機能しているため、これは無視できます。
ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。 エージェント・キーを再生成し、エージェントを再度ダウンロードします。
SAST の問題の場合、インポートされたジョブが「スキャン」タブで実行されると、共通の問題に対して使いやすい名前が生成されるようになりました。「モニター」 タブでは、以前のリリースとの整合性を保つために古い形式の ID が引き続き使用されます。今後、使いやすい名前に更新される予定です。このため、同じアプリケーションを使用してソース・データを「モニター」タブに直接インポートし、同じアプリケーションを「スキャン」タブで実行されるソース・インポート・ジョブにリンクすると、異なる問題タイプ (SQL 注入、クロスサイト・スクリプティングなど) に分類される問題が発生する可能性があります。 複数の SAST 問題を AppScan Enterprise にインポートする場合は、すべての問題に対して同じメカニズムを使用することをお勧めします。つまり、「モニター」タブですべてのスキャンをインポートするか、「スキャン」タブですべてのジョブをインポート・ジョブとして実行してアプリケーションにリンクします。機能に影響はありません。この問題は、表示にのみ影響します。
Payment Card Industry Data Security Standard (PCI) レポートの日本語バージョンでは、コンプライアンスの詳細が省略されています。 この問題の詳細については、障害に関する以下の記事を参照してください: https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0094517
AppScan Enterprise UI 言語が英語以外の言語に設定されている場合は、以下の問題が発生する可能性があります。
  • 「モニター」ページで、スキャンの問題の「問題について」ページに移動すると、理由に関する情報は常に英語で表示されます。
  • UI 言語が Espanola (スペイン語) に設定されている場合は、リファレンス API リンクと「修正方法」レポートの内容が英語で表示されます。
  • 「モニター」タブで異なる言語とエクスポートの問題を選択すると、IssueType 名が英語で表示されます。
  • 別の言語に切り替えると、「スキャン」タブの「修正方法」 (異なるプログラミング言語の内容) が以前の言語で表示されます。
  • ase_plan.pdf ファイルと Readme ファイルは翻訳されません。
 言語設定を変更しても、UI 機能は影響を受けません。ただし、この情報が英語になります。したがって、これらの問題が後続のリリースで解決されるまで、引き続き UI 機能を使用することをお勧めします。
既に使用中のポートにユーザーが修正方法を設定している場合、UI ユーザーが問題の詳細にアクセスして修正方法のリンクにアクセスしようとしても、適切なエラー・メッセージが表示されません。 別のポートに修正方法を指定して、構成ウィザードを再実行します。
ユーザーが ASE UI で ユーザー定義テスト・ファイルをアップロードすると、次のエラー・メッセージが表示されます: アドバイザリー・サービス・サーバーへの接続中にエラーが発生しました。 UDT ファイルは、AppScan Enterprise に正常にインポートされます。しかし、ユーザーには UI またはレポートに UDT issueTypeId が「修正方法」の情報が表示されません。
UDT issueTypeId の xml「修正方法」情報を参照するには、次のようにします。
  1. <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives フォルダー・パスに移動し、対応する UDT IssueTypeName zip ファイルを抽出します (例: UserDefined_UDT1.zip)。
  2. ユーザーは、<ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US フォルダー・パスにある修正方法/アドバイザリー情報の xml (例: UserDefined_UDT1.xml) ファイルを確認できます。
フォルダーのアクセス権を変更せずにスキャンのページからフォルダーを編集し、「保存」ボタンをクリックすると、アクションが 3 としてマークされた項目が ActivityLog テーブルに作成されます。アクション 3 は、フォルダーが編集されていることを示します。 フォルダー・アクセス権を編集していない場合は、「キャンセル」ボタンをクリックしてページを終了する必要があります。
ドメイン名は、API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} を使用して ADAC クライアント統合 (.exd 形式のファイル) を介した、Postman または SoapUI ツールによって生成されたトラフィック・ファイルから除外されません トラフィック・ファイルからドメインのトラフィックを除外するには、.dast.config.har ファイルを使用する必要があります。
Windows での AppScan Enterprise サービス・アカウントのユーザー許可の変更時に、スキャン・ジョブが失敗しています。 AppScan Enterprise Server と Scanner マシンの両方で、サービス・アカウント・ユーザーを Windows 管理者グループに追加する必要があります。
AppScan エージェント・サービス・プロセスがタスク・マネージャーによって強制終了されるとき、HCL スキャナー・ライセンスのチェックインが即座に行われません。ライセンスがリリースされるまで、約 15 分かかります。 ライセンスを解放するために、サービスを介して、再度エージェントを始動および停止することが推奨されます。
AppScan Enterprise Server がシャットダウンされる前にユーザーがログアウトしていない場合、オープン・セッションでライセンスがプールにチェックインし直されない可能性があります。これらの残されたライセンスは、2 時間後にチェックインし直されます。 ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。
AppScan Enterprise のインストール中に、アプリケーションがシステム内の新しいバージョンの存在を確認せずに Visual C++ 2015 Redistributable をインストールしようとしているため、より高いバージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。 Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。
製品のインライン・ヘルプは、すべての言語で使用できますが、関連リンクは、日本語、フランス語、中国語 (簡体字)、および中国語 (繁体字) でのみ使用できます。 なし。
拡張ログ・ファイルのサイズが大きい場合 (2GB 以上)、スキャン・タブ概要レポートからのダウンロード・ログ・ファイルの操作の結果、zip ファイルが 0KB になることがあります。 このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリーからファイルをコピーします。
Dynamic Analysis Configuration Client でスキャンを編集する場合、編集しているスキャンが AppScan Enterprise で稼働中ではないことを確認してください。稼働中の場合、スキャンの更新中にジョブが中断される可能があります。 Client の「ジョブ・プロパティー」ページで「できるだけ早く実行」チェック・ボックスをクリアしてから、「ジョブの更新」をクリックします。
スキャン・ジョブに記録されたログインしか含まれていない場合 (マニュアル探査または開始 URL がない場合)、スキャンはそのページの下ではクロールしません。 少なくとも 1 つの URL をマニュアル探査または「スキャン対象」ページの開始 URL に追加してください。
エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。 AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワーク・アクティビティーとしてフラグを付ける可能性があるセキュリティー・テストを送信します。
ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。 ジョブ・プロパティー内で正規化ルールが定義されている場合は、それらの結果が有効な URL であることを確認することが重要です。
問題管理がレポートに関して実行された場合、「レポート・パックの概要」レポートがレポート・データと同期しなくなります。 問題管理タスクの完了時に数を同期化するには、レポート・パックを再実行する必要があります。
削除されたレポートは、ダッシュボードからすぐには除去されません。 変更を有効にするには、ダッシュボードを再実行する必要があります。
リストをソートするときに、日本語、および中国語では予想通りに照合順序が機能しない場合があります。 現地固有の照合として .NET および SQL 照合が使用されますが、本製品は ICU には準拠していません。

ADAC のジョブ中断機能が、9.0.3.11 以前で作成したジョブに機能しません。これは、ジョブの編集を保存するまで継続します。

根本原因: これは、アプリケーションに問題があったためで、その開始 URL が ADAC ジョブ用の ASE データベースに更新されていませんでした。中断機能では ASE データベースのドメインを読み取っているため、ADAC ジョブに対する中断が機能しなくなっていました。開始 URL は dast.config ファイルに保管されているため、既存のファイルを手動で編集して ASE データベースに保管される URL に保存する必要があります。
  1. ADAC ジョブ (Created before 9.0.3.11 以前で作成したもの) を編集します。
  2. ジョブの更新を実行します。
  3. これによって構成したとおり (コンテンツ・スキャン・ジョブと同じよう) に中断が機能します。