已知問題與因應措施

以下是已知問題及其因應措施。

表 1. 已知問題與因應措施
問題	因應措施
當您根據 IssueType、Severity、Scanner 或 Status 進行「分組依據」時，如果每個種類中的問題超過 500 個，我們將不會顯示額外的問題，並建議改用過濾器。過濾器也限制為每種直欄類型最多只能顯示 100 個值。	移除「分組依據」選項，然後根據您要用來顯示結果的直欄類型對資料進行排序。
無法從 AppScan Enterprise 或 AppScan Standard 匯出或匯入元件視圖詳細資料。不過，易受攻擊的元件可以作為問題匯出或匯入。	不適用
安全報告 (xls、excel、xml 或 PDF) 將不會顯示任何元件詳細資料。	不適用
執行配置精靈是更新 CVE 記錄的唯一方法。安裝 AppScan Enterprise 之後引入的新 CVE，將無法針對易受攻擊的元件進行識別。	不適用
在活動日誌中，日期過濾器顯示的資料會比指定的日期範圍多出一天。	不適用
對於沒有 CVSS 3.1 屬性的問題，不會進行逾期計算。	不適用
對於在 10.1.0 或更早版本中掃描並與應用程式相關聯的所有問題，CVSS Version = 2.0 過濾器可能會同時顯示 CVSS 2.0 和 3.1 的問題。	您可以根據 CVSS Version 直欄對問題進行排序，該直欄會根據版本首先列出所有 CVSS 2.0 的問題。
IAST .NET 代理程式在某些 .NET Framework 應用程式中作為 NuGet 安裝時可能會失敗，並出現錯誤「無法解析相依性 'MonoModReorg.RuntimeDetour'」。	在安裝 IAST 代理程式之前，請先安裝 NuGet： `'MonoModReorg.RuntimeDetour'`，版本 `22.11.21-prerelease.2`。確保已選取 Visual Studio 之 NuGet 標籤中的預先發行版勾選框。您現在可以將 IAST 代理程式作為 NuGet 安裝。
當 LDAP 配置為 ASE，且掃描器和伺服器安裝在同一部機器上時，無法匯入使用者群組並以正確的值儲存使用者內容。	透過在伺服器元件視窗中，選取您先前在伺服器配置期間選取的所有適用元件 (使用者管理/企業主控台/IAST) 以及動態分析 (Dynamic Analysis) 掃描器，以重新執行配置精靈。
嚴重性為「資訊 (Information)」的 IAST 問題會將 CVSS 版本顯示為 2.0 而非 3.1。	請忽略顯示的版本，並將版本視為 3.1，因為 IAST 是一個 AppScan Enterprise 掃描器。
掃描狀態警示未傳送到配置的電子郵件地址。	重新啟動警示服務。
當您從 10.0.8 升級到 10.1.0 時，IAST java war 代理程式部署或連線會失敗，並且不會與 AppScan Enterprise 互動。	停用然後再次啟用代理程式。
使用 Appscan Mobile Analyzer 和 AppScan Mobile Analyzer IOS 掃描器設定檔重新匯入問題會導致錯誤。	重新整理監視器標籤。
對問題進行重新測試可能會導致該問題的狀態報告為「已修正」，即使該問題實際上並未修正。	如果您的網站需要鑑別，則必須在掃描層次強制設定登入，以便重新測試提供正確的重新測試狀態。
重新測試問題類型「Spring MVC 上的遠端指令執行 (CVE-2022-22965)」時，可能會導致該問題的狀態被報告為「已修正」而不是「已重新開啟」，即使該問題實際上並未修正。	建議對應用程式執行完整掃描，以確認此問題類型是否已修正。
在監視標籤中，按一下問題時不會顯示問題詳細資料。相反地，會顯示錯誤訊息「CRWAS9999E 發生不明錯誤。」。如果問題詳細資料的文字內容很大，就會發生此問題。	導覽至 <ASE 安裝目錄>\AppScan Enterprise\Liberty\usr\servers\<伺服器實例>，並將 -Xss1024m 這一行新增到 jvm.options，然後重新啟動「HCL AppScan Enterprise Server」服務。
代理程式服務顯示「檢查授權 (Check License)」狀態。	在掃描器機器上重新啟動「HCL AppScan Agent Service」。
對於 DAST Proxy，使用 Firefox 瀏覽器記錄流量時，不會自動偵測到「階段作業中 (In-session)」。	手動新增「階段作業中」：選取主頁面 URL 並按一下階段作業中按鈕，或者在記錄流量之前，關閉任何會產生大量流量的 Firefox 外掛程式 (例如 Clockify)。
移除 OWASP 2017 和支援 OWASP 2021 報告：在 10.0.7 之前建立的所有報告套件和報告套件範本都將具有 OWASP 2017 報告。	如果需要，使用者必須手動從現有掃描的報告套件中移除 OWASP Top 10 2017，並新增 OWASP Top 10 2021，然後執行報告套件。
在 IAST 代理程式頁面中，您可能會遇到如下的 UI 小故障：
從動作下拉清單中按一下產生金鑰按鈕時，沒有任何回應。	重新整理頁面並再試一次。
在產生金鑰快顯視窗中，按一下產生按鈕時，沒有任何回應。	請勿多次點擊。等待大約一分鐘，如果仍然沒有回應，請關閉快顯視窗並再試一次。
為 Node.js 代理程式重新產生金鑰時，套件大小可能會增加。	這可以忽略，因為它在大多數情況下都能正常運作。
如果下載的 Node.js 代理程式沒有正確的代理程式金鑰。	重新產生代理程式金鑰並再次下載代理程式。
對於 SAST 問題，在「掃描」標籤中執行匯入的作業時，現在會為常見問題產生使用者友善的名稱。「監視」標籤為了與先前的發行版保持一致，會繼續使用較舊格式的 ID，並會在未來更新為使用者友善的名稱。因此，如果您使用同一個應用程式將來源資料直接匯入到「監視」標籤中，並且將同一個應用程式連結至在「掃描」標籤中執行的來源匯入作業，您可能會注意到某些問題被分類在不同的問題類型下 (例如 SQL 隱碼、跨網站指令碼)。	如果您將多個 SAST 問題匯入到 AppScan Enterprise，建議您對所有問題使用相同的機制：在「監視」標籤中匯入所有掃描，或者將所有作業作為匯入作業在「掃描」標籤中執行並連結至應用程式。功能不受影響；此問題僅會影響顯示。
當 AppScan Enterprise UI 語言設定為英文以外的任何其他語言時，可能會觀察到以下問題：在監視頁面中，導覽至掃描問題的「關於問題」頁面時，推論 (Reasoning) 資訊始終以英文顯示。當 UI 語言設定為西班牙文 (Espanola) 時，參考 API 連結和「如何修正」報告內容會以英文顯示。當您選取不同的語言並從「監視」標籤匯出問題時，IssueType 名稱會以英文顯示。切換到不同的語言時，「掃描」標籤中的如何修正 (不同的程式語言內容) 會以前一種語言顯示。 ase_plan.pdf 和 Readme 檔案沒有翻譯。	語言設定的任何變更都不會以任何方式影響 UI 功能，唯獨這些資訊將以英文提供。因此，建議繼續使用該功能，直到後續發行版中解決這些問題為止。
當使用者將「如何修正」配置到已在使用中的埠時，從 UI 嘗試存取問題詳細資料並存取「如何修正」連結時，使用者將不會看到適當的錯誤訊息。	將「如何修正」指向不同的埠，然後重新執行配置精靈。
如果使用者在 ASE UI 中上傳了使用者定義測試檔案，則會顯示錯誤訊息：連接至建議服務伺服器時發生錯誤。	UDT 檔案會成功匯入到 AppScan Enterprise 中。但是使用者在 UI 或報告中看不到 UDT issueTypeIds 的「如何修正」資訊。若要查看 UDT issueTypeIds 的 xml「如何修正」資訊：導覽至 <ASE 安裝目錄>\AppScan Enterprise\CustomAdvisory\advisories\archives 資料夾路徑，然後解壓縮對應的 UDT IssueTypeName zip 檔案 (範例： UserDefined_UDT1.zip)。使用者可以在 <ASE 安裝目錄>\AppScan Enterprise\CustomAdvisory\advisories\archives\Advisories\en-US 資料夾路徑中看到如何修正/建議資訊 xml (範例：UserDefined_UDT1.xml) 檔案。
從「掃描」頁面編輯資料夾而不對資料夾的權限進行任何變更，然後按一下儲存按鈕時，它會在 `ActivityLog` 表格中建立一個記錄，其動作標示為 3。動作 3 表示已編輯資料夾。	如果您沒有編輯資料夾權限，則必須按一下取消按鈕才能退出該頁面。
透過 ADAC 用戶端整合 (格式為 .exd 的檔案)，使用 API POST/jobs/{jobId}/dastconfig/updatetraffic/{action} 時，由 Postman 或 SoapUI 工具產生的流量檔案中並未排除網域名稱	您必須使用 .dast、 .config 或 .har 檔案，從流量檔案中排除網域的流量。
在 Windows 中變更 AppScan Enterprise 服務帳戶的使用者權限時，掃描作業會失敗。	您必須將服務帳戶使用者新增到 AppScan Enterprise Server 和掃描器機器上的 Windows Administrators 群組中。
透過工作管理員終止 AppScan Agent 服務程序時，HCL 掃描器授權不會立即存入。大約需要 15 分鐘才能釋放授權。	建議透過服務再次啟動和停止代理程式以釋放授權。
如果使用者在關閉 AppScan Enterprise Server 之前未登出，則開啟的階段作業可能會導致授權無法存入回儲存區。這些殘留的授權僅會在 2 小時後存入。	使用者應在關閉 AppScan Enterprise Server 之前登出。
在安裝 AppScan Enterprise 的期間，如果系統中已安裝較新版本的 Microsoft Visual C++ Redistributable 2017，Visual C++ 2015 的安裝會失敗，因為應用程式嘗試安裝 Visual C++ 2015 Redistributable，而沒有檢查系統中是否已經存在較新的版本。	解除安裝 Visual C++ 2017 RC Redistributable，安裝 AppScan Enterprise，然後重新安裝 Visual C++ 2017 Redistributable。
產品線上說明支援所有語言，但是相關鏈結僅支援日文、法文、簡體中文和繁體中文。	不適用。
如果擴充日誌檔案大小很大 (大於 2GB)，有時從「掃描」標籤摘要報告下載日誌檔作業可能會導致一個 0KB 的 zip 檔案。	在這種情況下，請從 AppScan Enterprise Agent 伺服器的 Logs 目錄複製該檔案。
在動態分析配置用戶端 (Dynamic Analysis Configuration Client) 中編輯掃描時，請確定您正在編輯的掃描未在 AppScan Enterprise 中執行；否則在您更新掃描時可能會暫停作業。	在用戶端的作業內容頁面上，清除盡快執行作業勾選框，然後按一下更新作業。
當掃描作業只有記錄的登入資料 (沒有「手動探索」或「起始 URL」) 時，掃描將不會往下探查該頁面。	請將至少一個 URL 新增到要掃描的內容頁面的手動探索或起始 URL。
當防火牆部署在代理程式與被掃描的網站之間時，存在效能降低和偽陰性結果的風險。	AppScan Enterprise Server 會傳送安全測試，某些防火牆產品可能會將其標記為可疑的網路活動。
如果使用者定義的標準化規則導致產生空的 URL 字串，則掃描會有無法結束的風險。	在「作業內容」中定義標準化規則時，確保這些規則會產生有效的 URL 非常重要。
如果對報告執行了「問題管理」，則「報告套件摘要」報告將與報告資料不同步。	當完成問題管理工作時，必須重新執行報告套件以同步處理這些數字。
已刪除的報告不會立即從儀表板中移除。	必須重新執行儀表板，變更才會生效。
排序清單時，針對日文和中文語言，對照順序可能無法如預期般運作。	使用了 .NET 和 SQL 對照以及特定於語言環境的對照，但是產品不符合 ICU 規範。
對於在 9.0.3.11 之前建立的作業，ADAC 作業的停用期在對作業執行編輯儲存之前無法運作。根本原因：應用程式中存在一個問題，即 ADAC 作業的起始 URL 未更新到 ASE 資料庫中。由於停用期是從 ASE 資料庫讀取網域的，這導致停用期無法對 ADAC 作業產生作用。由於起始 URL 儲存在 dast.config 檔案內，因此必須手動編輯並儲存現有作業，才能將 URL 儲存至 ASE 資料庫。	編輯 ADAC 作業 (建立於 9.0.3.11 之前)。執行作業更新。停用期應會依配置運作 (類似於內容掃描作業)。
在 AppScan Standard 中執行掃描並將結果作為舊版 XML 檔案匯出以在 AppScan Enterprise 中使用後，使用此 XML 檔案時，它將作為已匯入的作業執行。然後將其與 AppScan Enterprise 中的應用程式相關聯。然而，產生的安全報告不包含已造訪的 URL，儘管它們在原始 AppScan Standard 報告中可用。	不適用
雖然可以使用 AppScan Enterprise REST API 匯入 AppScan Activity Recorder (AAR) 加密檔案。但在內容掃描作業中，如果直接嘗試透過 AppScan 動態分析用戶端 (ADAC) 使用者介面進行，則不支援它們。	方法 1：使用 AppScan REST API 進行加密檔案匯入：使用 AppScan REST API (POST /jobs/{jobId}/dastconfig/updatetraffic/{action}) 來匯入加密檔案。此方法避開了使用者介面的限制，並能夠成功匯入到 AppScan-ADAC，使掃描能夠正常運作。方法 2：考慮替代的記錄方法：針對需要加密登入順序的情況，在執行 ADAC 作業時，考慮使用 ADAC 記錄而不是 AAR。ADAC 記錄可能提供更大的靈活性，而不會遇到使用 AAR 上傳時出現的加密相關限制。
在 AppScan Enterprise 10.4.0 版中，以 PDF、HTML 或 XML 格式產生的安全報告會顯示每個易受攻擊元件問題的相同一般原因，無論與其相關聯的特定通用漏洞披露 (CVE) ID 為何。	不適用
當 ASE 伺服器上的 SSL 憑證無效 (已過期、不受信任) 時，直接從 ASE 伺服器將 ADAC v10.5.0 或 v10.5.1 升級到較新版本會失敗。發生這種情況是因為 ADAC 10.5.0 和 10.5.1 實施了更嚴格的安全性，並封鎖使用無效憑證的下載。	此問題的修正已包含在 ADAC 版本 10.6 及更高版本中。升級到 ADAC 10.6 或更高版本將解決該問題：從 FNO 下載最新的 ADAC 版本 (10.6 或更高版本)。在目標機器上安裝下載的 ADAC 版本。註：此因應措施僅適用於 ASE 伺服器上的 SSL 憑證無效的情況。在 ASE 伺服器上擁有有效 SSL 憑證的使用者不受此問題的影響。
在具有 TLS 1.2 的 Windows Server 2016 上使用時，OLEDB 無法正常運作。此問題會阻止使用者維護與 TLS 1.2 的安全連線。	若要解決此問題，請在機器上安裝 SQL Native Client。您可以從以下連結下載 SQL Native Client：下載 SQL Native Client 其他資訊：如果 Windows Server 2016 上需要 OLEDB 功能，使用者可以暫時降級到 TLS 1.1 作為暫時措施。對於偏好使用 TLS 1.2 的使用者，建議升級到 Windows Server 2019。
在 AppScan Enterprise v10.6.0 中，一般漏洞評分系統 (CVSS) 向量僅會以英文顯示。在非英文的使用者介面中，向量將不可見。	不適用
AppScan Enterprise 中不支援基於 AppScan Standard 範本的 OpenAPI 掃描。	透過 AppScan Connect 從 AppScan Standard 在 AppScan Enterprise 中建立 OpenAPI 掃描。
在匯出的 XLS 檔案中，「依業務單位的問題嚴重性 (最大)」和「依業務單位的安全風險評級」區段會顯示每個業務單位 (BU) 所有過濾後的應用程式計數，而不是實際的應用程式計數。	不適用
在儀表板上按一下帶有過濾資料的連結，並不會將過濾器結轉到「組合 (Portfolio)」標籤。因此，「組合」標籤會顯示具有對應狀態的所有應用程式，而不是只顯示過濾後的應用程式。	使用者必須從「組合」標籤的過濾器區段手動過濾應用程式。
從 AppScan on Cloud 將 SCA 問題匯入到 AppScan Enterprise 時，不顯示 SCA 問題詳細資料。	請聯絡 AppScan Enterprise L2 支援人員以取得修補程式。
在 PDF 報告中，缺少 `檔案：` 或 `URL：` 屬性。在匯出的 XML 檔案中也缺少此屬性，導致它無法顯示在 PDF 或 HTML 報告中。AppScan Enterprise 10.6.0 版中存在此問題。	目前沒有立即可用的修正程式。需要進行綱目層次的變更才能解決此問題。不過，下個發行版將引進用於軟體組成分析 (SCA) 的新掃描器，屆時將解決此問題。
DAST 作業報告套件在完成後可能無法正確顯示。	重新整理頁面並重新開啟報告套件。這通常會在第二次嘗試時解決問題。
使用大型資料庫升級到 AppScan Enterprise v10.8.0 時，由於預設範本的升級，配置精靈可能需要比平常更長的時間才能完成。但是，程序將會自行成功完成。全新安裝則在預期的時間範圍內進行。目前沒有可用的因應措施，計畫在未來的發行版中修正。	不適用
當應用程式名稱包含特殊字元 (例如「IAST-(InternalScan)」) 時，IAST 代理程式標籤中的問題計數無法正確顯示。這包括缺少不同嚴重性層次的問題計數，而且其他相關的代理程式詳細資料也未如預期般顯示。	不適用
有時候，在伺服器配置精靈中使用 MHS 授權檔時，可能會發生授權驗證錯誤。在嘗試配置「使用者管理」、「企業主控台」或「動態分析掃描器」等元件時，會發生此錯誤。	按一下上一步按鈕並回到授權畫面，以繼續進行配置。
使用 API 端點 get /license/decryptedData 時，對於永久授權，回應主體會顯示到期日為 `null`。這是一個問題，因為永久授權不應有到期日，但 API 錯誤地傳回 `null`，而不是表示到期日不適用。	不適用
嘗試在使用獨立啟動的 AppScan 動態分析用戶端 (ADAC) 時，使用用戶端憑證或智慧卡選項登入 AppScan Enterprise Server，登入會失敗並出現錯誤訊息： `無法連線至 AppScan Enterprise Server`。	請從 AppScan Enterprise 瀏覽器主控台啟動 ADAC，而不是獨立啟動。
解除安裝 AppScan Enterprise v10.9.1 後，即使用戶具有系統管理員權限，也無法從安裝目錄中刪除某些檔案和資料夾。錯誤訊息指出這些檔案正被 `javawe.exe` 程序使用。	解除安裝完成後重新啟動機器。然後您就可以刪除剩餘的資料夾結構。
從 Get/issues/{jobId} API 產生的 PDF 報告有以下顯示問題： CVSS 分數屬性顯示為沒有分數。僅當問題在監視頁面中與應用程式關聯時，才會計算此分數。 URL 屬性顯示為「不適用」而不是隱藏。報告名稱、報告說明和問題屬性均未被翻譯。無論在使用者介面中選取何種語言，它們始終以英文顯示。	不適用
在 Windows Server 2019 上的升級期間，配置精靈可能會因 Java 虛擬機器 (JVM) 初始化錯誤 (JVMJ9VM013W) 而失敗並停止升級。	如果 AppScan Enterprise Server 服務或動態分析掃描器程序停止回應，且安裝程式無法停止它們，就會發生此問題。若要解決此問題：取消升級。重新啟動代管 AppScan Enterprise Server 和動態分析掃描器的 Windows Server 2019 伺服器。重新啟動升級。
將包含破壞的存取控制和未經驗證檔案的掃描從 AppScan Standard 推送到 AppScan Enterprise 時，報告的漏洞可能與原始掃描不符。例如，可能會缺少「使用低權限使用者的破壞存取控制」漏洞，或者出現未預期的未經驗證問題。	這種差異通常是因為兩種產品之間的探索資料存在差異，或是在 AppScan Enterprise 掃描期間發生暫時伺服器錯誤 (如 HTTP 500) 所致。若要解決此問題：檢查 AppScan Enterprise 流量日誌以尋找伺服器錯誤。必要時重新執行掃描。
如果對「使用低權限使用者的破壞存取控制」漏洞執行單一問題重新測試，即使該漏洞未被修正，重新測試完成後該問題也會從報告中消失。	請勿對此漏洞使用單一問題重新測試功能。改為對應用程式執行完整掃描，以驗證破壞的存取控制漏洞是否已解決。
從監視頁面產生的安全報告，可能針對某些問題類型顯示兩次 CVSS 4.0 向量。這在所有受支援的報告格式 (HTML、PDF、XML 和 Excel) 中會間歇性發生。	不適用
在後處理階段，掃描可能會非預期地暫停並顯示錯誤訊息：`已暫停 (不明錯誤：動態 SQL 錯誤 SQL 錯誤碼 = -303 格式錯誤的字串)`。	不適用
當您從「掃描」視圖中使用「匯出為 PDF」或「詳細安全問題轉為 PDF」來產生報告時，您可能會看到 `發生錯誤。請再試一次` 訊息。	不適用