既知の問題と回避策
既知の問題と回避策を示します。
| 問題 | 回避策 |
|---|---|
|
問題のタイプ、重大度、スキャナー、ステータスに基づいて問題を「グループ化」したときに、各カテゴリに 500 を超える問題がある場合、追加の問題は表示されないため、フィルターを使用することをお勧めします。フィルターも、列タイプごとに最大 100 の値を表示するように制限されます。 |
「グループ化」オプションを削除し、結果の表示に使用する列の種類でデータをソートします。 |
| [コンポーネント] ビューの詳細を、AppScan Enterprise または AppScan Standard からエクスポートまたはインポートすることはできません。ただし、脆弱なコンポーネントを問題としてエクスポートまたはインポートすることはできます。 | 該当なし |
| セキュリティ・レポート (xls、Excel、xml、PDF) にコンポーネントの詳細が表示されません。 | 該当なし |
| CVE レコードを更新する方法は、設定ウィザードを実行することのみです。AppScan Enterprise のインストール後に導入された新規 CVE は、脆弱なコンポーネントについては特定されません。 | 該当なし |
| アクティビティ ログでは、日付フィルターにより、指定された日付範囲よりも 1 日多いデータが表示されます。 | 該当なし |
| CVSS 3.1 属性を持たない課題については、期限切れの計算は行われません | 該当なし |
| バージョン 10.1.0 以前でスキャンされたアプリケーションに関連付けられたすべての問題について、 CVSS バージョン = 2.0フィルタを設定すると、CVSS 2.0 と 3.1 の両方の問題を表示することができます。 | 最初にバージョンに基づいてすべての CVSS 2.0 の問題をリストする、「 CVSS バージョン」列に基づいて問題をソートできます。 |
|
IAST .NET エージェントは、一部の .NET フレームワーク・アプリケーションで NuGet としてインストールできず、「Unable to resolve dependency 'MonoModReorg.RuntimeDetour'」というエラーが表示されることがあります。 |
IAST エージェントをインストールする前に、NuGet: |
| これで、IAST エージェントを NuGet としてインストールできます。 | LDAP が ASE に構成されている場合、およびスキャナーとサーバーが同じマシンにインストールされている場合は、ユーザー・グループをインポートできず、ユーザー・プロパティーを正しい値で保存できません |
| Dynamic Analysis Scanner とともに、サーバー構成中に以前選択した「サーバー・コンポーネント」ウィンドウで該当するすべてのコンポーネント (ユーザーの管理/Enterprise Console/IAST) を選択して、構成ウィザードを再実行します。 | 重大度が「情報」の IAST 問題では、CVSS のバージョンが 3.1 ではなく 2.0 として表示されます。 |
| スキャン状況アラートは、構成済みの E メール・アドレスに送信されません。 | アラート・サービスを再開します。 |
| 10.0.8 から 10.1.0 にアップグレードすると、IAST Java war エージェントの配置または接続が失敗し、AppScan Enterprise との対話が行われません。 | このエージェントを無効にしてから、再度有効にしてください。 |
| AppScan Mobile Analyzer および AppScan Mobile Analyzer IOS スキャナー・プロファイルに関する問題を再インポートすると、エラーが発生します。 | 「モニター」タブを更新します。 |
| 問題を再テストすると、問題が実際に修正されていない場合でも、問題の状況が「修正済み」として報告されることがあります。 | サイトで認証が必要な場合は、正しい再テスト状況を提供するために、再テストのスキャン・レベルでログインを必須に設定する必要があります。 |
| 問題のタイプ「Spring MVC でのリモート・コマンド実行 (CVE-2022-22965)」を再テストすると、問題が実際に修正されていない場合でも、「再オープン」ではなく「修正済み」として問題の状況が報告されることがあります。 | アプリケーションのフル・スキャンを実行して、この問題のタイプが修正されているかどうかを確認することをお勧めします。 |
| 「モニター」タブでは、問題をクリックしても問題の詳細は表示されません。代わりに、エラー・メッセージ「CRWAS9999E 不明なエラーが発生しました。」が表示されます。この問題は、問題の詳細のテキスト・コンテンツが大きい場合に発生します。 | <ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> に移動し、-Xss1024m という行を jvm.options に追加して、「HCL AppScan Enterprise Server」サービスを再始動します。 |
| エージェント・サービスに「ライセンスの検査」状況が表示されます。 | スキャナー・マシンで「HCL AppScan Agent Service」を再始動します。 |
|
DAST プロキシーの場合、Firefox ブラウザーを使用してトラフィックを記録しても、「セッション内」は自動的に検出されません。 |
メイン・ページの URL を選択し、[インセッション] ボタンをクリックして手動でインセッションを追加するか、トラフィックを記録する前に、大量のトラフィックを作成する Firefox プラグイン (Clockify など) を無効にします。 |
| エージェント・サービスに「ライセンスの検査」状況が表示されます。 | 必要に応じて、OWASP Top 10 2017 を手動で削除し、既存のすべてのスキャンのレポート・パックに OWASP Top 10 2021 を追加してレポート・パックを実行する必要があります。 |
| IAST エージェント・ページでは、次のような UI の不具合が発生する可能性があります。 | |
| 「アクション」ドロップダウンから「キーの生成」ボタンをクリックしても、応答がない。 | ページを最新表示して、再試行してください。 |
| キーの生成ポップアップで、[生成] ボタンをクリックしても応答がない。 | 複数回クリックしないでください。約 1 分間待っても応答がない場合は、ポップアップを閉じてもう一度実行してください。 |
| Node.js エージェントのキーを再生成すると、パッケージ・サイズが大きくなる可能性があります。 | ほとんどの場合に機能しているため、これは無視できます。 |
| ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。 | エージェント・キーを再生成し、エージェントを再度ダウンロードします。 |
| SAST の問題の場合、インポートされたジョブが「スキャン」タブで実行されると、共通の問題に対して使いやすい名前が生成されるようになりました。「モニター」 タブでは、以前のリリースとの整合性を保つために古い形式の ID が引き続き使用されます。今後、使いやすい名前に更新される予定です。このため、同じアプリケーションを使用してソース・データを「モニター」タブに直接インポートし、同じアプリケーションを「スキャン」タブで実行されるソース・インポート・ジョブにリンクすると、異なる問題タイプ (SQL 注入、クロスサイト・スクリプティングなど) に分類される問題が発生する可能性があります。 | エージェント・キーを再生成し、エージェントを再度ダウンロードします。機能に影響はありません。この問題は、表示にのみ影響します。 |
| Payment Card Industry Data Security Standard (PCI) レポートの日本語バージョンでは、コンプライアンスの詳細が省略されています。 | この問題の詳細については、障害に関する以下の記事を参照してください:https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0094517 |
AppScan Enterprise UI 言語が英語以外の言語に設定されている場合は、以下の問題が発生する可能性があります。
|
言語設定を変更しても、UI 機能は影響を受けません。ただし、この情報が英語になります。したがって、これらの問題が後続のリリースで解決されるまで、引き続き UI 機能を使用することをお勧めします。 |
| 既に使用中のポートにユーザーが修正方法を設定している場合、UI ユーザーが問題の詳細にアクセスして修正方法のリンクにアクセスしようとしても、適切なエラー・メッセージが表示されません。 | 別のポートに修正方法を指定して、構成ウィザードを再実行します。 |
| ユーザーが ASE UI でユーザー定義テストファイルをアップロードすると、エラーメッセージが表示されます。 | UDT ファイルは、AppScan Enterprise に正常にインポートされます。しかし、ユーザーには UI またはレポートに UDT issueTypeId が「修正方法」の情報が表示されません。 UDT issueTypeId の xml「修正方法」情報を参照するには、次のようにします。
|
| フォルダの許可に変更を加えずに「スキャン」ページからフォルダを編集し、 「保存」ボタンをクリックすると、 Activity Logテーブルにアクション 3 としてマークされたエントリが作成されます。アクション 3 は、フォルダーが編集されたことを示します。 | フォルダ許可を編集していない場合は、[キャンセル] ボタンをクリックしてページを終了する必要があります。 |
| ADAC クライアント統合を介してPostmanまたはSoapUIツールによって生成されたトラフィックファイルからドメイン名が除外されていない ( .exd形式のファイル) が API POST/jobs/を使用しています。 {jobId}/dastconfig/upload/{action} | トラフィック・ファイルからドメインのトラフィックを除外するには、 .dast、 .config、 .harファイルを使用する必要があります。 |
| Windows での AppScan Enterprise サービス・アカウントのユーザー許可の変更時に、スキャン・ジョブが失敗しています。 | AppScan Enterprise Server と Scanner マシンの両方で、サービス・アカウント・ユーザーを Windows 管理者グループに追加する必要があります。 |
| AppScan エージェント・サービス・プロセスがタスク・マネージャーによって強制終了されるとき、HCL スキャナー・ライセンスのチェックインが即座に行われません。ライセンスがリリースされるまで、約 15 分かかります。 | ライセンスを解放するために、サービスを介して、再度エージェントを始動および停止することが推奨されます。 |
| AppScan Enterprise Server がシャットダウンされる前にユーザーがログアウトしていない場合、オープン・セッションでライセンスがプールにチェックインし直されない可能性があります。これらの残されたライセンスは、2 時間後にチェックインし直されます。 | ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。 |
| AppScan Enterprise のインストール中に、アプリケーションがシステム内の新しいバージョンの存在を確認せずに Visual C++ 2015 Redistributable をインストールしようとしているため、より高いバージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。 | Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。 |
| 製品のインライン・ヘルプは、すべての言語で使用できますが、関連リンクは、日本語、フランス語、中国語 (簡体字)、および中国語 (繁体字) でのみ使用できます。 | なし。 |
| 拡張ログ・ファイルのサイズが大きい場合 (2GB 以上)、スキャン・タブ概要レポートからのダウンロード・ログ・ファイルの操作の結果、zip ファイルが 0KB になることがあります。 | このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリーからファイルをコピーします。 |
| Dynamic Analyze 構成クライアントでスキャンを編集する場合は、編集しているスキャンが AppScan Enterprise で実行されていないことを確認してください。 | クライアントの [ジョブのプロパティー] ページで、[すぐにジョブを実行] チェックボックスをオフにし、[ジョブの更新] をクリックします。 |
| スキャン・ジョブに記録されたログインしか含まれていない場合 (マニュアル探査または開始 URL がない場合)、スキャンはそのページの下ではクロールしません。 | 手動エクスプローラーに少なくとも 1 つの URL を追加するか、 「スキャンの対象」ページの開始 URL を追加します。 |
| エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。 | AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワーク・アクティビティーとしてフラグを付ける可能性があるセキュリティー・テストを送信します。 |
| ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。 | ジョブ・プロパティー内で正規化ルールが定義されている場合は、それらの結果が有効な URL であることを確認することが重要です。 |
| 問題管理がレポートに関して実行された場合、「レポート・パックの概要」レポートがレポート・データと同期しなくなります。 | 問題管理タスクの完了時に数を同期化するには、レポート・パックを再実行する必要があります。 |
| 削除されたレポートは、ダッシュボードからすぐには除去されません。 | 変更を有効にするには、ダッシュボードを再実行する必要があります。 |
| 少なくとも 1 つの URL をマニュアル探査または「スキャン対象」ページの開始 URL に追加してください。 | ロケール固有の照合と同様に、 .NETとSQLの照合が使用されますが、この製品は ICU に準拠していません。 |
|
ADAC のジョブ中断機能が、9.0.3.11 以前で作成したジョブに機能しません。これは、ジョブの編集を保存するまで継続します。 ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。中断機能では ASE データベースのドメインを読み取っているため、ADAC ジョブに対する中断が機能しなくなっていました。開始 URL は dast.config ファイルに保管されているため、既存のファイルを手動で編集して ASE データベースに保管される URL に保存する必要があります。 |
|
|
AppScan Standard でスキャンを実行し、結果を AppScan Enterprise で使用するためにレガシー XML ファイルとしてエクスポートした後、この XML ファイルを使用すると、インポートされたジョブとして実行されました。これは、AppScan Enterprise でアプリケーションに関連付けられました。ただし、アクセスした URL は、元の AppScan Standard レポートで使用可能でしたが、生成されたセキュリティレポートには含まれません。 |
該当なし |
|
AppScan Activity Recorder (AAR) 暗号化されたファイルは、AppScan Enterprise REST API を使用してインポートできます。コンテンツスキャンジョブで、AppScan Dynamic Analysis Client (ADAC) ユーザーインターフェースから直接試行した場合、サポートされません。 |
方法 1 : 暗号化されたファイルのインポートに AppScan REST API を使用する: AppScan REST API の使用 ( POST /jobs/{jobId} /dastconfig/upload/{action} ) をクリックして暗号化ファイルをインポートします。この方法を使用すると、ユーザーインターフェースの制限が無視され、AppScan-ADAC に正常にインポートされるため、スキャンが正しく機能します。 方法 2 : 他の記録方法を検討:暗号化されたログインシーケンスが必要な場合は、ADAC ジョブの実行時に、AAR ではなく ADAC 記録を使用することを検討してください。AAR アップロードで見られる暗号化関連の制限が発生することなく、ADAC 記録を使用すると、より柔軟に対応できる場合があります。 |