Nach Java-Librarys scannen
Das erweiterte Nutzungstracking erkennt Librarys, die mit Anwendung und Bereitgestellte Anwendung in der Flotte verknüpft sind, und stellt gegebenenfalls Informationen zu Sicherheitslücken bereit. Er kann die Verwendung erkennen, die sowohl mit Oracle JDK- als auch mit OpenJDK-Distributionen verknüpft ist.
Die Java-Librarys können mit einem dynamischen Scan oder statischen Scan gescannt werden:
Dynamischer Scan:
- Ermittelt Librarys, die zur Laufzeit dynamisch von Ihren Anwendungen geladen werden.
- Unterstützt die Identifizierung und das Verständnis von Java-Librarys von Drittanbietern, die von Ihren Anwendungen aktiv verwendet werden.
Statischer Scan:
- Ruft alle JAR-Dateien aus dem Klassenpfad ab (wird aus den Systemeigenschaften abgerufen). Das Scannen des Klassenpfads hängt vom Ein- und Ausschlusspfad ab, der in den Agent-Einstellungen konfiguriert ist.
- Liest die Manifestdateien jeder JAR, um Abhängigkeiten zu identifizieren.
- Analysiert
pom-Dateien, um Abhängigkeiten der ersten Ebene zu bestimmen. - Bei Anwendungsserverbereitstellungen werden alle Abhängigkeiten innerhalb von Kriegs- und Ohrpaketen untersucht.
Hinweis
Bei schattierten JAR-Dateien wird nur die Datei
Bei schattierten JAR-Dateien wird nur die Datei
pom gescannt, sofern vorhanden. Da keine Details zu den dependent JAR-Dateien verfügbar sind, enthält "Nach Java-Librarys scannen" keine Details zum JAR-Manifest.
Ein Bibliotheksscan kann auch Details zu allen Anwendungen bereitstellen, die mit jeder Bibliothek verknüpft sind, zusammen mit Informationen zu Sicherheitslücken. Die Informationen zur Sicherheitslücke und die CVSS-Scores (Common Vulnerability Scoring System) werden von der National Vulnerability Database bereitgestellt. Der CVSS 3.0-Basisscore wird für die erkannten Common Vulnerabilities and Exposures (CVEs) angezeigt. Die Informationen und die Scores werden identifiziert, indem die Namen der Bibliothek übereinstimmen.
Hinweis
- Bei der Suche nach Java-Librarys wurden möglicherweise nicht alle Library-Abhängigkeiten der Anwendung identifiziert.
- Die Analyse hat möglicherweise nicht alle Sicherheitslücken identifiziert.
- Es kann neue Sicherheitslücken geben, die Ihre Anwendung betreffen, da die Daten wöchentlich aus der National Vulnerability Database aktualisiert werden. Um neue Sicherheitslücken zu erkennen, wird empfohlen, den Scan für Java-Librarys häufig durchzuführen.
Die Ergebnisse der Analyse sind nicht als absolut zu behandeln. Möglicherweise müssen Sie zusätzliche Analysen oder Untersuchungen durchführen.
Sie können den Scan mit einer der folgenden Methoden starten:
- Wählen Sie im Bereich "Flottendetails" die Option Aktionen aus, und wählen Sie Nach Java-Librarys suchen aus.
- Wählen Sie auf der Detailseite Verwaltete Instanzen die Option Aktionen aus, und wählen Sie Nach Java-Librarys scannen aus.
- Wählen Sie auf einer beliebigen Registerkarte Verwaltete Instanzen die gewünschten verwalteten Instanzen aus, indem Sie die entsprechenden Kontrollkästchen in der Tabelle "Verwaltete Instanzen" aktivieren. Wählen Sie dann Aktionen aus, und wählen Sie Nach Java-Librarys scannen aus.
Hinweis
Der Scan kann zu einer hohen CPU- und Speicherauslastung in verwalteten Instanzen führen.
Der Scan kann zu einer hohen CPU- und Speicherauslastung in verwalteten Instanzen führen.
Wählen Sie im Abschnitt Scanoptionen auswählen entweder Dynamischen Scan ausführen oder Statischen Scan ausführen aus.
- Geben Sie für einen dynamischen Scan den Zeitraum an, über den ausgeführte Anwendungen erkannt werden sollen. Sie können diese Dauer in Minuten oder Stunden (maximal 24 Stunden) festlegen. Standardmäßig beträgt der Aufzeichnungszeitraum 10 Minuten. Diese Dauer bestimmt, wie lange Agents jede erkannte aktive Anwendung überwachen.
- Ein statischer Scan wird nicht über einen bestimmten Zeitraum ausgeführt, sondern erfasst stattdessen einen Snapshot der Java-Librarys, die zum Zeitpunkt des Scans im Klassenpfad vorhanden sind. Eine statische Analyse kann Bibliotheken verpassen, die zur Laufzeit dynamisch geladen werden und sich darauf verlassen, dass bekannte Bibliothekssignaturen erkannt werden, sodass sie möglicherweise keine absichtlich verschleierten oder weniger bekannten Bibliotheken identifizieren.
Hinweis
- Wenn die Einstellung Verwendung der Java-Library aufzeichnen aktiviert ist, scannen Agents regelmäßig verwaltete Instanzen, um Sicherheitslücken in von Anwendungen verwendeten Java-Librarys automatisch zu erkennen. In diesem Fall müssen Sie die Aktion "Nach Java-Library suchen" nicht manuell ausführen. Um zusätzliche Einblicke in Ihre Anwendungsserver zu erhalten, können Sie weiterhin einen statischen On-Demand-Scan durchführen.
- Der dynamische Scan unterstützt nur Anwendungen, während der statische Scan sowohl Anwendungen als auch Anwendungsserver unterstützt.
Sie können eine der folgenden Optionen verwenden, um die Anforderung weiterzuleiten:
- Weiterleitungsanforderung: Die Arbeitsanforderung wird sofort zur Verarbeitung weitergeleitet.
- Später planen: Die Arbeitsanforderung kann für die Verarbeitung zu einem bestimmten Datum und einer bestimmten Uhrzeit geplant werden. Darüber hinaus können Sie eine Wiederholungshäufigkeit zusammen mit einem Enddatum oder einer definierten Anzahl von Vorkommen konfigurieren.
Für diesen Vorgang wird eine Arbeitsanforderung erstellt. Wenn Sie die Analyse für ein späteres Datum und eine spätere Uhrzeit geplant haben, können Sie die Aufgabe auf der Registerkarte Geplante Aufgaben anzeigen.
Im Bereich Java-Librarys und unter Java-Library-Informationen werden die Ergebnisse des Scans nach Java-Librarys geprüft.