既知の問題と回避策
既知の問題と回避策を示します。
| 問題 | 回避策 |
|---|---|
|
各カテゴリに500以上の問題がある場合、「<uicontrol>Group by</uicontrol>」を使用してIssueType、Severity、Scanner、またはStatusに基づいて問題をグループ化すると、追加の問題は表示されず、代わりにフィルターを使用することをお勧めします。フィルターも各列タイプの値を最大100までしか表示できません。 |
<uicontrol>Group by</uicontrol>」オプションを削除し、結果を表示するために使用したい列タイプに基づいてデータを並べ替えます。 |
| コンポーネントの詳細ビューはAppScan EnterpriseまたはAppScan Standardからエクスポートまたはインポートできません。ただし、脆弱なコンポーネントは問題としてエクスポートまたはインポートできます。 | N/A |
| セキュリティレポート(xls、excel、xmlまたはPDF)にはコンポーネントの詳細は表示されません。 | N/A |
| 構成ウィザードを実行することがCVEレコードを更新する唯一の方法です。AppScan Enterpriseがインストールされた後に導入された新しいCVEは、脆弱なコンポーネントとして識別されません。 | N/A |
| アクティビティログでは、<uicontrol>Date Filter</uicontrol>が指定された日付範囲よりも1日多くデータを表示します。 | N/A |
| CVSS 3.1属性を持たない問題については、期限切れの計算は行われません | N/A |
| バージョン10.1.0以前でスキャンされ、アプリケーションに関連付けられたすべての問題について、<uicontrol>CVSS Version = 2.0</uicontrol>フィルターはCVSS 2.0と3.1の両方の問題を表示する可能性があります。 | CVSS 2.0の問題をバージョンに基づいて最初にリストする<uicontrol>CVSS Version</uicontrol>列に基づいて問題を並べ替えることができます。 |
|
IAST .NETエージェントは、一部の.NETフレームワークアプリケーションでNuGetとしてインストールに失敗する可能性があり、エラー「Unable to resolve dependency 'MonoModReorg.RuntimeDetour'」が発生します。 |
IASTエージェントをインストールする前に、NuGet: |
| LDAPがASEに構成されている場合、スキャナーとサーバーが同じマシンにインストールされていると、ユーザーグループのインポートやユーザーのプロパティを正しい値で保存することができません | サーバー構成時に選択したサーバーコンポーネントウィンドウで、すべての適用可能なコンポーネント(ユーザー管理/エンタープライズコンソール/IAST)を選択して、構成ウィザードを再実行してください。動的解析スキャナーと一緒に。 |
| 重大度が「情報」として表示されるIASTの問題は、CVSSバージョンが3.1ではなく2.0として表示されます。 | 表示されているバージョンを無視し、IASTがAppScan Enterpriseスキャナーであるため、バージョンを3.1として考慮してください。 |
| スキャン状況アラートは、構成済みの E メール・アドレスに送信されません。 | アラート・サービスを再開します。 |
| 10.0.8 から 10.1.0 にアップグレードすると、IAST Java war エージェントの配置または接続が失敗し、AppScan Enterprise との対話が行われません。 | このエージェントを無効にしてから、再度有効にしてください。 |
| AppScan Mobile Analyzer および AppScan Mobile Analyzer IOS スキャナー・プロファイルに関する問題を再インポートすると、エラーが発生します。 | 「モニター」タブを更新します。 |
| 問題を再テストすると、問題が実際に修正されていない場合でも、問題の状況が「修正済み」として報告されることがあります。 | サイトで認証が必要な場合は、正しい再テスト状況を提供するために、再テストのスキャン・レベルでログインを必須に設定する必要があります。 |
| 問題のタイプ「Spring MVC でのリモート・コマンド実行 (CVE-2022-22965)」を再テストすると、問題が実際に修正されていない場合でも、「再オープン」ではなく「修正済み」として問題の状況が報告されることがあります。 | アプリケーションのフル・スキャンを実行して、この問題のタイプが修正されているかどうかを確認することをお勧めします。 |
| 「モニター」タブでは、問題をクリックしても問題の詳細は表示されません。代わりに、エラー・メッセージ「CRWAS9999E 不明なエラーが発生しました。」が表示されます。この問題は、問題の詳細のテキスト・コンテンツが大きい場合に発生します。 | <ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> に移動し、-Xss1024m という行を jvm.options に追加して、「HCL AppScan Enterprise Server」サービスを再始動します。 |
| エージェント・サービスに「ライセンスの検査」状況が表示されます。 | スキャナー・マシンで「HCL AppScan Agent Service」を再始動します。 |
|
DAST プロキシーの場合、Firefox ブラウザーを使用してトラフィックを記録しても、「セッション内」は自動的に検出されません。 |
メイン・ページの URL を選択して 「セッション中」 ボタンをクリックして「セッション内」を手動で追加するか、トラフィックの記録前に大量のトラフィックを作成するすべての Firefox プラグイン (例: Clockify) をオフにします。 |
| OWASP 2017の削除とOWASP 2021レポートのサポート: バージョン10.0.7より前に作成されたすべてのレポートパックおよびレポートパックテンプレートにはOWASP 2017レポートが含まれます。 | 必要に応じて、2017 年 OWASP Top 10 を手動で削除し、既存のすべてのスキャンのレポート・パックに 2021 年 OWASP Top 10 を追加してレポート・パックを実行する必要があります。 |
| IAST エージェント・ページでは、次のような UI の不具合が発生する可能性があります。 | |
| 「アクション」ドロップダウンから 「キーの生成」ボタンをクリックしても、応答がありません。 | ページを更新して再試行してください。 |
| 生成キー・ポップアップで 「生成」ボタンをクリックしても、応答がありません。 | 複数回クリックしないでください。約 1 分間待っても応答がない場合は、ポップアップを閉じてもう一度実行してください。 |
| Node.js エージェントのキーを再生成すると、パッケージ・サイズが大きくなる可能性があります。 | ほとんどの場合に機能しているため、これは無視できます。 |
| ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。 | エージェント・キーを再生成し、エージェントを再度ダウンロードします。 |
| SASTの問題については、スキャンタブでインポートされたジョブが実行されると、一般的な問題に対してユーザーフレンドリーな名前が生成されます。「モニター」 タブでは、以前のリリースとの整合性を保つために古い形式の ID が引き続き使用されます。今後、使いやすい名前に更新される予定です。このため、同じアプリケーションを使用してソース・データを「モニター」タブに直接インポートし、同じアプリケーションを「スキャン」タブで実行されるソース・インポート・ジョブにリンクすると、異なる問題タイプ (SQL 注入、クロスサイト・スクリプティングなど) に分類される問題が発生する可能性があります。 | AppScan Enterpriseに複数のSASTの問題をインポートする場合、すべてのスキャンをモニタタブでインポートするか、すべてのジョブをスキャンタブでインポートジョブとして実行し、アプリケーションにリンクすることをお勧めします。機能に影響はありません。この問題は、表示にのみ影響します。 |
AppScan Enterprise UI 言語が英語以外の言語に設定されている場合は、以下の問題が発生する可能性があります。
|
言語設定を変更しても、UI 機能は影響を受けません。ただし、この情報が英語になります。したがって、これらの問題が後続のリリースで解決されるまで、引き続き UI 機能を使用することをお勧めします。 |
| 既に使用中のポートにユーザーが修正方法を設定している場合、UI ユーザーが問題の詳細にアクセスして修正方法のリンクにアクセスしようとしても、適切なエラー・メッセージが表示されません。 | 別のポートに修正方法を指定して、構成ウィザードを再実行します。 |
| ユーザーがASE UIにユーザー定義テストファイルをアップロードすると、次のエラーメッセージが表示されます:<uicontrol>Error connecting to the Advisory service server.</uicontrol>. | UDT ファイルは、AppScan Enterprise に正常にインポートされます。しかし、ユーザーには UI またはレポートに UDT issueTypeId が「修正方法」の情報が表示されません。 UDT issueTypeId の xml「修正方法」情報を参照するには、次のようにします。
|
| フォルダの権限を変更せずにスキャンページからフォルダを編集し、<uicontrol>Save</uicontrol>ボタンをクリックすると、<ph>ActivityLog</ph>テーブルにアクションが3としてマークされたエントリが作成されます。アクション3はフォルダが編集されたことを示します。 | フォルダー・アクセス権を編集していない場合は、「キャンセル」ボタンをクリックしてページを終了する必要があります。 |
| ドメイン名は、API POST/jobs/を使用してADACクライアント統合( .exd形式のファイル)を介してPostmanまたはSoapUIツールによって生成されたトラフィックファイルから除外されません。 {jobId}/dastconfig/updatetraffic/{action} | ドメインのトラフィックをトラフィックファイルから除外するには、<ph>.dast</ph>、<ph>.config</ph>、または<ph>.har</ph>ファイルを使用する必要があります。 |
| Windows での AppScan Enterprise サービス・アカウントのユーザー許可の変更時に、スキャン・ジョブが失敗しています。 | AppScan Enterprise Server と Scanner マシンの両方で、サービス・アカウント・ユーザーを Windows 管理者グループに追加する必要があります。 |
| AppScan エージェント・サービス・プロセスがタスク・マネージャーによって強制終了されるとき、HCL スキャナー・ライセンスのチェックインが即座に行われません。ライセンスがリリースされるまで、約 15 分かかります。 | ライセンスを解放するために、サービスを通じてエージェントを再起動することをお勧めします。 |
| AppScan Enterprise Server がシャットダウンされる前にユーザーがログアウトしていない場合、オープン・セッションでライセンスがプールにチェックインし直されない可能性があります。これらの残されたライセンスは、2時間後にのみチェックインされます。 | ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。 |
| AppScan Enterprise のインストール中に、アプリケーションがシステム内の新しいバージョンの存在を確認せずに Visual C++ 2015 Redistributable をインストールしようとしているため、より高いバージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。 | Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。 |
| 製品のインライン・ヘルプは、すべての言語で使用できますが、関連リンクは、日本語、フランス語、中国語 (簡体字)、および中国語 (繁体字) でのみ使用できます。 | なし。 |
| 拡張ログ・ファイルのサイズが大きい場合 (2GB 以上)、スキャン・タブ概要レポートからのダウンロード・ログ・ファイルの操作の結果、zip ファイルが 0KB になることがあります。 | そのような場合、<uicontrol>AppScan Enterprise Agent</uicontrol> サーバーの <uicontrol>Logs</uicontrol> ディレクトリからファイルをコピーします。 |
| Dynamic Analysis Configuration Client でスキャンを編集する場合、編集しているスキャンが AppScan Enterprise で稼働中ではないことを確認してください。稼働中の場合、スキャンの更新中にジョブが中断される可能があります。 | Client の「ジョブ・プロパティー」ページで「できるだけ早く実行」チェック・ボックスをクリアしてから、「ジョブの更新」をクリックします。 |
| スキャン・ジョブに記録されたログインしか含まれていない場合 (マニュアル探査または開始 URL がない場合)、スキャンはそのページの下ではクロールしません。 | 少なくとも 1 つの URL をマニュアル探査または「スキャン対象」ページの開始 URL に追加してください。 |
| エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。 | AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワーク・アクティビティーとしてフラグを付ける可能性があるセキュリティー・テストを送信します。 |
| ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。 | ジョブ・プロパティー内で正規化ルールが定義されている場合は、それらの結果が有効な URL であることを確認することが重要です。 |
| 問題管理がレポートに関して実行された場合、「レポート・パックの概要」レポートがレポート・データと同期しなくなります。 | 問題管理タスクの完了時に数を同期化するには、レポート・パックを再実行する必要があります。 |
| 削除されたレポートは、ダッシュボードからすぐには除去されません。 | 変更を有効にするには、ダッシュボードを再実行する必要があります。 |
| リストをソートするときに、日本語、および中国語では予想通りに照合順序が機能しない場合があります。 | 現地固有の照合として .NET および SQL 照合が使用されますが、本製品は ICU には準拠していません。 |
|
ADAC のジョブ中断機能が、9.0.3.11 以前で作成したジョブに機能しません。これは、ジョブの編集を保存するまで継続します。 根本原因: アプリケーションに問題があり、<uicontrol>ADAC</uicontrol> ジョブの開始URLが <uicontrol>ASE</uicontrol> データベースに更新されていませんでした。中断機能では ASE データベースのドメインを読み取っているため、ADAC ジョブに対する中断が機能しなくなっていました。開始 URL は dast.config ファイルに保管されているため、既存のファイルを手動で編集して ASE データベースに保管される URL に保存する必要があります。 |
|
|
<AppScan Standard</uicontrol> でスキャンを実行し、結果をレガシー <uicontrol>XML</uicontrol> ファイルとしてエクスポートして <uicontrol>AppScan Enterprise</uicontrol> で使用する際、この <uicontrol>XML</uicontrol> ファイルはインポートされたジョブとして実行されました。これが <uicontrol>AppScan Enterprise</uicontrol> のアプリケーションに関連付けられました。しかし、生成されたセキュリティレポートには、元の <uicontrol>AppScan Standard</uicontrol> レポートに存在するにもかかわらず、訪問した <uicontrol>URL</uicontrol> が含まれていません。 |
N/A |
|
<AppScan Activity Recorder (AAR)</uicontrol> 暗号化ファイルは <uicontrol>AppScan Enterprise REST APIs</uicontrol> を使用してインポートできます。<uicontrol>Content Scan</uicontrol> ジョブでは、<uicontrol>AppScan Dynamic Analysis Client (ADAC)</uicontrol> ユーザーインターフェースを直接使用して試みた場合、サポートされていません。 |
方法1: 暗号化ファイルのインポートに <uicontrol>AppScan REST <uicontrol>AppScan REST APIs (POST /jobs/{jobId}/dastconfig/updatetraffic/{action})</uicontrol> を使用して暗号化ファイルをインポートします。この方法はユーザーインターフェースの制限を回避し、<uicontrol>AppScan-ADAC</uicontrol> へのインポートを成功させ、スキャンが正しく機能するようにします。 APIs</uicontrol> を使用する: 方法2: 代替の記録方法を検討する:暗号化されたログインシーケンスが必要なシナリオでは、<uicontrol>ADAC</uicontrol>ジョブを実行する際に<uicontrol>AAR</uicontrol>ではなく<uicontrol>ADAC記録</uicontrol>を使用することを検討してください。<uicontrol>ADAC記録</uicontrol>は、<uicontrol>AAR</uicontrol>アップロードで見られる暗号化関連の制限に遭遇することなく、より柔軟性を提供する可能性があります。 |
| <uicontrol>AppScan Enterprise</uicontrol>バージョン10.4.0では、<uicontrol>PDF</uicontrol>、<uicontrol>HTML</uicontrol>、または<uicontrol>XML</uicontrol>形式で生成されたセキュリティレポートは、関連する特定の共通脆弱性と露出(<uicontrol>CVE</uicontrol>)IDに関係なく、各脆弱なコンポーネント問題に対して同じ一般的な原因を表示します。 | N/A |
| <uicontrol>ADAC</uicontrol> v10.5.0またはv10.5.1を<uicontrol>ASE</uicontrol>サーバーから直接新しいバージョンにアップグレードすることは、<uicontrol>ASE</uicontrol>サーバーの<uicontrol>SSL</uicontrol>証明書が無効(期限切れ、信頼されていない)である場合に失敗します。これは、<uicontrol>ADAC</uicontrol> 10.5.0および10.5.1がより厳格なセキュリティを強制し、無効な証明書でのダウンロードをブロックするためです。 |
この問題の修正は、<uicontrol>ADAC</uicontrol>バージョン10.6以降に含まれています。<uicontrol>ADAC</uicontrol> 10.6以降にアップグレードすることで問題が解決されます:
Note:
|
| <uicontrol>Windows Server 2016</uicontrol>で<uicontrol>TLS 1.2</uicontrol>を使用する場合、<uicontrol>OLEDB</uicontrol>は正しく機能しません。この問題は、<uicontrol>TLS 1.2</uicontrol>での安全な接続の維持を妨げます。 |
この問題を解決するには、マシンにSQL Native Clientをインストールしてください。以下のリンクからSQL Native Clientをダウンロードできます:
追加情報:
|
| AppScan Enterprise v10.6.0では、共通脆弱性評価システム(CVSS)ベクターは英語でのみ表示されます。非英語のユーザーインターフェースではベクターは表示されません。 | N/A |
| AppScan Standardのテンプレートに基づくOpenAPIスキャンは、AppScan Enterpriseではサポートされていません。 | AppScan Connectを介してAppScan StandardからAppScan EnterpriseでOpenAPIスキャンを作成します。 |
| エクスポートされたXLSファイルでは、「事業部門別の問題の重大度(最大)」および「事業部門別のセキュリティリスク評価」セクションは、実際のアプリケーション数ではなく、各事業部門(BU)のフィルタリングされたアプリケーション数を表示します。 | N/A |
| フィルタリングされたデータを持つダッシュボードのリンクをクリックしても、フィルターはポートフォリオタブに引き継がれません。その結果、ポートフォリオタブはフィルタリングされたアプリケーションのみではなく、対応するステータスを持つすべてのアプリケーションを表示します。 | ユーザーはポートフォリオタブのフィルターセクションからアプリケーションを手動でフィルタリングする必要があります。 |
| AppScan on CloudからAppScan EnterpriseにSCAの問題をインポートする際、SCAの問題の詳細は表示されません。 | パッチを受け取るには、AppScan Enterprise L2サポートに連絡してください。 |
PDFレポートでは、<uicontrol>File:</uicontrol>または<uicontrol>URL:</uicontrol>属性が欠落しています。この属性はエクスポートされたXMLファイルにも存在しないため、PDFやHTMLレポートに表示されません。この問題はバージョン<uicontrol>AppScan Enterprise 10.6.0</uicontrol>で発生しています。 |
現在、即時の修正は利用できません。この問題を解決するにはスキーマレベルの変更が必要です。しかし、次のリリースでこの問題を解決するために新しいソフトウェア構成分析(SCA)スキャナーが導入されます。 |
| DASTジョブレポートパックは、完了後に正しく表示されない場合があります。 | ページを更新し、レポートパックを再度開いてください。通常、2回目の試行で問題が解決します。 |
| 大規模なデータベースを使用して<uicontrol>AppScan Enterprise v10.8.0</uicontrol>にアップグレードする際、デフォルトテンプレートのアップグレードにより、構成ウィザードの完了に通常より時間がかかる場合があります。ただし、プロセスは自動的に正常に完了します。新規インストールは予想される時間内に進行します。回避策はなく、将来のリリースで修正が計画されています。 | N/A |
| アプリケーション名に<uicontrol>"IAST-(InternalScan)"</uicontrol>のような特殊文字が含まれている場合、<uicontrol>IAST Agents</uicontrol>タブの問題数が正しく表示されません。これには、異なる重大度レベルの問題数が欠落していることや、他の関連するエージェントの詳細が期待通りに表示されないことが含まれます。 | N/A |
| 時々、<uicontrol>Server Configuration Wizard</uicontrol>でMHSライセンスファイルを使用する際に、ライセンス検証エラーが発生することがあります。このエラーは、<uicontrol>User Administration</uicontrol>、<uicontrol>Enterprise Console</uicontrol>、または<uicontrol>Dynamic Analysis Scanner</uicontrol>のようなコンポーネントを構成しようとするときに発生します。 | <uicontrol>Back</uicontrol>ボタンをクリックしてライセンス画面に戻り、構成を続行してください。 |
APIエンドポイント<uicontrol>get /license/decryptedData</uicontrol>を使用する際、応答ボディは永続ライセンスの有効期限をnullとして表示します。これは問題です。なぜなら、永続ライセンスには有効期限がないはずですが、APIは誤って有効期限が適用されないことを示す代わりにnullを返します。 |
N/A |
| <uicontrol>AppScan Dynamic Analysis Client (ADAC)</uicontrol>を独立して起動した際に、<uicontrol>Client Side Certificate</uicontrol>または<uicontrol>Smart Card</uicontrol>オプションを使用して<uicontrol>AppScan Enterprise server</uicontrol>にサインインしようとすると、次のエラーメッセージでログインに失敗します: <uicontrol> |
<uicontrol>AppScan Enterprise browser console</uicontrol>からADACを起動してください。 |
<uicontrol>AppScan Enterprise v10.9.1</uicontrol>をアンインストールした後、管理者権限を持っていてもインストールディレクトリから一部のファイルやフォルダを削除できません。エラーメッセージは、ファイルが<uicontrol>javawe.exe</uicontrol>プロセスによって使用中であることを示します。 |
アンインストールが完了したら、マシンを再起動してください。その後、残りのフォルダ構造を削除できます。 |
API<uicontrol>Get/issues/{jobId}</uicontrol>から生成されたPDFレポートには、次の表示問題があります:
|
N/A |