Scan-Suite-Matrix für die proaktive Codeüberprüfung

Freigeben Version: Yokohama

Aktualisiert 6. März 2025

14 Minuten Lesedauer

Weitere Informationen zu den während eines PCC-Scans durchgeführten Prüfungen finden Sie in der Scan-Suite-Matrix für die proaktive Codeprüfung (PCC).

Tabelle : 1. Scan-Suite-Matrix für die proaktive Codeüberprüfung
Kategorie	Name	Short_description	Beschreibung
Performance	HSD0001049 – Vermeidung globaler UI-Skripts	Vermeidung globaler UI-Skripts	Globale UI-Skripts werden auf jeder Seite bzw. auf jedem Formular in ServiceNow geladen, auch wenn der darin enthaltene Code nicht aufgerufen wird.
Handhabbarkeit	HSD0001058 SCRIPT – Bereichsbezogene Anwendung verwendet Protokollierungsdienstprogramme oder veraltete Methoden	Bereichsbezogene Anwendung verwendet Protokollierungsdienstprogramme oder veraltete Methoden – gs.log	Bereichsbezogene Anwendungen sollten bereichsbezogene Protokollierungs-APIs anstelle veralteter Methoden verwenden.
Handhabbarkeit	HSD0001058 XML – Bereichsbezogene Anwendung verwendet Protokollierungsdienstprogramme oder veraltete Methoden	Bereichsbezogene Anwendung verwendet Protokollierungsdienstprogramme oder veraltete Methoden – gs.log	Bereichsbezogene Anwendungen sollten bereichsbezogene Protokollierungs-APIs anstelle veralteter Methoden verwenden.
Performance	HSD0001116 – Clientskripts sollten nicht für Tabelle „Global“ definiert werden	Clientskripts sollten nicht für Tabelle „Global“ definiert werden	Ein globales Client-Skript ist ein Client-Skript, in dem als ausgewählte Tabelle „Global“ festgelegt ist. Globale Client-Skripts haben keine Tabellenbeschränkungen. Daher werden sie auf jeder Seite im System geladen, was zu einer Verzögerung beim Laden des Browsers führt. Es hat keinen Nutzen, Skripts dieses Typs auf jeder Seite zu laden.
Performance	HSD0001126 SCRIPT – Unnötiges Dot-Walking zu sys_id vom aktuellen Objekt	Unnötiges Dot-Walking zu sys_id vom aktuellen Objekt	Referenzfelder speichern bereits die Sys-ID des referenzierten Datensatzes. Die Verwendung von gr.fieldname.sys_id ist ein Dot-Walk und weist die Plattform an, eine weitere Abfrage auszuführen, um den gleichen Wert zurückzugeben. Dies ist ein unnötiger Overhead.
Performance	HSD0001126 XML – Unnötiges Dot-Walking zu sys_id vom aktuellen Objekt	Unnötiges Dot-Walking zu sys_id vom aktuellen Objekt	Referenzfelder speichern bereits die Sys-ID des referenzierten Datensatzes. Die Verwendung von gr.fieldname.sys_id ist ein Dot-Walk und weist die Plattform an, eine weitere Abfrage auszuführen, um den gleichen Wert zurückzugeben. Dies ist ein unnötiger Overhead.
Performance	HSD0001128 SCRIPT – Für clientseitigen Code sollten keine synchronen AJAX-Methoden verwendet werden	Für clientseitigen Code sollten keine synchronen AJAX-Methoden verwendet werden	Code, der synchrones AJAX verwendet, kann möglicherweise zu Verzögerungen bei der Verarbeitung von UI-Ereignissen führen. Dies kann sich nachteilig auf die Leistung und die Anwender-Experience auswirken. Wo immer möglich, sollten Sie versuchen, asynchrones AJAX zu verwenden.
Upgradefähigkeit	HSD0001142 SCRIPT – Für clientseitigen Code sollte nicht die DOM-Manipulationsmethode verwendet werden	Für clientseitigen Code sollte nicht die DOM-Manipulationsmethode verwendet werden	Diese Anpassungstechnik bietet viel Kontrolle, verursacht jedoch häufig Probleme beim Upgrade. Es wird empfohlen, keine jQuery-, PrototypeJS-, Gel- und andere Techniken zu verwenden.
Handhabbarkeit	HSD0001153 SCRIPT – Hartcodierte Instanz-URL	Hartcodierte Instanz-URL	Löst ein Ergebnis für hartcodierte Instanz-URLs aus, da ihre Verwendung die Funktionalität umgebungsübergreifend beeinträchtigen kann.
Handhabbarkeit	HSD0001153 XML – Hartcodierte Instanz-URL	Hartcodierte Instanz-URL	Löst ein Ergebnis für hartcodierte Instanz-URLs aus, da ihre Verwendung die Funktionalität umgebungsübergreifend beeinträchtigen kann.
Handhabbarkeit	HSD0001174 – REST Scripted Web Services, die Daten direkt schreiben	Scripted Web Services, die Daten direkt schreiben	Scripted Web Services fügen Daten direkt ein bzw. aktualisieren/löschen Daten direkt. Skripteinbindungen werden empfohlen, da sie einen strukturierten und dokumentierten Ansatz für die Verwaltung von Datenvorgängen bieten und für Konsistenz, Sicherheit und Verwaltbarkeit innerhalb der Plattform sorgen.
Handhabbarkeit	HSD0001174 – SOAP Scripted Web Services, die Daten direkt schreiben	Scripted Web Services, die Daten direkt schreiben	Scripted Web Services fügen Daten direkt ein bzw. aktualisieren/löschen Daten direkt. Skripteinbindungen werden empfohlen, da sie einen strukturierten und dokumentierten Ansatz für die Verwaltung von Datenvorgängen bieten und für Konsistenz, Sicherheit und Verwaltbarkeit innerhalb der Plattform sorgen.
Sicherheit	HSD0001235 XML – Vermeidung dynamischer JEXL-Ausdrücke im Jelly-Tag	Vermeidung dynamischer JEXL-Ausdrücke im Jelly-Tag	Vermeiden Sie beim Schreiben von Jelly-Code die Verwendung dynamischer JEXL-Ausdrücke innerhalb des Jelly-Tags (oder<g2:evaluate> für Phase 2). Der Code scheint zwar zu funktionieren, wirkt sich jedoch auf eine Speicherressource (PermGen) in der Java Virtual Machine aus, was mit der Zeit zu Leistungsproblemen und sogar zu Systemausfällen führen kann. Die Ausnahme zur Verwendung von JEXL-Ausdrücken in<g:evaluate> -Tags haben statische Werte, einschließlich: ${AMP}\, ${AND}, ${gt}, ${LT} und ${SP} (und ihre Gegensätze in Phase 2: $[AMP], $[AND] , usw.).
Upgradefähigkeit	HSD0001247 – Verwendung der veralteten API RESTMessage (V1)	Verwendung der veralteten API RESTMessage (V1)	Die API hat das Senden ausgehender REST-Nachrichten mit JavaScript ermöglicht. Version 1 von RESTMessage ist jedoch veraltet.
Handhabbarkeit	HSD0001275 – Skripts sollten keine hartcodierten IDs enthalten	Skripts sollten keine hartcodierten IDs enthalten	Eine feste Codierung von sys_ids erschwert die Verwaltung des Systems, und verhindert, dass Funktionen zwischen Instanzen verschoben werden.
Handhabbarkeit	HSD0001278 – Für onBefore-Business-Regeln darf kein „update()“ oder „insert()“ für andere Tabellen ausgeführt werden	Für onBefore-Business-Regeln darf kein „update()“ oder „insert()“ für andere Tabellen ausgeführt werden	Das Ausführen von insert() oder update() in einer onBefore-BR führt zu Aktualisierungen anderer Tabellen, auch wenn die Aktualisierung möglicherweise abgebrochen wird.
Handhabbarkeit	HSD0001281 – „getMessage()“ wird in Clientskript ohne Vorladen des Nachrichtenschlüssels aufgerufen	„getMessage()“ wird in Clientskript ohne Vorladen des Nachrichtenschlüssels aufgerufen	Bei der Verwendung von „getMessage()“ in einem Clientskript muss der Nachrichtenschlüssel zum Feld „Nachrichten“ im Skriptdatensatz hinzugefügt werden.
Handhabbarkeit	HSD0001312 SCRIPT – Vermeiden der Verwendung von „console.log()“ im Code	Der Code sollte nicht die Debugging-Methode „console.log()“ enthalten	Die clientseitige Funktion „console.log“ kann in bestimmten Browserversionen Fehler verursachen. Darüber hinaus besteht eine gute Wahrscheinlichkeit, dass es sich bei den protokollierten Informationen um Informationen handelt, die nicht öffentlich gemacht werden sollen, und dass Personen mit böswilligen Absichten das Skript so manipulieren können, dass personenbezogene Daten berücksichtigt werden. Es ist nie eine gute Idee, bei aktivierter Konsolenprotokollierung in die Produktion zu wechseln. Console.log ist serverseitig ungültig und sollte daher auch nicht vorhanden sein.
Handhabbarkeit	HSD0001312 XML – Vermeiden der Verwendung von „console.log()“ im Code	Der Code sollte nicht die Debugging-Methode „console.log()“ enthalten	Die clientseitige Funktion „console.log“ kann in bestimmten Browserversionen Fehler verursachen. Darüber hinaus besteht eine gute Wahrscheinlichkeit, dass es sich bei den protokollierten Informationen um Informationen handelt, die nicht öffentlich gemacht werden sollen, und dass Personen mit böswilligen Absichten das Skript so manipulieren können, dass personenbezogene Daten berücksichtigt werden. Es ist nie eine gute Idee, bei aktivierter Konsolenprotokollierung in die Produktion zu wechseln. Console.log ist serverseitig ungültig und sollte daher auch nicht vorhanden sein.
Performance	HSD0001338 – Business-Regeln dürfen nicht in der globalen Tabelle definiert werden	Business-Regeln dürfen nicht in der globalen Tabelle definiert werden (globale Business-Regel)	Eine globale Geschäftsregel ist eine Geschäftsregel, bei der die ausgewählte Tabelle „Global“ lautet. Jedes andere Skript kann globale Geschäftsregeln aufrufen. Global Business Rules weisen keine Bedingungs- oder Tabellenbeschränkungen auf und werden auf jeder Seite im System geladen.
Performance	HSD0001347 SCRIPT – Clientseitiger Code sollte nicht GlideRecord verwenden	Clientseitiger Code sollte nicht GlideRecord verwenden	Das clientseitige GlideRecord-Objekt ist häufig ineffizient, da es viele unnötige Daten zurückgibt. GlideRecord und g_form.getReference sind beide beteiligt.
Performance	HSD0001358 SCRIPT – Serverseitiger Code sollte nicht „GlideRecord.getRowCount()“ verwenden	Serverseitiger Code sollte nicht „GlideRecord.getRowCount()“ für Anzahldatensätze verwenden	Mit GlideRecord.getRowCount() wird der gesamte Ergebnissatz abgerufen, ohne die integrierten arithmetischen Funktionen der Datenbank zu verwenden. GlideAggregate verwendet die Datenbank und ist daher oft erheblich schneller. Die Ausnahme von dieser Empfehlung ist, wenn Sie die Datensätze durchlaufen und trotzdem verarbeiten möchten.
Performance	HSD0001358 XML – Serverseitiger Code sollte nicht „GlideRecord.getRowCount()“ verwenden	Serverseitiger Code sollte nicht „GlideRecord.getRowCount()“ für Anzahldatensätze verwenden	Mit GlideRecord.getRowCount() wird der gesamte Ergebnissatz abgerufen, ohne die integrierten arithmetischen Funktionen der Datenbank zu verwenden. GlideAggregate verwendet die Datenbank und ist daher oft erheblich schneller. Die Ausnahme von dieser Empfehlung ist, wenn Sie die Datensätze durchlaufen und trotzdem verarbeiten möchten.
Handhabbarkeit	HSD0001392 – Skripts sollten nicht die eval()-Methode verwenden	Skripts sollten nicht die eval()-Methode verwenden	Die Funktion eval () wertet ein Argument aus oder führt es aus. Bei unsachgemäßer Verwendung von eval() wird Ihr Code für Einschleusungsangriffe geöffnet, und das Debuggen kann eine größere Herausforderung sein, da keine Zeilennummern mit einem Fehler angezeigt werden.
Performance	HSD0001554a – JDBC-Datenquellen mit deaktivierter Option „Datum/Zeit der letzten Ausführung verwenden“ für Update-Sätze	Für JDBC-Datenquellen muss die Option „Datum/Zeit der letzten Ausführung verwenden“ aktiviert sein	Das wiederholte Importieren von Daten, die sich nicht geändert haben, führt zu vielen übersprungenen Zeilen und bindet unnötig Systemressourcen.
Performance	HSD0001560 – Verwendung von „track by“ in ngRepeat-Schleifen	Verwendung von „track by“ in ngRepeat-Schleifen	Bei Verwendung der ngRepeat-Direktive ohne „track by“-Klausel werden die DOM-Elemente bei jeder Aktualisierung der Quelldaten gelöscht und neu erstellt. Durch Hinzufügen einer „track by“-Klausel mit einem eindeutigen Schlüssel (z. B. einer sys_id) können die DOM-Elemente wiederverwendet und nicht neu erstellt werden, was die Leistung von Seiten mit großen, komplexen Listen erheblich verbessert.
Handhabbarkeit	HSD0001578 – Business-Regeln dürfen nicht die SOAP-Methode „getResponse()“ verwenden	Business-Regeln dürfen nicht die SOAP-Methode „getResponse()“ verwenden	getResponse blockiert die Transaktion und wartet, bis eine Antwort empfangen wird. Dies geschieht besser asynchron.
Performance	HSD0001623 – Lese-ACLs (Sicherheitsregeln) dürfen kein GlideRecord/GlideAggregate aufweisen	Lese-ACLs (Sicherheitsregeln) dürfen kein GlideRecord/GlideAggregate aufweisen	Lese-ACLs werden häufig ausgeführt. Komplexe Datenbanksuchen können die Leistung beeinträchtigen.
Sicherheit	HSD0002016 – Serverskripts in Widgets sollten GlideRecordSecure verwenden	Serverskripts in Widgets sollten GlideRecordSecure statt GlideRecord verwenden	Als Best Practice gilt, dass Serverskripts in Widgets GlideRecordSecure anstelle von GlideRecord verwenden sollten. Dies dient dazu, sicherzustellen, dass Sicherheits-ACLs bei allen Serverinteraktionen berücksichtigt werden. Um eine Abweichung davon zu erkennen, muss jede Instanziierung von GlideRecord als Ergebnis markiert werden. Beachten Sie, dass $sp.getRecord() derzeit ein GlideRecord-Objekt zurückgibt. Dieser Aufruf sollte tatsächlich ein GlideRecordSecure-Objekt zurückgeben, um so sicher wie möglich zu sein. Dies ist zwar eine separate Erweiterung außerhalb des HealthScan-Tools, stellt jedoch insofern eine Herausforderung dar, als HealthScan die Verwendung des von $sp.getRecord zurückgegebenen GlideRecord-Objekts erkennen kann.
Performance	HSD0002144 – Verwendung von „c.server.get()“ für eine bessere Widget-Leistung	Verwendung von „c.server.get()“ für eine bessere Widget-Leistung	Im Client-Skript ermöglicht c.server.get() die Übergabe bestimmter Daten an das Serverskript. Dies kann zu Leistungsverbesserungen gegenüber c.server.update() führen, das das gesamte Datenobjekt sendet.
Performance	HSD0002150 – Entfernung nicht verwendeter Services aus dem Widget-Clientskript	Entfernung nicht verwendeter Services aus dem Widget-Clientskript	Wenn eingefügte Services im Client-Controller-Skript eines Widgets nicht verwendet werden, sollten Sie sie entfernen. Services, die eingefügt und nicht verwendet werden, werden instanziiert, was sich auf die Leistung auswirken kann. Aus Sicht der Codelesbarkeit empfiehlt es sich auch, nur erforderliche Services einzufügen.
Performance	HSD0002154 – „$rootScope.$on“ sollte nicht im Clientskript eines Widgets verwendet werden	„$rootScope.$on“ sollte nicht im Clientskript eines Widgets verwendet werden	$rootScope.$on sollte nur in einem Service verwendet werden. Die Verwendung von Ereignis-Listenern für $rootScope im Client-Controller-Skript eines Widgets kann zu Speicherverlusten führen, wenn die Listener nicht manuell gelöscht werden. Jedes Mal, wenn ein Widget geladen wird, wird der Controller initialisiert, und jeder auf $rootScope initialisierte Listener wird nicht mit dem Controller gelöscht, es sei denn, dies wird manuell durchgeführt. Für Services gibt es keine andere Alternative, als Ereignisse in $rootScope auszulösen und anschließend auf Ereignisse in $rootScope zu lauschen. Dies liegt daran, dass Services einmal in der gesamten App initialisiert werden und keinen eigenen Bereich haben. Es ist kein Problem, $rootScope.$on in einem Service zu verwenden.
Handhabbarkeit	HSD0002808 – Clientskripts ohne Beschreibung	Clientskripts ohne Beschreibung	Clientskripts, bei denen die Beschreibung entweder leer, sehr kurz oder mit dem Skriptnamen identisch ist.
Handhabbarkeit	HSD0002808 – Skripteinbindungen ohne Beschreibung	Skripteinbindungen ohne Beschreibung	Skripteinbindungen, bei denen die Beschreibung entweder leer, sehr kurz oder mit dem Skriptnamen identisch ist.
Handhabbarkeit	HSD0002827 – Alle Ereignisse müssen eine Beschreibung haben	Alle Ereignisse müssen eine Beschreibung haben	Für alle anwenderdefinierten Ereignisse in der Ereignisregistrierung muss das Feld „Beschreibung“ ausgefüllt sein. Dadurch wird sichergestellt, dass der Zweck des Ereignisses von Administratoren, die den Registrierungseintrag nicht erstellt haben, leicht erkannt wird, und die Wartbarkeit der Instanz verbessert.
Handhabbarkeit	HSD0002828 – Für alle Ereignisse muss das Feld „Ausgelöst von“ ausgefüllt sein	Für alle Ereignisse muss das Feld „Ausgelöst von“ ausgefüllt sein	Für alle anwenderdefinierten Ereignisse in der Ereignisregistrierung muss das Feld „fired_by“ ausgefüllt sein. Dadurch wird sichergestellt, dass der Auslöser des Ereignisses von Administratoren, die den Registrierungseintrag nicht erstellt haben, leicht identifiziert werden kann, und die Wartbarkeit der Instanz verbessert.
Handhabbarkeit	HSD0003076 – Anmeldeinformationen für Standardauthentifizierung in SOAP-Nachrichtendefinition	Anmeldeinformationen für Standardauthentifizierung in SOAP-Nachrichtendefinition	Die Standardauthentifizierung für ausgehende SOAP-Nachrichten sollte Standardauthentifizierungsprofile verwenden, anstatt die Anmeldeinformationen in der Funktionsdefinition selbst anzugeben.
Handhabbarkeit	HSD0003081 – Anmeldeinformationen für Standardauthentifizierung in REST-Nachrichtendefinition	Anmeldeinformationen für Standardauthentifizierung in REST-Nachrichtendefinition	Die Standardauthentifizierung für ausgehende REST-Nachrichten sollte Standardauthentifizierungsprofile verwenden, anstatt die Anmeldeinformationen in der Funktionsdefinition selbst anzugeben.
Upgradefähigkeit	HSD0003307 – Change-Anforderungstabelle sollte nicht erweitert werden	Change-Anforderungstabelle sollte nicht erweitert werden	Mindestens eine untergeordnete Tabelle, die die Change-Anforderung erweitert, wurde erstellt. Das Erweitern der Change-Anforderung mit anwenderdefinierten untergeordneten Tabellen darf nicht erfolgen: Zur Unterstützung einer benutzerdefinierten Change-Anforderungstabelle ist ein hohes Maß an Anpassung an die anderen ITSM-Prozesse erforderlich Neue Funktionen in zukünftigen Versionen funktionieren möglicherweise nicht für erweiterte Tabellen oder erfordern weitere Anpassungen
Handhabbarkeit	HSD0003625 – Business-Regel-Skript muss in der Funktion „executeRule“ gekapselt sein	Skriptcode in Business-Regeln muss in der Funktion „executeRule“ gekapselt sein	Der Code sollte überprüfen, ob eine Business-Regel mit Code vorhanden ist, der nicht in der Funktion „executeRule“ gekapselt ist.