Oracle Cloud Infrastructure-Dokumentation

Nach Java-Librarys scannen

Das erweiterte Nutzungstracking erkennt Librarys, die mit Anwendung und Bereitgestellte Anwendung in der Flotte verknüpft sind, und stellt gegebenenfalls Informationen zu Sicherheitslücken bereit. Er kann die Verwendung erkennen, die sowohl mit Oracle JDK- als auch mit OpenJDK-Distributionen verknüpft ist.

Die Java-Librarys werden mit statischer Analyse gescannt und identifizieren keine dynamisch geladenen Librarys. Der statische Scan:

  1. Ruft alle JAR-Dateien aus dem Klassenpfad ab (wird aus den Systemeigenschaften abgerufen). Das Scannen des Klassenpfads hängt vom Ein- und Ausschlusspfad ab, der in den Agent-Einstellungen konfiguriert ist.
  2. Liest die Manifeste aller JAR-Dateien im Klassenpfad, um alle möglichen Abhängigkeiten zu laden
  3. Liest die Datei pom, um die Abhängigkeiten der ersten Ebene abzurufen
  4. Scannt alle Abhängigkeiten innerhalb eines Packages war oder ear bei Anwendungsserver-Deployments
Hinweis

Bei schattierten JAR-Dateien wird nur die Datei pom gescannt, sofern vorhanden. Da keine Details zu den dependent JAR-Dateien verfügbar sind, enthält "Nach Java-Librarys scannen" keine Details zum JAR-Manifest.
Ein Library-Scan kann auch Details zu allen Anwendungen bereitstellen, die mit jeder Bibliothek verknüpft sind, sowie Informationen zu Sicherheitslücken. Die Sicherheitslückeninformationen und die CVSS-(Common Vulnerability Scoring System-)Scores werden von der National Vulnerability Database bereitgestellt. Der CVSS 2.0-Basisscore wird für die erkannten CVEs (Common Vulnerabilities and Exposures) angezeigt. Die Informationen und die Scores werden durch Abgleich der Namen der Bibliothek identifiziert.
Hinweis

  • Bei der Suche nach Java-Librarys wurden möglicherweise nicht alle Library-Abhängigkeiten der Anwendung identifiziert.
  • Die Analyse hat möglicherweise nicht alle Sicherheitslücken identifiziert.
  • Es kann neue Sicherheitslücken geben, die Ihre Anwendung betreffen, da die Daten wöchentlich aus der National Vulnerability Database aktualisiert werden. Um neue Sicherheitslücken zu erkennen, wird empfohlen, den Scan für Java-Librarys häufig durchzuführen.

Die Ergebnisse der Analyse sind nicht als absolut zu behandeln. Möglicherweise müssen Sie zusätzliche Analysen oder Untersuchungen durchführen.

Sie können den Scan mit einer der folgenden Methoden starten:

  • Klicken Sie im Bereich "Flottendetails" auf Für Java-Librarys scannen.
  • Navigieren Sie im Abschnitt Ressourcen auf der Seite mit den Flottendetails zu Verwaltete Instanzen. Wählen Sie die gewünschten verwalteten Instanzen, indem Sie die entsprechenden Kontrollkästchen in der Tabelle "Verwaltete Instanzen" aktivieren. Klicken Sie anschließend auf Aktionen, und wählen Sie Für Java-Librarys scannen aus.
  • Navigieren Sie im Abschnitt Ressourcen auf der Seite mit den Flottendetails zu Verwaltete Instanzen. Suchen Sie in der Tabelle "Verwaltete Instanzen" die spezifische verwaltete Instanz, in der Sie die Java-Laufzeit installieren möchten. Klicken Sie auf die verwaltete Instanz, um die zugehörige Detailseite aufzurufen, und klicken Sie dann auf Nach Java-Librarys scannen.
Hinweis

Der Scan kann zu einer hohen CPU- und Speicherauslastung in verwalteten Instanzen führen.

Sie können den Fortschritt oder den Status des Vorgangs im Modul Arbeitsanforderung anzeigen.

Im Bereich Java-Librarys und unter Java-Library-Informationen werden die Ergebnisse des Scans nach Java-Librarys geprüft.