Erweiterte Nutzungsverfolgung
Informationen zum Aktivieren von Vorgängen zur erweiterten Nutzungsverfolgung in Ihrer Flotte finden Sie unter Erweiterte Features aktivieren. Mit der erweiterten Nutzungsverfolgung können Sie die Nutzung von Java-Servern und Java-Librarys in einer Flotte überwachen.
Mit der erweiterten Nutzungsverfolgung können Sie:
- Zeigen Sie Details zu den Java-Servern an, die einer Flotte zugeordnet sind. Dazu gehören die auf dem Java-Server bereitgestellten Anwendungen sowie der Managed Server und die verwalteten Instanzen, auf denen der Java-Server bereitgestellt wird.
- Erkennen Sie Librarys und den zugehörigen CVSS-(Common Vulnerability Scoring System-)Score, wie von National Vulnerability Database gemeldet.
Das Aktivieren von Advanced Usage Tracking wird aktiviert:
Wenn Sie die Scans starten, sucht der Agent die Java-Server und Java-Librarys in der Flotte. JMS meldet die von verwalteten Instanzen verwendeten Server und Librarys, wenn die jeweiligen Management Agents die Scananforderung empfangen.
Entscheiden Sie, welcher Scan verwendet werden soll
Statisches Scannen reicht in der Regel aus, um die meisten direkten, bekannten Bibliotheken zu finden, die Ihre Anwendung verwendet. Dynamisches Scannen ist nützlich, um zu bestätigen, welche Librarys oder Packages während der Laufzeit aktiv verwendet werden.
Statischer Scan: Ein statischer Standardscan analysiert das Anwendungspackage (JAR/WAR/EAR) und dessen Classpath, um eine Liste der Library-Abhängigkeiten in Ihrer Flotte zu erstellen. Dies gibt an, welche Bibliotheken als Abhängigkeiten deklariert werden, auch wenn sie nicht von einer einzigen Zeile Ihres Codes verwendet werden. Dieser Prozess wird oft als "erreichbar" oder "importiert" bezeichnet.
Dynamischer Scan: Wenn Sie die Anwendung während der Ausführung beobachten, überprüft ein dynamischer Scan, welche Librarys tatsächlich während der Ausführungspfade geladen, ausgeführt und aufgerufen werden. Dies ist für die Priorisierung von entscheidender Bedeutung, da eine Sicherheitslücke in einer Bibliothek, die nie ausgeführt wird, ein viel geringeres Risiko darstellt als eine, die aktiv verwendet wird.
Sie sind komplementäre Methoden, die zu verschiedenen Zeiten und auf verschiedenen Artefakten oder Quellen funktionieren.
Beziehen Sie sich auf folgende Anwendungsfälle:
| Feature | Statischer Scan | Dynamischer Scan |
|---|---|---|
| Was wird gescannt? | Der Classpath, der von einer laufenden Anwendung und dem Package abgeleitet wird (JAR/WAR/EAR) | Eine laufende Anwendung (Code in Ausführung) zusätzlich zu den Details aus dem statischen Scan |
| Ergebnis | Sucht alle deklarierten (direkten und transitiven) Abhängigkeiten. | Sucht Librarys, die während der Gültigkeitsdauer der Anwendungsinstanz aktiv in den ausgeführten Pfaden verwendet werden |
| Fokus | Bekannte Sicherheitslücken in der Bibliothek (CVEs). | Dauerhaft, die Librarys meldet, die während der ausgeführten Pfade verwendet werden. |
Die Auswirkung des Clientsystems zwischen den beiden Scans besteht darin, dass der dynamische Scan im Vergleich zum statischen Scan mehr Overhead aufweist.