既知の問題と回避策
既知の問題と回避策を示します。
問題 | 回避方法 |
---|---|
問題のタイプ、重大度、スキャナー、ステータスに基づいて問題を「グループ化」したときに、各カテゴリに 500 を超える問題がある場合、追加の問題は表示されないため、フィルターを使用することをお勧めします。フィルターも、列タイプごとに最大 100 の値を表示するように制限されます。 |
「グループ化」オプションを削除し、結果の表示に使用する列の種類でデータをソートします。 |
[コンポーネント] ビューの詳細を、AppScan Enterprise または AppScan Standard からエクスポートまたはインポートすることはできません。ただし、脆弱なコンポーネントを問題としてエクスポートまたはインポートすることはできます。 | なし |
セキュリティ・レポート (xls、Excel、xml、PDF) にコンポーネントの詳細が表示されません。 | なし |
CVE レコードを更新する方法は、設定ウィザードを実行することのみです。AppScan Enterprise のインストール後に導入された新規 CVE は、脆弱なコンポーネントについては特定されません。 | なし |
アクティビティ ログでは、日付フィルターにより、指定された日付範囲よりも 1 日多いデータが表示されます。 | なし |
CVSS 3.1 属性を持たない課題については、期限切れの計算は行われません | なし |
バージョン 10.1.0 以前でスキャンされ、アプリケーションに関連付けられたすべての問題について、CVSS バージョン = 2.0 フィルターは CVSS 2.0 と 3.1 の両方の問題を表示する場合があります。 | バージョンに基づいて最初にすべての CVSS 2.0 の問題を一覧表示する CVSS バージョン 列に基づいて、問題を並べ替えることができます。 |
IAST .NET エージェントは、一部の .NET フレームワーク・アプリケーションで NuGet としてインストールできず、「Unable to resolve dependency 'MonoModReorg.RuntimeDetour'」というエラーが表示されることがあります。 |
|
これで、IAST エージェントを NuGet としてインストールできます。 | LDAP が ASE に構成されている場合、およびスキャナーとサーバーが同じマシンにインストールされている場合は、ユーザー・グループをインポートできず、ユーザー・プロパティーを正しい値で保存できません |
Dynamic Analysis Scanner とともに、サーバー構成中に以前選択した「サーバー・コンポーネント」ウィンドウで該当するすべてのコンポーネント (ユーザーの管理/Enterprise Console/IAST) を選択して、構成ウィザードを再実行します。 | 重大度が「情報」の IAST 問題では、CVSS のバージョンが 3.1 ではなく 2.0 として表示されます。 |
IAST は AppScan Enterprise Scanner であるため、表示されたバージョンは無視して、バージョンを 3.1 と見なしてください。 | スキャン状況アラートは、構成済みの E メール・アドレスに送信されません。 |
アラート・サービスを再開します。 | 10.0.8 から 10.1.0 にアップグレードすると、IAST Java war エージェントの配置または接続が失敗し、AppScan Enterprise との対話が行われません。 |
このエージェントを無効にしてから、再度有効にしてください。 | AppScan Mobile Analyzer および AppScan Mobile Analyzer IOS スキャナー・プロファイルに関する問題を再インポートすると、エラーが発生します。 |
「モニター」タブを更新します。 | 問題を再テストすると、問題が実際に修正されていない場合でも、問題の状況が「修正済み」として報告されることがあります。 |
サイトで認証が必要な場合は、正しい再テスト状況を提供するために、再テストのスキャン・レベルでログインを必須に設定する必要があります。 | 問題のタイプ「Spring MVC でのリモート・コマンド実行 (CVE-2022-22965)」を再テストすると、問題が実際に修正されていない場合でも、「再オープン」ではなく「修正済み」として問題の状況が報告されることがあります。 |
アプリケーションのフル・スキャンを実行して、この問題のタイプが修正されているかどうかを確認することをお勧めします。代わりに、「CRWAS9999E 不明エラーが発生しました」というエラー・メッセージが表示されます。」が表示されます。 | この問題は、問題の詳細のテキスト・コンテンツが大きい場合に発生します。 |
<ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> に移動し、-Xss1024m という行を jvm.options に追加して、「HCL AppScan Enterprise Server」サービスを再始動します。 | スキャナー・マシンで「HCL AppScan Agent Service」を再起動します。 |
DAST プロキシーの場合、Firefox ブラウザーを使用してトラフィックを記録しても、「セッション内」は自動的に検出されません。 |
メイン・ページの URL を選択し、[インセッション] ボタンをクリックして手動でインセッションを追加するか、トラフィックを記録する前に、大量のトラフィックを作成する Firefox プラグイン (Clockify など) を無効にします。 |
エージェント・サービスに「ライセンスの検査」状況が表示されます。 | 必要に応じて、OWASP Top 10 2017 を手動で削除し、既存のすべてのスキャンのレポート・パックに OWASP Top 10 2021 を追加してレポート・パックを実行する必要があります。 |
IAST エージェント・ページでは、次のような UI の不具合が発生する可能性があります。 | |
メイン・ページの URL を選択して 「セッション中」 ボタンをクリックして「セッション内」を手動で追加するか、トラフィックの記録前に大量のトラフィックを作成するすべての Firefox プラグイン (例: Clockify) をオフにします。 | ページを最新表示して、再試行してください。 |
必要に応じて、2017 年 OWASP Top 10 を手動で削除し、既存のすべてのスキャンのレポート・パックに 2021 年 OWASP Top 10 を追加してレポート・パックを実行する必要があります。 | 複数回クリックしないでください。約 1 分間待っても応答がない場合は、ポップアップを閉じてもう一度実行してください。 |
Node.js エージェントのキーを再生成すると、パッケージ・サイズが大きくなる可能性があります。 | ほとんどの場合に機能しているため、これは無視できます。 |
ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。 | エージェント・キーを再生成し、エージェントを再度ダウンロードします。 |
SAST の問題の場合、インポートされたジョブが「スキャン」タブで実行されると、共通の問題に対して使いやすい名前が生成されるようになりました。ほとんどの場合に機能しているため、これは無視できます。ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。 | エージェント・キーを再生成し、エージェントを再度ダウンロードします。SAST の問題の場合、インポートされたジョブが「スキャン」タブで実行されると、共通の問題に対して使いやすい名前が生成されるようになりました。 |
「モニター」 タブでは、以前のリリースとの整合性を保つために古い形式の ID が引き続き使用されます。 | 今後、使いやすい名前に更新される予定です。https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0094517 |
このため、同じアプリケーションを使用してソース・データを「モニター」タブに直接インポートし、同じアプリケーションを「スキャン」タブで実行されるソース・インポート・ジョブにリンクすると、異なる問題タイプ (SQL 注入、クロスサイト・スクリプティングなど) に分類される問題が発生する可能性があります。
|
言語設定を変更しても、UI 機能は影響を受けません。ただし、この情報が英語になります。したがって、これらの問題が後続のリリースで解決されるまで、引き続き UI 機能を使用することをお勧めします。 |
UI 言語が Espanola (スペイン語) に設定されている場合は、リファレンス API リンクと「修正方法」レポートの内容が英語で表示されます。 | 「モニター」タブで異なる言語とエクスポートの問題を選択すると、IssueType 名が英語で表示されます。 |
別の言語に切り替えると、「スキャン」タブの「修正方法」 (異なるプログラミング言語の内容) が以前の言語で表示されます。 | UDT ファイルは、AppScan Enterprise に正常にインポートされます。しかし、ユーザーには UI またはレポートに UDT issueTypeId が「修正方法」の情報が表示されません。 UDT issueTypeId の xml「修正方法」情報を参照するには、次のようにします。
|
別のポートに修正方法を指定して、構成ウィザードを再実行します。アクション 3 は、フォルダーが編集されたことを示します。 | UDT ファイルは、AppScan Enterprise に正常にインポートされます。 |
ドメイン名は、API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} を使用して、ADAC クライアント統合を通じて Postman または SoapUI ツールによって生成されたトラフィック・ファイル (.exd 形式のファイル) から除外されません | トラフィック・ファイルからドメインのトラフィックを除外するには、 .dast、 .config、 .harファイルを使用する必要があります。 |
スキャン・ジョブは、Windows の AppScan Enterprise サービス・アカウントのユーザー許可を変更する際に失敗します。 | アクション 3 は、フォルダーが編集されていることを示します。 |
タスク・マネージャーから AppScan Agent サービス・プロセスが強制終了されたとき、HCL Analyzer ライセンスのチェックインはすぐには実行されません。ライセンスがリリースされるまで 15 分ほどかかります。 | ライセンスを解放するために、サービスを介して、再度エージェントを始動および停止することが推奨されます。 |
AppScan Enterprise Server をシャットダウンする前にユーザーがログアウトしなかった場合、開いているセッションが原因で、ライセンスがプールにチェックインされない可能性があります。Windows での AppScan Enterprise サービス・アカウントのユーザー許可の変更時に、スキャン・ジョブが失敗しています。 | ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。 |
AppScan Enterprise のインストール中に、アプリケーションがシステム内の新しいバージョンの存在を確認せずに Visual C++ 2015 Redistributable をインストールしようとしているため、より高いバージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。 | Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。 |
ライセンスを解放するために、サービスを介して、再度エージェントを始動および停止することが推奨されます。 | なし。 |
拡張ログ・ファイルのサイズが大きい場合 (2GB 以上)、スキャン・タブ概要レポートからのダウンロード・ログ・ファイルの操作の結果、zip ファイルが 0KB になることがあります。 | このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリーからファイルをコピーします。 |
ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。 | クライアントの [ジョブのプロパティー] ページで、[すぐにジョブを実行] チェックボックスをオフにし、[ジョブの更新] をクリックします。 |
スキャン・ジョブに記録されたログインしか含まれていない場合 (マニュアル探査または開始 URL がない場合)、スキャンはそのページの下ではクロールしません。 | Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。 |
エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。 | AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワーク・アクティビティーとしてフラグを付ける可能性があるセキュリティー・テストを送信します。 |
ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。 | ジョブ・プロパティー内で正規化ルールが定義されている場合は、それらの結果が有効な URL であることを確認することが重要です。 |
問題管理がレポートに関して実行された場合、「レポート・パックの概要」レポートがレポート・データと同期しなくなります。 | 問題管理タスクの完了時に数を同期化するには、レポート・パックを再実行する必要があります。 |
削除されたレポートは、ダッシュボードからすぐには除去されません。 | 変更を有効にするには、ダッシュボードを再実行する必要があります。 |
少なくとも 1 つの URL をマニュアル探査または「スキャン対象」ページの開始 URL に追加してください。 | エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。 |
ADAC のジョブ中断機能が、9.0.3.11 以前で作成したジョブに機能しません。これは、ジョブの編集を保存するまで継続します。 ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。中断機能では ASE データベースのドメインを読み取っているため、ADAC ジョブに対する中断が機能しなくなっていました。開始 URL は dast.config ファイルに保管されているため、既存のファイルを手動で編集して ASE データベースに保管される URL に保存する必要があります。 |
|