Dépannage des analyses statiques

Le dépannage des examens dans AppScan 360° est un peu différent de celui de AppScan on Cloud. Suivez les instructions pour résoudre les problèmes liés au balayage SAST dans l'application AppScan 360°.

Les examens de dépannage sont d'abord effectués par l'utilisateur, puis, si aucune solution n'est trouvée, ils sont transmis à un administrateur. Le chemin général de dépannage est le suivant :
  1. L'utilisateur examine les messages d'erreur.
  2. L'utilisateur examine les cas d'erreur courants.
  3. Si le problème persiste, l'utilisateur télécharge les journaux d'examen et les transmet à un administrateur.
  4. L'administrateur examine les informations fournies par l'utilisateur.
  5. Si le problème persiste, l'administrateur fait remonter le problème au support HCL.

Utilisateur : Consulter les messages d'erreur

A partir de Plateforme centrale AppScan, accédez à la page d'examen relative à l'échec de l'examen. Exécutez l'une des opérations suivantes :
  • Sélectionnez Applications > (application) > Afficher tous les examens > (nom de l'examen), ou,
  • Sélectionnez Examens > (nom de l'examen)
Consultez les messages d'erreur affichés sur la page d'examen. Les cas d'erreur courants sont évoqués ci-dessous.
Important : Prenez note de l'ID d'examen et de l'ID d'exécution :
  • L'ID d'examen fait partie de l'URL. Recherchez la chaîne de caractères après /scans/. Par exemple, dans l'URL suivante, l'ID d'examen est 6ecf4111-adf9-47a8-852b-625ff4c954ef :
    < ASCP service URL>/70f7db22-1bea-4f55-babc-5668f1f723f4/scans/6ecf4111-adf9-47a8-852b-625ff4c954ef/scanOverview
  • L'ID d'exécution est répertorié dans l'onglet Aperçu, sous Détails de l'examen.

Utilisateur : Examiner les cas d'erreur courants

Les erreurs les plus courantes sont :

Open Source

Erreur : L'examen a échoué. Votre abonnement ne permet pas les examens Open Source. 
Veuillez contacter votre représentant commercial pour obtenir des informations sur l'activation du balayage « Open Source ». 
Si vous avez besoin d'une aide supplémentaire, veuillez contacter notre équipe d'assistance technique

Vous avez essayé d'examiner des fichiers Open Source. AppScan 360° ne prend pas en charge la numérisation open source.

Si vous avez téléchargé un fichier ZIP pour l'examen, vérifiez le contenu du fichier ZIP.

  • Si le fichier ZIP ne contient que des fichiers Open Source, téléchargez un fichier ZIP contenant des fichiers non Open Source et essayez d'exécuter à nouveau l'examen.
  • Si le fichier ZIP contient un fichier de configuration appscan-config.xml, vérifiez les propriétés répertoriées dans le fichier. AppScan 360° ne prend pas en charge la propriété openSourceOnly. Si openSourceOnly="true" est répertorié, supprimez cette propriété et essayez d'exécuter à nouveau l'examen.
    Remarque : Consultez les propriétés prises en charge pour appscan-config.xml ici.
Si vous avez chargé un fichier IRX :
  1. Réexécutez appscan prepare, en confirmant que les fichiers cibles ne sont pas des fichiers Open Source et que le paramètre openSourceOnly n'est pas utilisé.
    Remarque : Consultez les paramètres pris en charge pour appscan prepare ici.
  2. Si le problème persiste, téléchargez les journaux d'examen et transmettez-les à un administrateur.

Aucun IPVA/IRX corrompu

Erreur : Impossible d'effectuer l'examen correctement. L'examen a échoué car l'IRX n'a pas été créé correctement. 
Cela peut être dû à une configuration incorrecte ou à des dépendances manquantes. 
Si vous avez besoin d'une aide supplémentaire, veuillez contacter notre équipe d'assistance technique.

Une erreur s'est produite lors de l'étape de génération de fichiers IRX de l'examen.

Si vous avez chargé un fichier IRX :

  • Si vous avez accès à l'emplacement à partir duquel appscan prepare a été exécuté, recherchez les erreurs dans le fichier logs.zip créé au cours de ce processus.
  • Recherchez les erreurs dans le fichier SAClientUtil/logs/client.log.
  • Pour une enquête IRX plus approfondie, faites remonter à un administrateur.

Si vous avez téléchargé un fichier ZIP, téléchargez le journal d'examen et transmettez-le à un administrateur.

Erreur inconnue

Erreur. Une erreur inconnue s'est produite.

Plusieurs possibilités sont à examiner. Téléchargez le journal d'examen et transmettez-le à un administrateur d'examen pour une enquête plus approfondie.

Utilisateur : Télécharger le journal d'examen et le transmettre à un administrateur

Pour télécharger le journal d'examen :
  • A partir de l'interface utilisateur ASCP :
    1. Sur la page d'examen (Applications > Application > Afficher tous les examens > (nom de l'examen) ou Examens > (nom de l'examen)), copiez l'ID d'exécution répertorié sous Détails de l'examen.
    2. Dans le coin supérieur droit de la page d'examen, sélectionnez Gérer l'examen > Télécharger le journal.

      AppScan 360° télécharge un fichier ZIP sur votre système local. Notez l'emplacement du téléchargement.

    3. Extrayez le contenu du fichier ZIP.
  • A partir d'une ligne de commande :

    Téléchargez le contenu du répertoire associé à l'examen depuis <fileStorageRoot>/SaaSWorkingDirectory/SaaSStorage/Scans/<scanID>/<ExecutionID}/.

Administrateur d'examen : Examinez les informations fournies par l'utilisateur

Accéder aux journaux d'examen

Pour accéder aux journaux d'examen :

  1. Téléchargez le contenu du répertoire associé à l'examen depuis <fileStorageRoot>/SaaSWorkingDirectory/SaaSStorage/Scans/<scanID>/<ExecutionID}/.
  2. Extrayez et recherchez les erreurs dans les journaux.
  3. Résolvez les erreurs et essayez d'exécuter à nouveau l'examen.

Examinez une IRX avec une erreur d'absence d'IPVA/d'IRX corrompue

  1. Téléchargez le contenu du répertoire associé à l'examen depuis <fileStorageRoot>/SaaSWorkingDirectory/SaaSStorage/Scans/<scanID>/<ExecutionID}/.
  2. Copiez les fichiers téléchargés sur un système local.
  3. À l'aide de 7-ZIP ou d'un outil similaire, cliquez avec le bouton droit de la souris sur le fichier IRX et cliquez sur Ouvrir l'archive.

  4. Cliquez deux fois sur internal.scan pour l'ouvrir.

  5. Cherchez les erreurs dans le fichier .log à la racine ainsi que les journaux dans le dossier journaux.
  6. Résolvez les erreurs et essayez d'exécuter à nouveau l'examen.

Examen d'une IRX avec une erreur open source

Remarque : AppScan 360° ne prend pas en charge la numérisation open source.
Si l'examen a échoué avec l'erreur Votre abonnement ne permet pas les examens Open Source et que vous avez téléchargé un fichier IRX pour le balayage, vérifiez les erreurs dans le fichier IRX :
  1. Téléchargez le contenu du répertoire associé à l'examen depuis <fileStorageRoot>/SaaSWorkingDirectory/SaaSStorage/Scans/<scanID>/<ExecutionID}/.
  2. À l'aide de 7-ZIP ou d'un outil similaire, cliquez avec le bouton droit de la souris sur le fichier IRX et cliquez sur Ouvrir l'archive.

  3. Ouvrez le fichier scan.manifest pour l'examiner.
    Si Total Languages Found = 1 et que la seule entrée de la section Language est Open Source, alors le fichier IRX a été généré pour un balayage Open Source uniquement, ou bien vous avez pointé vers un emplacement contenant uniquement des fichiers Open Source :
    • Vérifiez que l'emplacement cible contient des fichiers source non ouverts.

      AppScan 360° ne prend pas en charge la numérisation open source.

    • Vérifiez que vous n'utilisez pas de propriété ou de paramètre non pris en charge dans la commande appscan prepare ou dans le fichier appscan-config.xml. Si openSourceOnly="true" est répertorié, supprimez cette propriété.

      AppScan 360° ne prend pas en charge la propriété openSourceOnly dans appscan prepare ou appscan-config.xml.

  4. Essayez d'exécuter à nouveau l'examen.

Enquêter sur d'autres cas d'erreur

Types de fichiers Open Source

Problèmes détectés au cours de la validation. 
L'opération de préparation n'a trouvé que des types de fichiers Open Source. Pour exécuter opensource uniquement, utilisez l'indicateur -oso. 
Pour exécuter security et opensource, incluez des types de fichiers pris en charge supplémentaires.

Vous avez essayé d'exécuter un examen Open Source uniquement ou un examen tiers, mais l'examen nécessite une configuration supplémentaire.

AppScan 360° ne prend pas en charge les examens Open Source uniquement.

Vérifiez la configuration des examens :
  • Vérifiez que vous n'utilisez pas un paramètre non pris en charge dans la commande appscan prepare. Si openSourceOnly="true" ou -oso est répertorié, supprimez ce paramètre.

    AppScan 360° ne prend pas en charge le paramètre openSourceOnly ou -oso dans appscan prepare.

  • Si vous avez téléchargé un fichier IRX et que vous avez l'intention d'exécuter un examen sur un emplacement contenant uniquement des bibliothèques tierces, activez le balayage tiers. Exécutez l'une des opérations suivantes :
    1. Ajoutez l'indicateur tiers à appscan prepare pour récupérer les bibliothèques tierces et essayez d'exécuter à nouveau l'examen.

      La commande doit ressembler à : appscan prepare -tp.

    2. Ajoutez thirdParty="true" à appscan-config.xml et essayez d'exécuter à nouveau l'examen.

      Vous trouverez un exemple à la section Configuration de la génération de fichiers IRX avec l'interface de ligne de commande

  • Si vous avez téléchargé un fichier ZIP et que vous avez l'intention d'exécuter un examen sur un emplacement contenant uniquement des bibliothèques tierces, activez le balayage tiers :
    • Si vous souhaitez examiner un code tiers, ajoutez thirdParty="true" à appscan-config.xml et essayez d'exécuter à nouveau l'examen.

Aucun type de fichier connu

Aucun type de fichier d'examen connu n'a été trouvé au cours de la reconnaissance.  
Indiquez un emplacement contenant des fichiers .class, .jar, .war, .ear, .dll, .exe, PHP, Ruby, des packages NPM ou des fichiers JavaScript.

Vous avez essayé d'examiner un emplacement qui ne contient aucun fichier examinable.

Vérifiez que les fichiers de l'emplacement cible sont des types de fichiers valides. Consultez la liste des types de fichiers pris en charge dans Prise en charge des langages de l'analyse statique.

Si vous avez utilisé appscan-config.xml, vérifiez que le chemin cible est un emplacement valide.

Aucun fichier examinable

Problèmes détectés au cours de la validation. 
Aucun fichier examinable n'a été trouvé. Si vous essayez d'examiner un code tiers, générez le fichier IRX à l'aide de l'option --thirdParty. Si vous essayez d'effectuer un examen Open Source, générez le fichier IRX à l'aide de l'option -oso. Pour obtenir la liste des types de fichiers pris en charge, reportez-vous à la page https://help.hcl-software.com/appscan/ASoC/src_language_support.html#src_language_support__table_ylp_rn5_jw.
  • Si vous avez l'intention d'exécuter un examen sur un emplacement contenant uniquement des bibliothèques tierces, vous devez activer le balayage tiers. Exécutez l'une des opérations suivantes :
    1. Ajoutez l'indicateur tiers à appscan prepare pour récupérer les bibliothèques tierces et essayez d'exécuter à nouveau l'examen.

      La commande doit ressembler à : appscan prepare -tp.

    2. Ajoutez thirdParty="true" à appscan-config.xml et essayez d'exécuter à nouveau l'examen.

      Vous trouverez un exemple à la section Configuration de la génération de fichiers IRX avec l'interface de ligne de commande

  • Si vous avez l'intention d'exécuter un examen de flux de données, vérifiez que l'emplacement d'examen cible contient les types de fichiers compilés appropriés pour Java, .NET ou C/C++ puis essayez d'exécuter à nouveau l'examen.

  • Si vous avez l'intention d'exécuter un examen du code source uniquement, vérifiez que l'emplacement cible contient les types de fichiers de code source corrects, puis essayez d'exécuter à nouveau l'examen.
  • Si vous n'aviez pas l'intention d'exécuter un examen du code source uniquement, supprimez l'indicateur –sco de la commande appscan prepare ou de appscan-config.xml, et essayez d'exécuter à nouveau l'examen.

Administrateur d'examen : Travailler avec le support HCL

Si, après avoir appliqué les conseils de dépannage présentés ici, vous n'êtes toujours pas sûr de la cause de l'échec de l'examen, contactez le support client HCL pour obtenir une aide supplémentaire. Soyez prêt à fournir au support les informations suivantes :
  • ID d'exécution
  • ID d'examen
  • ID de pod du preparer, le cas échéant
  • ID de pod de l'analyseur, le cas échéant
  • Toute erreur signalée sur la page d'examen dans AppScan 360° ou dans service.log.
  • Fichier ZIP du journal.
  • Détails sur l'application/le projet en cours d'examen.
  • Détails sur les mesures prises pour dépanner et/ou résoudre le problème.
Remarque : Sauvegarde de toutes les informations importantes et des détails de l'examen depuis le pod vers un emplacement sécurisé. Les données du pod sont nettoyées par défaut après 10 jours.