Scan-Suite-Matrix der proaktiven Codeprüfung für die Impact Store-Anwendung

Freigeben Version: Zurich

Aktualisiert 31. Juli 2025

14 Minuten Lesedauer

Weitere Informationen zu den während eines PCC-Scans durchgeführten Prüfungen finden Sie in der Matrix der Scan-Suite „Proactive Code Check“ (PCC).

Tabelle : 1. Scan-Suite-Matrix der proaktiven Codeprüfung
Kategorie	Name	Short_description	Beschreibung
Leistung	HSD0001049 – Vermeidung globaler UI-Skripts	Vermeidung globaler UI-Skripts	Globale UI-Skripts werden auf jeder Seite bzw. auf jedem Formular in ServiceNow geladen, auch wenn der darin enthaltene Code nicht aufgerufen wird.
Handhabbarkeit	HSD0001058 SCRIPT – Bereichsbezogene Anwendung verwendet Protokollierungsdienstprogramme oder veraltete Methoden	Bereichsbezogene Anwendung verwendet Protokollierungsdienstprogramme oder veraltete Methoden – gs.log	Bereichsbezogene Anwendungen sollten bereichsbezogene Protokollierungs-APIs anstelle veralteter Methoden verwenden.
Handhabbarkeit	HSD0001058 XML – Bereichsbezogene Anwendung verwendet Protokollierungsdienstprogramme oder veraltete Methoden	Bereichsbezogene Anwendung verwendet Protokollierungsdienstprogramme oder veraltete Methoden – gs.log	Bereichsbezogene Anwendungen sollten bereichsbezogene Protokollierungs-APIs anstelle veralteter Methoden verwenden.
Leistung	HSD0001116 – Clientskripts sollten nicht für Tabelle „Global“ definiert werden	Clientskripts sollten nicht für Tabelle „Global“ definiert werden	Ein globales Client-Skript ist ein Client-Skript, in dem als ausgewählte Tabelle „Global“ festgelegt ist. Globale Clientskripts haben keine Tabellenbeschränkungen. Daher werden sie auf jeder Seite im System geladen, wodurch der Prozess durch das Laden des Browsers verzögert wird. Es hat keinen Nutzen, Skripts dieses Typs auf jeder Seite zu laden.
Leistung	HSD0001126 SCRIPT – Unnötiges Dot-Walking zu sys_id vom aktuellen Objekt	Unnötiges Dot-Walking zu sys_id vom aktuellen Objekt	Referenzfelder speichern bereits die SYS-ID des referenzierten Datensatzes. Die Verwendung von gr.fieldname.sys_ID ist ein Dot-Walk und weist die Plattform an, eine weitere Abfrage durchzuführen, nur um denselben Wert zurückzugeben. Dies ist ein unnötiger Overhead.
Leistung	HSD0001126 XML – Unnötiges Dot-Walking zu sys_id vom aktuellen Objekt	Unnötiges Dot-Walking zu sys_id vom aktuellen Objekt	Referenzfelder speichern bereits die SYS-ID des referenzierten Datensatzes. Die Verwendung von gr.fieldname.sys_ID ist ein Dot-Walk und weist die Plattform an, eine weitere Abfrage durchzuführen, nur um denselben Wert zurückzugeben. Dies ist ein unnötiger Overhead.
Leistung	HSD0001128 SCRIPT – Für clientseitigen Code sollten keine synchronen AJAX-Methoden verwendet werden	Für clientseitigen Code sollten keine synchronen AJAX-Methoden verwendet werden	Code, der synchrone AJAX verwendet, kann möglicherweise zu Verzögerungen bei der Verarbeitung von UI-Ereignissen führen. Dies kann sich nachteilig auf die Leistung auswirken und sich negativ auf die Anwender-Experience auswirken. Wo immer möglich, sollten wir versuchen, asynchrone AJAX zu verwenden.
Upgradefähigkeit	HSD0001142 SCRIPT – Für clientseitigen Code sollte nicht die DOM-Manipulationsmethode verwendet werden	Für clientseitigen Code sollte nicht die DOM-Manipulationsmethode verwendet werden	Diese Anpassungstechnik bietet viel Kontrolle, verursacht jedoch häufig Upgrade-Herausforderungen. Es wird empfohlen, keine jQuery-, PrototypeJS-, Gel- und anderen Techniken zu verwenden.
Handhabbarkeit	HSD0001153 SCRIPT – Hartcodierte Instanz-URL	Hartcodierte Instanz-URL	Löst ein Ergebnis für hartcodierte Instanz-URLs aus, da ihre Verwendung die Funktionalität umgebungsübergreifend beeinträchtigen kann.
Handhabbarkeit	HSD0001153 XML – Hartcodierte Instanz-URL	Hartcodierte Instanz-URL	Löst ein Ergebnis für hartcodierte Instanz-URLs aus, da ihre Verwendung die Funktionalität umgebungsübergreifend beeinträchtigen kann.
Handhabbarkeit	HSD0001174 – REST Scripted Web Services, die Daten direkt schreiben	Scripted Web Services, die Daten direkt schreiben	Scripted Web Services fügen Daten direkt ein bzw. aktualisieren/löschen Daten direkt. Skripteinbindungen werden empfohlen, da sie einen strukturierten und dokumentierten Ansatz für die Verwaltung von Datenvorgängen bieten und für Konsistenz, Sicherheit und Verwaltbarkeit innerhalb der Plattform sorgen.
Handhabbarkeit	HSD0001174 – SOAP Scripted Web Services, die Daten direkt schreiben	Scripted Web Services, die Daten direkt schreiben	Scripted Web Services fügen Daten direkt ein bzw. aktualisieren/löschen Daten direkt. Skripteinbindungen werden empfohlen, da sie einen strukturierten und dokumentierten Ansatz für die Verwaltung von Datenvorgängen bieten und für Konsistenz, Sicherheit und Verwaltbarkeit innerhalb der Plattform sorgen.
Sicherheit	HSD0001235 XML – Vermeidung dynamischer JEXL-Ausdrücke im Jelly-Tag	Vermeidung dynamischer JEXL-Ausdrücke im Jelly-Tag	Vermeiden Sie beim Schreiben von Jelly-Code die Verwendung dynamischer JEXL-Ausdrücke innerhalb des Jelly-Tags (oder <g2:evaluate> für Phase zwei). Der Code scheint zwar zu funktionieren, wirkt sich jedoch auf eine Arbeitsspeicherressource (PermGen) in der Java Virtual Machine aus, was im Laufe der Zeit zu Leistungsproblemen und sogar Systemausfällen führen kann. Die Ausnahme bei der Verwendung von JEXL-Ausdrücken in <g:evaluate>-Tags besteht aus statischen Werten, einschließlich ${AMP}\, ${AND}, ${GT}, ${LT}, und ${SP} (und ihre Phasen-zwei-Gegenparteien: $[AMP], $[UND] usw.).
Upgradefähigkeit	HSD0001247 – Verwendung der veralteten API RESTMessage (V1)	Verwendung der veralteten API RESTMessage (V1)	Die API darf ausgehende REST-Nachrichten mit JavaScript senden. Die Version 1 von RESTMessage ist jedoch veraltet.
Handhabbarkeit	HSD0001275 – Skripts sollten keine hartcodierten IDs enthalten	Skripts sollten keine hartcodierten IDs enthalten	Die harte Codierung von sys_IDs macht die Verwaltung des Systems schwieriger und weniger in der Lage, Funktionalität zwischen Instanzen zu verschieben.
Handhabbarkeit	HSD0001278 – Für onBefore-Business-Regeln darf kein „update()“ oder „insert()“ für andere Tabellen ausgeführt werden	Für onBefore-Business-Regeln darf kein „update()“ oder „insert()“ für andere Tabellen ausgeführt werden	Das Ausführen von INSERT() oder Update() in einem onBefore BR führt zu Updates für andere Tabellen, auch wenn das Update abgebrochen werden kann.
Handhabbarkeit	HSD0001281 – „getMessage()“ wird in Clientskript ohne Vorladen des Nachrichtenschlüssels aufgerufen	„getMessage()“ wird in Clientskript ohne Vorladen des Nachrichtenschlüssels aufgerufen	Bei der Verwendung von „getMessage()“ in einem Clientskript muss der Nachrichtenschlüssel zum Feld „Nachrichten“ im Skriptdatensatz hinzugefügt werden.
Handhabbarkeit	HSD0001312 SCRIPT – Vermeiden der Verwendung von „console.log()“ im Code	Der Code sollte nicht die Debugging-Methode „console.log()“ enthalten	Die clientseitige Funktion console.log kann in bestimmten Browserversionen zu Fehlern führen. Darüber hinaus besteht eine gute Wahrscheinlichkeit, dass es sich bei den protokollierten Informationen um Informationen handelt, die nicht öffentlich zugänglich gemacht werden sollen, und dass Personen mit böswilliger Absicht das Skript manipulieren könnten, um personenbezogene Daten widerzuspiegeln. Es ist nie eine gute Idee, mit aktivierter Konsolenprotokollierung in die Produktion zu gehen. Console.log ist eine ungültige Serverseite und darf daher auch nicht vorhanden sein.
Handhabbarkeit	HSD0001312 XML – Vermeiden der Verwendung von „console.log()“ im Code	Der Code sollte nicht die Debugging-Methode „console.log()“ enthalten	Die clientseitige Funktion console.log kann in bestimmten Browserversionen zu Fehlern führen. Darüber hinaus besteht eine gute Wahrscheinlichkeit, dass es sich bei den protokollierten Informationen um Informationen handelt, die nicht öffentlich zugänglich gemacht werden sollen, und dass Personen mit böswilliger Absicht das Skript manipulieren könnten, um personenbezogene Daten widerzuspiegeln. Es ist nie eine gute Idee, mit aktivierter Konsolenprotokollierung in die Produktion zu gehen. Console.log ist eine ungültige Serverseite und darf daher auch nicht vorhanden sein.
Leistung	HSD0001338 – Business-Regeln dürfen nicht in der globalen Tabelle definiert werden	Business-Regeln dürfen nicht in der globalen Tabelle definiert werden (globale Business-Regel)	Eine globale Business-Regel ist eine beliebige Business-Regel, bei der die ausgewählte Tabelle global ist. Jedes andere Skript kann globale Business-Regeln aufrufen. Globale Business-Regeln haben keine Bedingungs- oder Tabellenbeschränkungen und werden auf jeder Seite im System geladen.
Leistung	HSD0001347 SCRIPT – Clientseitiger Code sollte nicht GlideRecord verwenden	Clientseitiger Code sollte nicht GlideRecord verwenden	Das clientseitige GlideRecord-Objekt ist häufig ineffizient, da es viele unnötige Daten zurückgibt. GlideRecord und g_Form.getReference sind beide beteiligt.
Leistung	HSD0001358 SCRIPT – Serverseitiger Code sollte nicht „GlideRecord.getRowCount()“ verwenden	Serverseitiger Code sollte nicht „GlideRecord.getRowCount()“ für Anzahldatensätze verwenden	GlideRecord.getRowCount() ruft den gesamten Ergebnissatz ab, ohne die integrierten arithmetischen Funktionen der Datenbank zu verwenden. GlideAggregate verwendet die Datenbank und ist daher häufig drastisch schneller. Die Ausnahme von dieser Empfehlung besteht darin, wenn Sie die Datensätze durchlaufen und trotzdem verarbeiten möchten.
Leistung	HSD0001358 XML – Serverseitiger Code sollte nicht „GlideRecord.getRowCount()“ verwenden	Serverseitiger Code sollte nicht „GlideRecord.getRowCount()“ für Anzahldatensätze verwenden	GlideRecord.getRowCount() ruft den gesamten Ergebnissatz ab, ohne die integrierten arithmetischen Funktionen der Datenbank zu verwenden. GlideAggregate verwendet die Datenbank und ist daher häufig drastisch schneller. Die Ausnahme von dieser Empfehlung besteht darin, wenn Sie die Datensätze durchlaufen und trotzdem verarbeiten möchten.
Handhabbarkeit	HSD0001392 – Skripts sollten nicht die eval()-Methode verwenden	Skripts sollten nicht die eval()-Methode verwenden	Die Funktion eval() wertet ein Argument aus oder führt es aus. Die falsche Verwendung von eval() öffnet Ihren Code für Einschleusungsangriffe, und das Debugging kann schwieriger sein, da keine Zeilennummern mit einem Fehler angezeigt werden.
Leistung	HSD0001554a – JDBC-Datenquellen mit deaktivierter Option „Datum/Zeit der letzten Ausführung verwenden“ für Update-Sätze	Für JDBC-Datenquellen muss die Option „Datum/Zeit der letzten Ausführung verwenden“ aktiviert sein	Das wiederholte Importieren von Daten, die sich nicht geändert haben, führt zu vielen übersprungenen Zeilen und bindet unnötig Systemressourcen.
Leistung	HSD0001560 – Verwendung von „track by“ in ngRepeat-Schleifen	Verwendung von „track by“ in ngRepeat-Schleifen	Bei Verwendung der ngRepeat-Anweisung ohne „Track by“-Klausel werden die DOM-Elemente bei jeder Aktualisierung der Quelldaten gelöscht und neu erstellt. Durch das Hinzufügen einer „Track by“-Klausel mit einem eindeutigen Schlüssel (z. B. einer sys_ID) können die DOM-Elemente wiederverwendet anstatt neu erstellt werden, was die Leistung von Seiten mit großen, komplexen Listen erheblich verbessert.
Handhabbarkeit	HSD0001578 – Business-Regeln dürfen nicht die SOAP-Methode „getResponse()“ verwenden	Business-Regeln dürfen nicht die SOAP-Methode „getResponse()“ verwenden	GetResponse blockiert die Transaktion und wartet, bis eine Antwort empfangen wird. Dies ist besser asynchron durchzuführen.
Leistung	HSD0001623 – Lese-ACLs (Sicherheitsregeln) dürfen kein GlideRecord/GlideAggregate aufweisen	Lese-ACLs (Sicherheitsregeln) dürfen kein GlideRecord/GlideAggregate aufweisen	Lese-ACLs werden häufig ausgeführt. Komplexe Datenbanksuchen können die Leistung beeinträchtigen.
Sicherheit	HSD0002016 – Serverskripts in Widgets sollten GlideRecordSecure verwenden	Serverskripts in Widgets sollten GlideRecordSecure statt GlideRecord verwenden	Die Best Practice sollte sein, dass Serverskripts in Widgets GlideRecordSecure anstelle von GlideRecord verwenden. Dies dient dazu, sicherzustellen, dass Sicherheits-ACLs in allen Serverinteraktionen berücksichtigt werden. Um Abweichungen davon zu erkennen, sollte jede Instanziierung von GlideRecord als Ergebnis markiert werden. Beachten Sie, dass $sp.getRecord() derzeit ein GlideRecord-Objekt zurückgibt. Dieser Aufruf sollte tatsächlich ein GlideRecordSecure-Objekt zurückgeben, um so sicher wie möglich zu sein. Dies ist zwar eine separate Erweiterung außerhalb des HealthScan-Tools, stellt jedoch eine Herausforderung dar, da es für HealthScan schwieriger ist, die Verwendung des von $sp.getRecord zurückgegebenen GlideRecord-Objekts zu erkennen.
Leistung	HSD0002144 – Verwendung von „c.server.get()“ für eine bessere Widget-Leistung	Verwendung von „c.server.get()“ für eine bessere Widget-Leistung	Im Clientskript können Sie mit c.server.get() bestimmte Daten an das Serverskript übergeben. Dies kann Leistungsverbesserungen über c.server.update() haben, wodurch das gesamte Datenobjekt gesendet wird.
Leistung	HSD0002150 – Entfernung nicht verwendeter Services aus dem Widget-Clientskript	Entfernung nicht verwendeter Services aus dem Widget-Clientskript	Wenn eingefügte Services nicht im Client-Controller-Skript eines Widgets verwendet werden, sollten Sie sie entfernen. Services, die injiziert und nicht verwendet werden, werden instanziiert, was sich auf die Leistung auswirken kann. Aus der Perspektive der Codelesbarkeit ist es auch empfehlenswert, nur erforderliche Services einzufügen.
Leistung	HSD0002154 – „$rootScope.$on“ sollte nicht im Clientskript eines Widgets verwendet werden	„$rootScope.$on“ sollte nicht im Clientskript eines Widgets verwendet werden	$rootScope.$on darf nur in einem Service verwendet werden. Die Verwendung von Ereignis-Listenern auf $rootScope im Client-Controller-Skript eines Widgets kann zu Speicherlecks führen, wenn die Listener nicht manuell gelöscht werden. Jedes Mal, wenn ein Widget geladen wird, wird der Controller initialisiert, und jeder Listener, der auf dem $rootScope initialisiert wird, wird nicht mit dem Controller gelöscht, es sei denn, dies wird manuell getan. Services haben keine andere Alternative, als Ereignisse in $rootScope auszulösen und Ereignisse in $rootScope abzuhören. Dies liegt daran, dass Services einmal in der App initialisiert werden und keinen eigenen Umfang haben. Es ist in Ordnung, $rootScope.$on in einem Service zu verwenden.
Handhabbarkeit	HSD0002808 – Clientskripts ohne Beschreibung	Clientskripts ohne Beschreibung	Clientskripts, bei denen die Beschreibung entweder leer, sehr kurz oder mit dem Skriptnamen identisch ist.
Handhabbarkeit	HSD0002808 – Skripteinbindungen ohne Beschreibung	Skripteinbindungen ohne Beschreibung	Skripteinbindungen, bei denen die Beschreibung entweder leer, sehr kurz oder mit dem Skriptnamen identisch ist.
Handhabbarkeit	HSD0002827 – Alle Ereignisse müssen eine Beschreibung haben	Alle Ereignisse müssen eine Beschreibung haben	Für alle anwenderdefinierten Ereignisse in der Ereignisregistrierung muss das Feld „Beschreibung“ ausgefüllt sein. Dadurch wird sichergestellt, dass der Zweck des Ereignisses für Administratoren, die den Registrierungseintrag nicht erstellt haben, leicht identifiziert werden kann, und die Wartbarkeit der Instanz verbessert.
Handhabbarkeit	HSD0002828 – Für alle Ereignisse muss das Feld „Ausgelöst von“ ausgefüllt sein	Für alle Ereignisse muss das Feld „Ausgelöst von“ ausgefüllt sein	Für alle anwenderdefinierten Ereignisse in der Ereignisregistrierung muss das Feld „fired_by“ ausgefüllt sein. Dadurch wird sichergestellt, dass der Auslöser des Ereignisses für Administratoren, die den Registrierungseintrag nicht erstellt haben, leicht identifiziert werden kann, und die Wartbarkeit der Instanz verbessert.
Handhabbarkeit	HSD0003076 – Anmeldeinformationen für Standardauthentifizierung in SOAP-Nachrichtendefinition	Anmeldeinformationen für Standardauthentifizierung in SOAP-Nachrichtendefinition	Die Standardauthentifizierung für ausgehende SOAP-Nachrichten sollte Standardauthentifizierungsprofile verwenden, anstatt die Anmeldeinformationen in der Funktionsdefinition selbst anzugeben.
Handhabbarkeit	HSD0003081 – Anmeldeinformationen für Standardauthentifizierung in REST-Nachrichtendefinition	Anmeldeinformationen für Standardauthentifizierung in REST-Nachrichtendefinition	Die Standardauthentifizierung für ausgehende REST-Nachrichten sollte Standardauthentifizierungsprofile verwenden, anstatt die Anmeldeinformationen in der Funktionsdefinition selbst anzugeben.
Upgradefähigkeit	HSD0003307 – Change-Anforderungstabelle sollte nicht erweitert werden	Change-Anforderungstabelle sollte nicht erweitert werden	Mindestens eine untergeordnete Tabelle, die die Change-Anforderung erweitert, wurde erstellt. Die Erweiterung der Change-Anforderung mit anwenderdefinierten untergeordneten Tabellen darf nicht ausgeführt werden: Zur Unterstützung einer anwenderdefinierten Change-Anforderungstabelle ist eine hohe Anpassung an die anderen ITSM-Prozesse erforderlich Neue Funktionen in zukünftigen Releases funktionieren möglicherweise nicht für erweiterte Tabellen oder erfordern weitere Anpassungen
Handhabbarkeit	HSD0003625 – Business-Regel-Skript muss in der Funktion „executeRule“ gekapselt sein	Skriptcode in Business-Regeln muss in der Funktion „executeRule“ gekapselt sein	Der Code sollte überprüfen, ob eine Business-Regel mit Code vorhanden ist, der nicht in der Funktion „executeRule“ gekapselt ist.