我来帮你捋一捋这个头疼的问题——控制台显示4条告警但报告只出2条，手动扫还能看到更多，大概率是配置或者扫描流程的差异导致的，给你几个具体的排查方向：

1. 先检查报告的过滤规则 #

Jenkins的ZAP插件默认可能会对告警级别做过滤，比如只把High/Medium级别的告警放进报告，而控制台统计的是所有级别（包括Low/Informational）。你可以：

• 打开Jenkins任务的ZAP配置界面，找到Alert Threshold或者类似参数，看看是不是设置了只展示特定级别的告警；
• 检查报告模板配置，如果用了自定义模板，可能模板里写了过滤逻辑导致部分告警被忽略。可以先切换回ZAP的默认模板试试，看能不能显示全部4条告警。

2. 对比手动扫描和Jenkins扫描的范围&策略 #

手动扫和Jenkins集成扫的配置大概率不一样，这是最常见的原因：

• 扫描范围：确认Jenkins里ZAP的目标URL、上下文配置，是不是和手动扫描完全一致？比如手动扫了整个域名，Jenkins只扫了某个子路径，那告警数量肯定不一样；
• 扫描规则：手动扫描可能启用了全部的主动/被动扫描规则，而Jenkins里的ZAP可能只开了部分规则。去Jenkins的ZAP配置里看Active Scan Rules和Passive Scan Rules的设置，和本地ZAP的规则对比一下。

3. 排查ZAP会话的完整性 #

Jenkins里的ZAP扫描可能因为shutdown太快，导致部分告警没被写入会话文件，报告自然读不到：

• 找到Jenkins工作目录里的ZAP会话文件（后缀是.zap），下载到本地用ZAP打开，看看里面实际有多少告警。如果会话里确实只有2条，那是扫描过程没抓到；如果会话里有4条，那就是报告生成的问题；
• 调整Jenkins ZAP插件的Shutdown Wait Time参数，给ZAP多留点时间写完数据再关闭，避免数据丢失。

4. 验证扫描流程的一致性 #

还有一种可能是Jenkins里的ZAP没有完成完整的扫描流程，比如：

• 检查Jenkins控制台输出里的扫描日志，看看有没有扫描中断、报错的信息；
• 确认Jenkins的ZAP版本和本地手动用的ZAP版本是否一致，不同版本的扫描规则和告警统计逻辑可能有差异。

先按这个顺序排查，应该能找到问题所在。

内容的提问来源于stack exchange，提问作者ManiRF