既知の問題と回避策

Table 1. 既知の問題と回避策
問題	回避策
IssueType、Severity、Scanner、またはStatusに基づいて問題を「グループ化」すると、各カテゴリーに500以上の問題がある場合、追加の問題は表示せず、代わりにフィルターの使用をお勧めします。フィルターは、各列タイプの値を最大100個までしか表示できないように制限されています。	"グループ化"オプションを削除し、結果を表示するために使用したい列タイプに基づいてデータを並べ替えてください。
コンポーネントの詳細表示は、AppScan EnterpriseまたはAppScanスタンダードからエクスポートまたはインポートすることはできません。ただし、脆弱なコンポーネントは問題としてエクスポートまたはインポートすることができます。	なし
セキュリティレポート（xls、excel、xml、またはPDF）では、コンポーネントの詳細は表示されません。	なし
設定ウィザードを実行することが、CVEレコードを更新する唯一の方法です。AppScan Enterpriseがインストールされた後に導入される新しいCVEは、脆弱なコンポーネントに対して識別されません。	なし
アクティビティログでは、日付フィルターにより、指定された日付範囲よりも 1 日多いデータが表示されます。	なし
CVSS 3.1の属性を持たない問題に対しては、期限超過の計算は行われません	なし
アプリケーションに関連付けられ、バージョン10.1.0またはそれ以前でスキャンされたすべての問題について、CVSSバージョン = 2.0フィルターは、CVSS 2.0と3.1の両方の問題を表示する可能性があります。	バージョンに基づいてCVSS 2.0の問題を最初にリストするCVSSバージョン列に基づいて問題を並べ替えることができます。
IAST .NET エージェントは、一部の .NET フレームワーク・アプリケーションで NuGet としてインストールできず、「Unable to resolve dependency 'MonoModReorg.RuntimeDetour'」というエラーが表示されることがあります。	IASTエージェントをインストールする前に、NuGetをインストールしてください：`'MonoModReorg.RuntimeDetour'`、バージョン`22.11.21-prerelease.2`。Visual StudioのNuGetタブのプレリリースチェックボックスが選択されていることを確認してください。あなたは今、IASTエージェントをNuGetとしてインストールできます。
LDAP が ASE に構成されている場合、およびスキャナーとサーバーが同じマシンにインストールされている場合は、ユーザー・グループをインポートできず、ユーザー・プロパティーを正しい値で保存できません	Dynamic Analysis Scanner とともに、サーバー構成中に以前選択した「サーバー・コンポーネント」ウィンドウで該当するすべてのコンポーネント (ユーザーの管理/Enterprise Console/IAST) を選択して、構成ウィザードを再実行します。
IASTの問題で、重要度が'情報'と表示され、CVSSバージョンが2.0ではなく3.1と表示されます。	表示されているバージョンを無視し、IASTがAppScan Enterpriseスキャナーであるため、バージョンを3.1と考えてください。
スキャン状況アラートは、構成済みの E メール・アドレスに送信されません。	アラート・サービスを再開します。
10.0.8 から 10.1.0 にアップグレードすると、IAST Java war エージェントの配置または接続が失敗し、AppScan Enterprise との対話が行われません。	このエージェントを無効にしてから、再度有効にしてください。
Appscan Mobile AnalyzerとAppScan Mobile Analyzer IOSスキャナープロファイルの再インポート問題により、エラーが発生します。	「モニター」タブを更新します。
問題を再テストすると、問題が実際に修正されていない場合でも、問題の状況が「修正済み」として報告されることがあります。	サイトで認証が必要な場合は、正しい再テスト状況を提供するために、再テストのスキャン・レベルでログインを必須に設定する必要があります。
問題のタイプ「Spring MVC でのリモート・コマンド実行 (CVE-2022-22965)」を再テストすると、問題が実際に修正されていない場合でも、「再オープン」ではなく「修正済み」として問題の状況が報告されることがあります。	アプリケーションのフル・スキャンを実行して、この問題のタイプが修正されているかどうかを確認することをお勧めします。
「モニター」タブでは、問題をクリックしても問題の詳細は表示されません。代わりに、エラー・メッセージ「CRWAS9999E 不明なエラーが発生しました。」が表示されます。この問題は、問題の詳細のテキスト・コンテンツが大きい場合に発生します。	<ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> に移動し、-Xss1024m という行を jvm.options に追加して、「HCL AppScan Enterprise Server」サービスを再始動します。
エージェント・サービスに「ライセンスの検査」状況が表示されます。	スキャナー・マシンで「HCL AppScan Agent Service」を再始動します。
DAST プロキシーの場合、Firefox ブラウザーを使用してトラフィックを記録しても、「セッション内」は自動的に検出されません。	メイン・ページの URL を選択して「セッション中」ボタンをクリックして「セッション内」を手動で追加するか、トラフィックの記録前に大量のトラフィックを作成するすべての Firefox プラグイン (例: Clockify) をオフにします。
OWASP 2017の削除とOWASP 2021レポートのサポート：10.0.7以前に作成されたすべてのレポートパックとレポートパックテンプレートには、OWASP 2017レポートが含まれます。	必要に応じて、2017 年 OWASP Top 10 を手動で削除し、既存のすべてのスキャンのレポート・パックに 2021 年 OWASP Top 10 を追加してレポート・パックを実行する必要があります。
IAST エージェント・ページでは、次のような UI の不具合が発生する可能性があります。
「アクション」ドロップダウンから「キーの生成」ボタンをクリックしても、応答がありません。	ページを最新表示して、再試行してください。
生成キー・ポップアップで「生成」ボタンをクリックしても、応答がありません。	複数回クリックしないでください。約 1 分間待っても応答がない場合は、ポップアップを閉じてもう一度実行してください。
Node.js エージェントのキーを再生成すると、パッケージ・サイズが大きくなる可能性があります。	ほとんどの場合に機能しているため、これは無視できます。
ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。	エージェント・キーを再生成し、エージェントを再度ダウンロードします。
SAST の問題の場合、インポートされたジョブが「スキャン」タブで実行されると、共通の問題に対して使いやすい名前が生成されるようになりました。「モニター」タブでは、以前のリリースとの整合性を保つために古い形式の ID が引き続き使用されます。今後、使いやすい名前に更新される予定です。このため、同じアプリケーションを使用してソース・データを「モニター」タブに直接インポートし、同じアプリケーションを「スキャン」タブで実行されるソース・インポート・ジョブにリンクすると、異なる問題タイプ (SQL 注入、クロスサイト・スクリプティングなど) に分類される問題が発生する可能性があります。	複数のSAST問題をAppScan Enterpriseにインポートする場合、それらすべてに対して同じメカニズムを使用することをお勧めします：モニタータブですべてのスキャンをインポートするか、またはスキャンタブですべてのジョブをインポートジョブとして実行し、アプリケーションにリンクします。機能に影響はありません。この問題は、表示にのみ影響します。
Payment Card Industry Data Security Standard (PCI) レポートの日本語バージョンでは、コンプライアンスの詳細が省略されています。	この問題の詳細については、障害に関する以下の記事を参照してください:https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0094517
AppScan Enterprise UI 言語が英語以外の言語に設定されている場合は、以下の問題が発生する可能性があります。「モニター」ページで、スキャンの問題の「問題について」ページに移動すると、理由に関する情報は常に英語で表示されます。 UI 言語が Espanola (スペイン語) に設定されている場合は、リファレンス API リンクと「修正方法」レポートの内容が英語で表示されます。「モニター」タブで異なる言語とエクスポートの問題を選択すると、IssueType 名が英語で表示されます。別の言語に切り替えると、「スキャン」タブの「修正方法」 (異なるプログラミング言語の内容) が以前の言語で表示されます。 ase_plan.pdf ファイルと Readme ファイルは翻訳されません。	言語設定を変更しても、UI 機能は影響を受けません。ただし、この情報が英語になります。したがって、これらの問題が後続のリリースで解決されるまで、引き続き UI 機能を使用することをお勧めします。
既に使用中のポートにユーザーが修正方法を設定している場合、UI ユーザーが問題の詳細にアクセスして修正方法のリンクにアクセスしようとしても、適切なエラー・メッセージが表示されません。	別のポートに修正方法を指定して、構成ウィザードを再実行します。
ユーザーがASE UIにユーザー定義テストファイルをアップロードすると、エラーメッセージが表示されます：アドバイザリーサービスサーバーへの接続エラー。	UDT ファイルは、AppScan Enterprise に正常にインポートされます。しかし、ユーザーには UI またはレポートに UDT issueTypeId が「修正方法」の情報が表示されません。 UDT issueTypeId の xml「修正方法」情報を参照するには、次のようにします。 <ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archivesフォルダパスに移動し、対応するUDT IssueTypeName zipファイル（例：UserDefined_UDT1.zip）を解凍してください。ユーザーは修正方法/アドバイザリ情報 xml（例：UserDefined_UDT1.xml）ファイルを<ASEインストールDir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-USフォルダパスで見ることができます。
スキャンのページからフォルダを編集して、フォルダの権限に何も変更を加えずに保存ボタンをクリックすると、アクションが3とマークされた`ActivityLog`テーブルにエントリが作成されます。アクション3は、フォルダが編集されたことを示します。	フォルダー・アクセス権を編集していない場合は、「キャンセル」ボタンをクリックしてページを終了する必要があります。
ドメイン名は、ADACクライアント統合を通じてPostmanまたはSoapUIツールによって生成されたトラフィックファイル（.exd形式のファイル）から除外されていません。これはAPIPOST/jobs/{jobId}/dastconfig/updatetraffic/{action}を使用しています。	.dast、.config、または.harファイルを使用して、トラフィックファイルからドメインのトラフィックを除外する必要があります。
Windows での AppScan Enterprise サービス・アカウントのユーザー許可の変更時に、スキャン・ジョブが失敗しています。	AppScan Enterprise Server と Scanner マシンの両方で、サービス・アカウント・ユーザーを Windows 管理者グループに追加する必要があります。
AppScan エージェント・サービス・プロセスがタスク・マネージャーによって強制終了されるとき、HCL スキャナー・ライセンスのチェックインが即座に行われません。ライセンスがリリースされるまで、約 15 分かかります。	ライセンスを解放するために、サービスを介して、再度エージェントを始動および停止することが推奨されます。
AppScan Enterprise Server がシャットダウンされる前にユーザーがログアウトしていない場合、オープン・セッションでライセンスがプールにチェックインし直されない可能性があります。これらの残されたライセンスは、2 時間後にチェックインし直されます。	ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。
AppScan Enterprise のインストール中に、アプリケーションがシステム内の新しいバージョンの存在を確認せずに Visual C++ 2015 Redistributable をインストールしようとしているため、より高いバージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。	Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。
製品のインライン・ヘルプは、すべての言語で使用できますが、関連リンクは、日本語、フランス語、中国語 (簡体字)、および中国語 (繁体字) でのみ使用できます。	なし。
拡張ログ・ファイルのサイズが大きい場合 (2GB 以上)、スキャン・タブ概要レポートからのダウンロード・ログ・ファイルの操作の結果、zip ファイルが 0KB になることがあります。	このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリーからファイルをコピーします。
Dynamic Analysis Configuration Client でスキャンを編集する場合、編集しているスキャンが AppScan Enterprise で稼働中ではないことを確認してください。稼働中の場合、スキャンの更新中にジョブが中断される可能があります。	Client の「ジョブ・プロパティー」ページで「できるだけ早く実行」チェック・ボックスをクリアしてから、「ジョブの更新」をクリックします。
スキャン・ジョブに記録されたログインしか含まれていない場合 (マニュアル探査または開始 URL がない場合)、スキャンはそのページの下ではクロールしません。	少なくとも 1 つの URL をマニュアル探査または「スキャン対象」ページの開始 URL に追加してください。
エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。	AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワーク・アクティビティーとしてフラグを付ける可能性があるセキュリティー・テストを送信します。
ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。	ジョブ・プロパティー内で正規化ルールが定義されている場合は、それらの結果が有効な URL であることを確認することが重要です。
問題管理がレポートに関して実行された場合、「レポート・パックの概要」レポートがレポート・データと同期しなくなります。	問題管理タスクの完了時に数を同期化するには、レポート・パックを再実行する必要があります。
削除されたレポートは、ダッシュボードからすぐには除去されません。	変更を有効にするには、ダッシュボードを再実行する必要があります。
リストをソートするときに、日本語、および中国語では予想通りに照合順序が機能しない場合があります。	現地固有の照合として .NET および SQL 照合が使用されますが、本製品は ICU には準拠していません。
ADAC のジョブ中断機能が、9.0.3.11 以前で作成したジョブに機能しません。これは、ジョブの編集を保存するまで継続します。根本原因：アプリケーションに問題があり、ADACジョブのための開始URLがASEデータベースに更新されていなかった。中断機能では ASE データベースのドメインを読み取っているため、ADAC ジョブに対する中断が機能しなくなっていました。開始 URL は dast.config ファイルに保管されているため、既存のファイルを手動で編集して ASE データベースに保管される URL に保存する必要があります。	ADAC ジョブ (Created before 9.0.3.11 以前で作成したもの) を編集します。ジョブの更新を実行します。これによって構成したとおり (コンテンツ・スキャン・ジョブと同じよう) に中断が機能します。
AppScan スタンダードでスキャンを実行し、その結果をレガシーXMLファイルとしてエクスポートしてAppScan Enterpriseで使用した後、このXMLファイルはインポートされたジョブとして実行されました。これはその後、AppScan Enterpriseのアプリケーションと関連付けられました。しかし、生成されたセキュリティレポートには、元の AppScan スタンダードレポートで利用可能な訪問したURLが含まれていません。	なし
AppScan アクティビティレコーダー（AAR）の暗号化ファイルは、AppScan Enterprise REST APIを使用してインポートすることができます。コンテンツスキャンジョブでは、AppScan ダイナミック分析クライアント（ADAC）ユーザーインターフェースを直接使用して試みると、サポートされません。	方法1：暗号化されたファイルのインポートにAppScan REST APIを使用します： AppScan REST API (POST /jobs/{jobId}/dastconfig/updatetraffic/{action})を使用して暗号化されたファイルをインポートします。この方法は、ユーザーインターフェースの制限を回避し、AppScan-ADACへのインポートを成功させ、スキャンが正しく機能するようにします。方法2：代替的な記録方法を検討します：暗号化されたログインシーケンスが必要なシナリオでは、ADACジョブを実行する際にAARの代わりにADACレコーディングを使用することを検討してください。ADACの録音は、AARのアップロードで見られる暗号化関連の制限に遭遇することなく、より柔軟性を提供するかもしれません。
AppScan Enterprise バージョン10.4.0では、PDF、HTML、またはXML形式で生成されたセキュリティレポートは、それに関連付けられた特定のCommon Vulnerabilities and Exposures（CVE）IDに関係なく、各脆弱なコンポーネントの問題に対して同じ一般的な原因を表示します。	なし
ADAC v10.5.0またはv10.5.1をASEサーバーから直接新しいバージョンにアップグレードすると、ASEサーバー上のSSL証明書が無効（期限切れ、信頼できない）の場合、失敗します。これは、ADAC 10.5.0および10.5.1がより厳格なセキュリティを強制し、無効な証明書を持つダウンロードをブロックするために発生します。	この問題の修正は、ADACバージョン10.6以降に含まれています。問題は、ADAC 10.6またはそれ以降にアップグレードすることで解決します: 最新のADACバージョン（10.6以降）をFNOからダウンロードしてください。ダウンロードしたADACバージョンをターゲットマシンにインストールしてください。 Note: このワークアラウンドは、ASEサーバー上のSSL証明書が無効な場合にのみ適用されます。有効なSSL証明書を持つASEサーバーのユーザーは、この問題の影響を受けません。
Windows Server 2016をTLS 1.2と共に使用すると、OLEDBは正しく機能しません。この問題により、ユーザーはTLS 1.2を使用した安全な接続を維持できません。	この問題を解決するために、マシンにSQL Native Clientをインストールしてください。次のリンクからSQL Native Clientをダウンロードできます： SQL Native Clientをダウンロードしてください追加情報: ユーザーは、Windows Server 2016でOLEDB機能が必要な場合、一時的な対策としてTLS 1.1にダウングレードすることができます。 TLS 1.2を使用することを好む方々には、Windows Server 2019へのアップグレードが推奨されます。
AppScan Enterprise v10.6.0では、Common Vulnerability Scoring System (CVSS) ベクターは英語でのみ表示されます。ベクターは、非英語のユーザーインターフェースでは表示されません。	なし
AppScan スタンダードからのテンプレートに基づくOpenAPIスキャンは、AppScan Enterpriseではサポートされていません。	AppScan Enterprise でOpenAPIスキャンを作成し、AppScan スタンダードを経由して AppScan Connectから実行します。
エクスポートXLSファイルでは、「ビジネスユニット別の問題の重大度（最大）」および「ビジネスユニット別のセキュリティリスク評価」のセクションは、実際のアプリケーション数ではなく、各ビジネスユニット（BU）のフィルタリングされたアプリケーション数をすべて表示します。	なし
ダッシュボード上のフィルタリングされたデータのリンクをクリックしても、そのフィルタはポートフォリオタブには適用されません。その結果、ポートフォリオタブは、フィルタリングされたアプリケーションだけでなく、対応するステータスを持つすべてのアプリケーションを表示します。	ユーザーは、ポートフォリオタブのフィルターセクションからアプリケーションを手動でフィルタリングする必要があります。
SCA問題の詳細が表示されませんAppScanからクラウドにSCA問題をインポートするときAppScan Enterpriseに。	パッチを受け取るためにAppScan Enterprise L2サポートに連絡してください。
PDFレポートでは、`ファイル:`または`URL:`の属性が欠落しています。この属性はエクスポートされたXMLファイルにも存在せず、結果としてPDFやHTMLレポートに表示されません。この問題はバージョンAppScan Enterprise 10.6.0で存在します。	現在、直ちに利用可能な修正策はありません。この問題を解決するためには、スキーマレベルの変更が必要です。しかし、次のリリースでは、ソフトウェア構成分析（SCA）の新しいスキャナーが導入され、この問題が解決されます。
DASTジョブレポートパックは、完了後に正しく表示されない場合があります。	ページを更新し、レポートパックを再度開いてください。これは通常、2回目の試みで問題を解決します。
大きなデータベースを持つAppScan Enterprise v10.8.0にアップグレードする際、デフォルトテンプレートのアップグレードにより、設定ウィザードの完了に通常より時間がかかる場合があります。しかし、そのプロセスは自己完結します。新規インストールは予想される時間枠内で進行します。対処法は利用できず、修正は将来のリリースで予定されています。	なし
アプリケーション名に特殊文字（例："IAST-(InternalScan)"）が含まれている場合、IASTエージェントタブの問題数が正しく表示されません。これには、異なる深刻度レベルの未解決の問題数が含まれ、また期待通りに表示されない関連エージェントの詳細も含まれます。	なし
サーバー構成ウィザードで MHS ライセンスファイルを使用すると、ライセンス検証エラーが発生する場合があります。このエラーは、ユーザー管理、エンタープライズコンソール、動的分析スキャナーなどのコンポーネントを構成しようとしたときに発生します。	戻るボタンをクリックして、ライセンス画面に戻り、設定を進めてください。
APIエンドポイントget /license/decryptedDataを使用すると、レスポンスボディは永続的なライセンスに対して`null`の有効期限を示します。これは問題です。永続ライセンスには有効期限がないはずですが、APIは誤って`null`を返し、有効期限が適用されないことを示していません。	なし
独立して起動された AppScan Dynamic Analysis Client (ADAC) からクライアント側証明書またはスマートカードオプションを使用して AppScan Enterprise サーバーにサインインしようとすると、次のエラーメッセージが表示されてログインが失敗します。 `AppScan Enterprise Server への接続に失敗しました`.	ADAC を個別に起動するのではなく、AppScan Enterprise ブラウザーコンソールから起動します。

IssueType、Severity、Scanner、またはStatusに基づいて問題を「グループ化」すると、各カテゴリーに500以上の問題がある場合、追加の問題は表示せず、代わりにフィルターの使用をお勧めします。フィルターは、各列タイプの値を最大100個までしか表示できないように制限されています。

"グループ化"オプションを削除し、結果を表示するために使用したい列タイプに基づいてデータを並べ替えてください。

コンポーネントの詳細表示は、AppScan EnterpriseまたはAppScanスタンダードからエクスポートまたはインポートすることはできません。ただし、脆弱なコンポーネントは問題としてエクスポートまたはインポートすることができます。

なし

セキュリティレポート（xls、excel、xml、またはPDF）では、コンポーネントの詳細は表示されません。

なし

設定ウィザードを実行することが、CVEレコードを更新する唯一の方法です。AppScan Enterpriseがインストールされた後に導入される新しいCVEは、脆弱なコンポーネントに対して識別されません。

なし

アクティビティログでは、日付フィルターにより、指定された日付範囲よりも 1 日多いデータが表示されます。

なし

CVSS 3.1の属性を持たない問題に対しては、期限超過の計算は行われません

なし

アプリケーションに関連付けられ、バージョン10.1.0またはそれ以前でスキャンされたすべての問題について、CVSSバージョン = 2.0フィルターは、CVSS 2.0と3.1の両方の問題を表示する可能性があります。

バージョンに基づいてCVSS 2.0の問題を最初にリストするCVSSバージョン列に基づいて問題を並べ替えることができます。

IAST .NET エージェントは、一部の .NET フレームワーク・アプリケーションで NuGet としてインストールできず、「Unable to resolve dependency 'MonoModReorg.RuntimeDetour'」というエラーが表示されることがあります。

IASTエージェントをインストールする前に、NuGetをインストールしてください：'MonoModReorg.RuntimeDetour'、バージョン22.11.21-prerelease.2。Visual StudioのNuGetタブのプレリリースチェックボックスが選択されていることを確認してください。あなたは今、IASTエージェントをNuGetとしてインストールできます。

LDAP が ASE に構成されている場合、およびスキャナーとサーバーが同じマシンにインストールされている場合は、ユーザー・グループをインポートできず、ユーザー・プロパティーを正しい値で保存できません

Dynamic Analysis Scanner とともに、サーバー構成中に以前選択した「サーバー・コンポーネント」ウィンドウで該当するすべてのコンポーネント (ユーザーの管理/Enterprise Console/IAST) を選択して、構成ウィザードを再実行します。

IASTの問題で、重要度が'情報'と表示され、CVSSバージョンが2.0ではなく3.1と表示されます。

表示されているバージョンを無視し、IASTがAppScan Enterpriseスキャナーであるため、バージョンを3.1と考えてください。

スキャン状況アラートは、構成済みの E メール・アドレスに送信されません。

アラート・サービスを再開します。

10.0.8 から 10.1.0 にアップグレードすると、IAST Java war エージェントの配置または接続が失敗し、AppScan Enterprise との対話が行われません。

このエージェントを無効にしてから、再度有効にしてください。

Appscan Mobile AnalyzerとAppScan Mobile Analyzer IOSスキャナープロファイルの再インポート問題により、エラーが発生します。

「モニター」タブを更新します。

問題を再テストすると、問題が実際に修正されていない場合でも、問題の状況が「修正済み」として報告されることがあります。

サイトで認証が必要な場合は、正しい再テスト状況を提供するために、再テストのスキャン・レベルでログインを必須に設定する必要があります。

問題のタイプ「Spring MVC でのリモート・コマンド実行 (CVE-2022-22965)」を再テストすると、問題が実際に修正されていない場合でも、「再オープン」ではなく「修正済み」として問題の状況が報告されることがあります。

アプリケーションのフル・スキャンを実行して、この問題のタイプが修正されているかどうかを確認することをお勧めします。

「モニター」タブでは、問題をクリックしても問題の詳細は表示されません。代わりに、エラー・メッセージ「CRWAS9999E 不明なエラーが発生しました。」が表示されます。この問題は、問題の詳細のテキスト・コンテンツが大きい場合に発生します。

<ASE install Dir>\AppScan Enterprise\Liberty\usr\servers\<server instance> に移動し、-Xss1024m という行を jvm.options に追加して、「HCL AppScan Enterprise Server」サービスを再始動します。

エージェント・サービスに「ライセンスの検査」状況が表示されます。

スキャナー・マシンで「HCL AppScan Agent Service」を再始動します。

DAST プロキシーの場合、Firefox ブラウザーを使用してトラフィックを記録しても、「セッション内」は自動的に検出されません。

メイン・ページの URL を選択して「セッション中」ボタンをクリックして「セッション内」を手動で追加するか、トラフィックの記録前に大量のトラフィックを作成するすべての Firefox プラグイン (例: Clockify) をオフにします。

OWASP 2017の削除とOWASP 2021レポートのサポート：10.0.7以前に作成されたすべてのレポートパックとレポートパックテンプレートには、OWASP 2017レポートが含まれます。

必要に応じて、2017 年 OWASP Top 10 を手動で削除し、既存のすべてのスキャンのレポート・パックに 2021 年 OWASP Top 10 を追加してレポート・パックを実行する必要があります。

IAST エージェント・ページでは、次のような UI の不具合が発生する可能性があります。

「アクション」ドロップダウンから「キーの生成」ボタンをクリックしても、応答がありません。

ページを最新表示して、再試行してください。

生成キー・ポップアップで「生成」ボタンをクリックしても、応答がありません。

複数回クリックしないでください。約 1 分間待っても応答がない場合は、ポップアップを閉じてもう一度実行してください。

Node.js エージェントのキーを再生成すると、パッケージ・サイズが大きくなる可能性があります。

ほとんどの場合に機能しているため、これは無視できます。

ダウンロードした Node.js エージェントに適切なエージェント・キーがない場合。

エージェント・キーを再生成し、エージェントを再度ダウンロードします。

SAST の問題の場合、インポートされたジョブが「スキャン」タブで実行されると、共通の問題に対して使いやすい名前が生成されるようになりました。「モニター」タブでは、以前のリリースとの整合性を保つために古い形式の ID が引き続き使用されます。今後、使いやすい名前に更新される予定です。このため、同じアプリケーションを使用してソース・データを「モニター」タブに直接インポートし、同じアプリケーションを「スキャン」タブで実行されるソース・インポート・ジョブにリンクすると、異なる問題タイプ (SQL 注入、クロスサイト・スクリプティングなど) に分類される問題が発生する可能性があります。

複数のSAST問題をAppScan Enterpriseにインポートする場合、それらすべてに対して同じメカニズムを使用することをお勧めします：モニタータブですべてのスキャンをインポートするか、またはスキャンタブですべてのジョブをインポートジョブとして実行し、アプリケーションにリンクします。機能に影響はありません。この問題は、表示にのみ影響します。

Payment Card Industry Data Security Standard (PCI) レポートの日本語バージョンでは、コンプライアンスの詳細が省略されています。

この問題の詳細については、障害に関する以下の記事を参照してください:https://support.hcl-software.com/csm?id=kb_article&sysparm_article=KB0094517

AppScan Enterprise UI 言語が英語以外の言語に設定されている場合は、以下の問題が発生する可能性があります。

「モニター」ページで、スキャンの問題の「問題について」ページに移動すると、理由に関する情報は常に英語で表示されます。
UI 言語が Espanola (スペイン語) に設定されている場合は、リファレンス API リンクと「修正方法」レポートの内容が英語で表示されます。
「モニター」タブで異なる言語とエクスポートの問題を選択すると、IssueType 名が英語で表示されます。
別の言語に切り替えると、「スキャン」タブの「修正方法」 (異なるプログラミング言語の内容) が以前の言語で表示されます。
ase_plan.pdf ファイルと Readme ファイルは翻訳されません。

言語設定を変更しても、UI 機能は影響を受けません。ただし、この情報が英語になります。したがって、これらの問題が後続のリリースで解決されるまで、引き続き UI 機能を使用することをお勧めします。

既に使用中のポートにユーザーが修正方法を設定している場合、UI ユーザーが問題の詳細にアクセスして修正方法のリンクにアクセスしようとしても、適切なエラー・メッセージが表示されません。

別のポートに修正方法を指定して、構成ウィザードを再実行します。

ユーザーがASE UIにユーザー定義テストファイルをアップロードすると、エラーメッセージが表示されます：アドバイザリーサービスサーバーへの接続エラー。

UDT ファイルは、AppScan Enterprise に正常にインポートされます。しかし、ユーザーには UI またはレポートに UDT issueTypeId が「修正方法」の情報が表示されません。

UDT issueTypeId の xml「修正方法」情報を参照するには、次のようにします。

<ASE install Dir>\AppScan Enterprise\CustomAdvisory\advisories\archivesフォルダパスに移動し、対応するUDT IssueTypeName zipファイル（例：UserDefined_UDT1.zip）を解凍してください。
ユーザーは修正方法/アドバイザリ情報 xml（例：UserDefined_UDT1.xml）ファイルを<ASEインストールDir>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-USフォルダパスで見ることができます。

スキャンのページからフォルダを編集して、フォルダの権限に何も変更を加えずに保存ボタンをクリックすると、アクションが3とマークされたActivityLogテーブルにエントリが作成されます。アクション3は、フォルダが編集されたことを示します。

フォルダー・アクセス権を編集していない場合は、「キャンセル」ボタンをクリックしてページを終了する必要があります。

ドメイン名は、ADACクライアント統合を通じてPostmanまたはSoapUIツールによって生成されたトラフィックファイル（.exd形式のファイル）から除外されていません。これはAPIPOST/jobs/{jobId}/dastconfig/updatetraffic/{action}を使用しています。

.dast、.config、または.harファイルを使用して、トラフィックファイルからドメインのトラフィックを除外する必要があります。

Windows での AppScan Enterprise サービス・アカウントのユーザー許可の変更時に、スキャン・ジョブが失敗しています。

AppScan Enterprise Server と Scanner マシンの両方で、サービス・アカウント・ユーザーを Windows 管理者グループに追加する必要があります。

AppScan エージェント・サービス・プロセスがタスク・マネージャーによって強制終了されるとき、HCL スキャナー・ライセンスのチェックインが即座に行われません。ライセンスがリリースされるまで、約 15 分かかります。

ライセンスを解放するために、サービスを介して、再度エージェントを始動および停止することが推奨されます。

AppScan Enterprise Server がシャットダウンされる前にユーザーがログアウトしていない場合、オープン・セッションでライセンスがプールにチェックインし直されない可能性があります。これらの残されたライセンスは、2 時間後にチェックインし直されます。

ユーザーは、AppScan Enterprise Server がシャットダウンされる前にログアウトする必要があります。

AppScan Enterprise のインストール中に、アプリケーションがシステム内の新しいバージョンの存在を確認せずに Visual C++ 2015 Redistributable をインストールしようとしているため、より高いバージョンの Microsoft Visual C++ Redistributable 2017 が既にシステムにインストールされている場合、Visual C++ 2015 のインストールに失敗します。

Visual C++ 2017 RC Redistributable をアンインストールして、AppScan Enterprise をインストールし、Visual C++ 2017 Redistributable を再インストールしてください。

製品のインライン・ヘルプは、すべての言語で使用できますが、関連リンクは、日本語、フランス語、中国語 (簡体字)、および中国語 (繁体字) でのみ使用できます。

なし。

拡張ログ・ファイルのサイズが大きい場合 (2GB 以上)、スキャン・タブ概要レポートからのダウンロード・ログ・ファイルの操作の結果、zip ファイルが 0KB になることがあります。

このような場合は、AppScan Enterprise Agent サーバーの Logs ディレクトリーからファイルをコピーします。

Dynamic Analysis Configuration Client でスキャンを編集する場合、編集しているスキャンが AppScan Enterprise で稼働中ではないことを確認してください。稼働中の場合、スキャンの更新中にジョブが中断される可能があります。

Client の「ジョブ・プロパティー」ページで「できるだけ早く実行」チェック・ボックスをクリアしてから、「ジョブの更新」をクリックします。

スキャン・ジョブに記録されたログインしか含まれていない場合 (マニュアル探査または開始 URL がない場合)、スキャンはそのページの下ではクロールしません。

少なくとも 1 つの URL をマニュアル探査または「スキャン対象」ページの開始 URL に追加してください。

エージェントとスキャン対象の Web サイトとの間にファイアウォールが配備されている場合、パフォーマンス低下および検出漏れの結果となるリスクがあります。

AppScan Enterprise Server は、一部のファイアウォール製品が疑わしいネットワーク・アクティビティーとしてフラグを付ける可能性があるセキュリティー・テストを送信します。

ユーザー定義の正規化ルールが空の URL ストリングとなっている場合は、スキャンが終了しないおそれがあります。

ジョブ・プロパティー内で正規化ルールが定義されている場合は、それらの結果が有効な URL であることを確認することが重要です。

問題管理がレポートに関して実行された場合、「レポート・パックの概要」レポートがレポート・データと同期しなくなります。

問題管理タスクの完了時に数を同期化するには、レポート・パックを再実行する必要があります。

削除されたレポートは、ダッシュボードからすぐには除去されません。

変更を有効にするには、ダッシュボードを再実行する必要があります。

リストをソートするときに、日本語、および中国語では予想通りに照合順序が機能しない場合があります。

現地固有の照合として .NET および SQL 照合が使用されますが、本製品は ICU には準拠していません。

ADAC のジョブ中断機能が、9.0.3.11 以前で作成したジョブに機能しません。これは、ジョブの編集を保存するまで継続します。

根本原因：アプリケーションに問題があり、ADACジョブのための開始URLがASEデータベースに更新されていなかった。中断機能では ASE データベースのドメインを読み取っているため、ADAC ジョブに対する中断が機能しなくなっていました。開始 URL は dast.config ファイルに保管されているため、既存のファイルを手動で編集して ASE データベースに保管される URL に保存する必要があります。

ADAC ジョブ (Created before 9.0.3.11 以前で作成したもの) を編集します。
ジョブの更新を実行します。
これによって構成したとおり (コンテンツ・スキャン・ジョブと同じよう) に中断が機能します。

AppScan スタンダードでスキャンを実行し、その結果をレガシーXMLファイルとしてエクスポートしてAppScan Enterpriseで使用した後、このXMLファイルはインポートされたジョブとして実行されました。これはその後、AppScan Enterpriseのアプリケーションと関連付けられました。しかし、生成されたセキュリティレポートには、元の AppScan スタンダードレポートで利用可能な訪問したURLが含まれていません。

なし

AppScan アクティビティレコーダー（AAR）の暗号化ファイルは、AppScan Enterprise REST APIを使用してインポートすることができます。コンテンツスキャンジョブでは、AppScan ダイナミック分析クライアント（ADAC）ユーザーインターフェースを直接使用して試みると、サポートされません。

方法1：暗号化されたファイルのインポートにAppScan REST APIを使用します：

AppScan REST API (POST /jobs/{jobId}/dastconfig/updatetraffic/{action})を使用して暗号化されたファイルをインポートします。この方法は、ユーザーインターフェースの制限を回避し、AppScan-ADACへのインポートを成功させ、スキャンが正しく機能するようにします。

方法2：代替的な記録方法を検討します：

暗号化されたログインシーケンスが必要なシナリオでは、ADACジョブを実行する際にAARの代わりにADACレコーディングを使用することを検討してください。ADACの録音は、AARのアップロードで見られる暗号化関連の制限に遭遇することなく、より柔軟性を提供するかもしれません。

AppScan Enterprise バージョン10.4.0では、PDF、HTML、またはXML形式で生成されたセキュリティレポートは、それに関連付けられた特定のCommon Vulnerabilities and Exposures（CVE）IDに関係なく、各脆弱なコンポーネントの問題に対して同じ一般的な原因を表示します。

なし

ADAC v10.5.0またはv10.5.1をASEサーバーから直接新しいバージョンにアップグレードすると、ASEサーバー上のSSL証明書が無効（期限切れ、信頼できない）の場合、失敗します。これは、ADAC 10.5.0および10.5.1がより厳格なセキュリティを強制し、無効な証明書を持つダウンロードをブロックするために発生します。

この問題の修正は、ADACバージョン10.6以降に含まれています。問題は、ADAC 10.6またはそれ以降にアップグレードすることで解決します:

最新のADACバージョン（10.6以降）をFNOからダウンロードしてください。
ダウンロードしたADACバージョンをターゲットマシンにインストールしてください。

Note:

このワークアラウンドは、ASEサーバー上のSSL証明書が無効な場合にのみ適用されます。
有効なSSL証明書を持つASEサーバーのユーザーは、この問題の影響を受けません。

Windows Server 2016をTLS 1.2と共に使用すると、OLEDBは正しく機能しません。この問題により、ユーザーはTLS 1.2を使用した安全な接続を維持できません。

この問題を解決するために、マシンにSQL Native Clientをインストールしてください。次のリンクからSQL Native Clientをダウンロードできます：

SQL Native Clientをダウンロードしてください

追加情報:

ユーザーは、Windows Server 2016でOLEDB機能が必要な場合、一時的な対策としてTLS 1.1にダウングレードすることができます。
TLS 1.2を使用することを好む方々には、Windows Server 2019へのアップグレードが推奨されます。

AppScan Enterprise v10.6.0では、Common Vulnerability Scoring System (CVSS) ベクターは英語でのみ表示されます。ベクターは、非英語のユーザーインターフェースでは表示されません。

なし

AppScan スタンダードからのテンプレートに基づくOpenAPIスキャンは、AppScan Enterpriseではサポートされていません。

AppScan Enterprise でOpenAPIスキャンを作成し、AppScan スタンダードを経由して AppScan Connectから実行します。

エクスポートXLSファイルでは、「ビジネスユニット別の問題の重大度（最大）」および「ビジネスユニット別のセキュリティリスク評価」のセクションは、実際のアプリケーション数ではなく、各ビジネスユニット（BU）のフィルタリングされたアプリケーション数をすべて表示します。

なし

ダッシュボード上のフィルタリングされたデータのリンクをクリックしても、そのフィルタはポートフォリオタブには適用されません。その結果、ポートフォリオタブは、フィルタリングされたアプリケーションだけでなく、対応するステータスを持つすべてのアプリケーションを表示します。

ユーザーは、ポートフォリオタブのフィルターセクションからアプリケーションを手動でフィルタリングする必要があります。

SCA問題の詳細が表示されませんAppScanからクラウドにSCA問題をインポートするときAppScan Enterpriseに。

パッチを受け取るためにAppScan Enterprise L2サポートに連絡してください。

PDFレポートでは、ファイル:またはURL:の属性が欠落しています。この属性はエクスポートされたXMLファイルにも存在せず、結果としてPDFやHTMLレポートに表示されません。この問題はバージョンAppScan Enterprise 10.6.0で存在します。

現在、直ちに利用可能な修正策はありません。この問題を解決するためには、スキーマレベルの変更が必要です。しかし、次のリリースでは、ソフトウェア構成分析（SCA）の新しいスキャナーが導入され、この問題が解決されます。

DASTジョブレポートパックは、完了後に正しく表示されない場合があります。

ページを更新し、レポートパックを再度開いてください。これは通常、2回目の試みで問題を解決します。

大きなデータベースを持つAppScan Enterprise v10.8.0にアップグレードする際、デフォルトテンプレートのアップグレードにより、設定ウィザードの完了に通常より時間がかかる場合があります。しかし、そのプロセスは自己完結します。新規インストールは予想される時間枠内で進行します。対処法は利用できず、修正は将来のリリースで予定されています。

なし

アプリケーション名に特殊文字（例："IAST-(InternalScan)"）が含まれている場合、IASTエージェントタブの問題数が正しく表示されません。これには、異なる深刻度レベルの未解決の問題数が含まれ、また期待通りに表示されない関連エージェントの詳細も含まれます。

なし

サーバー構成ウィザードで MHS ライセンスファイルを使用すると、ライセンス検証エラーが発生する場合があります。このエラーは、ユーザー管理、エンタープライズコンソール、動的分析スキャナーなどのコンポーネントを構成しようとしたときに発生します。

戻るボタンをクリックして、ライセンス画面に戻り、設定を進めてください。

APIエンドポイントget /license/decryptedDataを使用すると、レスポンスボディは永続的なライセンスに対してnullの有効期限を示します。これは問題です。永続ライセンスには有効期限がないはずですが、APIは誤ってnullを返し、有効期限が適用されないことを示していません。

なし

独立して起動された AppScan Dynamic Analysis Client (ADAC) からクライアント側証明書またはスマートカードオプションを使用して AppScan Enterprise サーバーにサインインしようとすると、次のエラーメッセージが表示されてログインが失敗します。

AppScan Enterprise Server への接続に失敗しました.

ADAC を個別に起動するのではなく、AppScan Enterprise ブラウザーコンソールから起動します。