靜態分析掃描的疑難排解
在 AppScan 360° 中疑難排解掃描看起來與在 AppScan on Cloud 中時稍微不同。請遵循這裡的指引以疑難排解在 AppScan 360° 中的 SAST 掃描問題。
- 使用者檢閱錯誤訊息。
- 使用者檢閱常見錯誤案例。
- 如果問題持續發生,使用者請下載掃描日誌並升級給管理員。
- 管理員會調查使用者提供的資訊。
- 如果問題持續發生,管理員會升級給 HCL 支援。
使用者:檢閱錯誤訊息
- 選取 ,或;
- 選取
- 掃描 ID 是 URL 的一部分。請在
/scans/
之後尋找字元字串。例如,在下列 URL 中,掃描 ID 為6ecf4111-adf9-47a8-852b-625ff4c954ef
:< ASCP service URL>/70f7db22-1bea-4f55-babc-5668f1f723f4/scans/6ecf4111-adf9-47a8-852b-625ff4c954ef/scanOverview
- 執行 ID 會列在「掃描詳細資料」下的「概覽」標籤。
使用者:檢閱常見錯誤案例
開放原始碼
Error: Scan failed. Your subscription does not allow for Open Source scans.
Please contact your sales representative for information regarding activating “Open Source” scanning.
If you need further assistance, please reach out to our Technical Support team
您已嘗試掃描開放原始碼檔案。 AppScan 360° 不支援開放原始碼掃描。
如果您已上傳 ZIP 檔案以供掃描,請檢閱 ZIP 檔案的內容。
- 如果 ZIP 僅包含開放原始碼檔案,請上傳包含非開放原始碼檔案的 ZIP 並再重試掃描。
- 如果 ZIP 檔案包含 appscan-config.xml 配置檔,請檢閱檔案中列出的內容。 AppScan 360° 不支援
openSourceOnly
內容。如果列出openSourceOnly="true"
,請移除此內容並再重試掃描。
- 重新執行
appscan prepare
,確認目標檔案不是開放原始碼檔案且未使用openSourceOnly
參數。 - 如果問題持續發生,請下載掃描日誌並升級給管理員。
無 IPVA/損毀的 IRX
Error: We are unable to complete the scan successfully. The scan failed since the IRX was not created properly.
It could possibly be due to an incorrect configuration or missing dependencies.
If you need additional assistance, please reach out to our Technical Support team.
在掃描的 IRX 產生步驟期間,某些項目發生錯誤。
如果您已上傳 IRX:
- 如果您能從
appscan prepare
執行的位置進行存取,請檢查在該程序期間建立的 logs.zip 檔案中是否有錯誤。 - 檢視 SAClientUtil/logs/client.log 檔案中是否有錯誤。
- 如需深入調查 IRX,升級給管理員。
如果您已上傳 ZIP,下載掃描日誌並升級給管理員。
不明錯誤
Error. An unknown error occurred.
這有若干個可能性。下載掃描日誌並升級給掃描管理員以進一步調查。
使用者:下載掃描日誌以升級給管理員
- 從 ASCP 使用者介面:
- 在掃描頁面(掃描詳細資料」下的執行 ID。 或 )上,複製列在「
- 在掃描頁面右上角,選取
AppScan 360° 將 ZIP 檔案下載到本端系統。請注意下載的位置。
。 - 解壓縮 ZIP 檔內容。
- 從指令行:
從
<fileStorageRoot>/SaaSWorkingDirectory/SaaSStorage/Scans/<scanID>/<ExecutionID}/
下載與掃描相關聯的目錄內容。
掃描管理員:調查使用者提供的資訊
存取掃描日誌
若要存取掃描日誌:
- 從
<fileStorageRoot>/SaaSWorkingDirectory/SaaSStorage/Scans/<scanID>/<ExecutionID}/
下載與掃描相關聯的目錄內容。 - 解壓縮並調查日誌是否有錯誤。
- 解決任何錯誤並再重試掃描。
調查無 IPVA 的 IRX/損毀的 IRX 錯誤
- 從
<fileStorageRoot>/SaaSWorkingDirectory/SaaSStorage/Scans/<scanID>/<ExecutionID}/
下載與掃描相關聯的目錄內容。 - 將下載的檔案複製到本端系統。
-
使用 7-ZIP 或類似的工具,用滑鼠右鍵按一下 IRX 檔案,然後按一下「開啟封存」。
-
請按兩下 internal.scan 將其開啟。
- 檢查在根目錄中的 .log 檔案以及在日誌資料夾中的日誌是否有任何錯誤。
- 解決任何錯誤並再重試掃描。
調查有開放原始碼錯誤的 IRX
Your subscription does not allow for Open Source scans.
,且您已上傳 IRX 以供掃描,請檢查在 IRX 檔案中是否有任何錯誤:- 從
<fileStorageRoot>/SaaSWorkingDirectory/SaaSStorage/Scans/<scanID>/<ExecutionID}/
下載與掃描相關聯的目錄內容。 -
使用 7-ZIP 或類似的工具,用滑鼠右鍵按一下 IRX 檔案,然後按一下「開啟封存」。
- 開啟 scan.manifest 檔案來進行檢查。若
Total Languages Found = 1
且在Language
區段中的唯一項目為Open Source
,則 IRX 檔案僅會為開放原始碼掃描產生,或是您已指向僅包含開放原始碼檔案的位置:- 確認目標位置包含非開放原始碼檔案。
AppScan 360° 不支援開放原始碼掃描。
- 確認您未在
appscan prepare
指令或在appscan-config.xml
檔案中,使用不支援的內容或參數。如果列出openSourceOnly="true"
,請移除此內容。AppScan 360° 在
appscan prepare
或appscan-config.xml
中皆不支援openSourceOnly
內容。
- 確認目標位置包含非開放原始碼檔案。
- 重試掃描。
調查其他錯誤案例
開放原始碼檔案類型
Problems found during validation.
The prepare operation found only open source files types. To run opensource only, use the -oso flag.
To run security and opensource, include additional supported file types.
您已嘗試執行僅限開放原始碼的掃描,或已嘗試執行第三方掃描,但掃描需要其他配置。
AppScan 360° 不支援僅限開放原始碼的掃描。
- 確認您未在
appscan prepare
指令中使用不支援的參數。如果列出openSourceOnly="true"
或-oso
,請移除此參數。AppScan 360° 不支援在
appscan prepare
中的openSourceOnly
或-oso
參數。
-
如果您已上傳 IRX 並想要在僅有第三方程式庫的位置執行掃描,請啟用第三方掃描。其中之一:
- 將第三方旗標新增至
appscan prepare
以擷取第三方程式庫並再重試掃描。指令應會看起來如下:
appscan prepare -tp
。 - 將
thirdParty="true"
新增至 appscan-config.xml 並再重試掃描。可在使用 CLI 配置 IRX 檔案產生中找到範例
- 將第三方旗標新增至
- 如果您已上傳 ZIP 並想要在僅有第三方程式庫的位置執行掃描,請啟用第三方掃描:
- 如果您想要掃描第三方程式碼,請
add thirdParty="true"
至 appscan-config.xml 並再重試掃描。
- 如果您想要掃描第三方程式碼,請
沒有已知的檔案類型
No known scan file types were found during discovery.
Please specify a location that contains .class, .jar, .war, .ear, .dll, .exe, PHP, Ruby, NPM packages, or JavaScript files.
您已嘗試掃描不包含任何可掃描檔案的位置。
確認目標位置中的檔案為有效的檔案類型。在靜態分析語言支援,檢查支援的檔案類型清單。
如果您已使用 appscan-config.xml,檢查目標路徑是有效的位置。
沒有可掃描的檔案
Problems found during validation.
No scannable files found. If you are trying to scan third party code, generate the IRX file using the --thirdParty option. If you are trying to scan for open source, generate the IRX using the -oso option. For a list of supported file types, refer to https://help.hcl-software.com/appscan/ASoC/src_language_support.html#src_language_support__table_ylp_rn5_jw.
- 如果您想要在僅有第三方程式庫的位置執行掃描,您必須啟用第三方掃描。其中之一:
- 將第三方旗標新增至
appscan prepare
以擷取第三方程式庫並再重試掃描。指令應會看起來類似
appscan prepare -tp
。 - 將
thirdParty="true"
新增至 appscan-config.xml 並再重試掃描。可在使用 CLI 配置 IRX 檔案產生中找到範例
- 將第三方旗標新增至
-
如果您想要執行資料流程分析掃描,請確認目標掃描位置包含適用於 Java、.NET 或 C/C++ 正確的已編譯檔案類型,並再重試掃描。
- 如果您想要執行僅限原始碼掃描,請確認目標位置包含正確的原始碼檔案類型,並再重試掃描。
- 如果您不想要執行僅限原始碼掃描,請從
appscan prepare
指令中或從 appscan-config.xml 中移除–sco
旗標,並再重試掃描。
掃描管理員:使用 HCL 支援
- 執行 ID
- 掃描 ID
- Preparer Pod ID(如果適用的話)
- Analyzer Pod ID(如果適用的話)
- 在 AppScan 360° 或在 service.log 中於掃描頁面上回報的任何錯誤。
- 日誌 ZIP 檔案。
- 掃描的應用程式/專案的相關詳細資料。
- 疑難排解和/或解決問題所採取步驟的相關詳細資料。