Oracle Cloud Infrastructure-Dokumentation

Java-Librarys

Wählen Sie Java-Librarys aus, um die Liste der Java-Librarys anzuzeigen, die mit der ausgewählten Flotte verknüpft sind.

Die während des Scans für Java-Librarys ermittelten Java-Librarys werden in der Tabelle aufgeführt.

Der Abschnitt Zusammenfassung der erkannten Bibliotheken (Letzte 90 Tage) enthält:
  • Insgesamt erkannte Bibliotheken: Die Anzahl der Bibliotheken, die im Classpath gefunden wurden, wie durch statische Scans identifiziert.
  • Durch dynamischen Scan erkannte Librarys: Die Anzahl der zur Laufzeit verwendeten Librarys, die durch dynamische Scans identifiziert werden.

Die Aufschlüsselung von lückenlosen Bibliotheken (letzte 90 Tage) fasst die Anzahl der Bibliotheken nach ihrem Schweregrad für Sicherheitslücken zusammen - hoch, mittel und niedrig.

Im Textfeld Suchen und filtern können Sie die angezeigten Ressourcen über das Dropdown-Menü filtern. Folgende Optionen sind verfügbar:

  • Library: Liste der Java-Librarys nach Anwendungs-Librarys filtern
  • Höchster CVSS-Score: Die Liste der Java-Librarys nach CVSS-Score filtern
  • Konfidenzniveau: Die Liste der Java-Librarys nach Konfidenzniveau filtern

Wählen Sie in der Dropdown-Liste Angewendete Filter den erforderlichen Zeitraum für die Anzeige der Ressourcen aus. Standardmäßig werden Ressourcen angezeigt, die zu den letzten 7 Tagen gehören.

Sie können die Tabellenspalten mit dem Symbol Spalten verwalten anpassen.

Die folgenden Informationen zu Java-Librarys werden in der Tabelle angezeigt:

  • Bibliothek: Java-Anwendungsbibliotheken, die während des Scans ermittelt wurden
  • Version: Versionsnummer der Java-Library
  • Schwachstellen: eine Reihe von Schwachstellen, die jeweils durch eine GitHub Security Advisory-(GHSA-)ID oder eine Common Vulnerabilities and Exposures-(CVE-)ID identifiziert werden. Dies ist ein eindeutiger Qualifier, der zugewiesen wird, wenn ein neues Advisory unter GitHub erstellt oder der Advisory-Datenbank GitHub aus einer der unterstützten Quellen hinzugefügt wird. Wählen Sie den zugehörigen Link aus, um die Details auf der GitHub Security Advisory-(https://github.com/advisories-)Site oder der National Vulnerability Database-(NVD-)Site (https://nvd.nist.gov/vuln) anzuzeigen.
  • Höchster CVSS-Score: Das CVSS-Scoring-System ist ein Hinweis auf die Sicherheitslücke, die mit dem Score verbunden ist. JMS verwendet das Scoring-System CVSS Version 3.0. Die Ergebnisse werden von der National Vulnerability Database bereitgestellt und geben Folgendes an:
    • 7 - 10: Diese Library weist Schwachstellen mit dem Schweregrad High auf.
    • 4 - 6.9: Diese Library weist Sicherheitslücken mit dem Schweregrad Medium auf.
    • 0.1 - 3.9: Diese Library weist Sicherheitslücken mit dem Schweregrad Low auf.
    • 0: Diese Library weist keine Schwachstellen auf.
    • Unbekannt: Der Schweregrad der Sicherheitslücken in dieser Bibliothek ist unbekannt. Möglicherweise fehlen Informationen, um die CVSS-Scores zu bestimmen. Dies garantiert jedoch nicht, dass es keine Sicherheitslücken gibt.
      Hinweis

      • Java-Librarys werden mithilfe statischer Analysen identifiziert, die auf bekannten Signaturen basieren, die absichtlich verschleierte oder weniger bekannte Librarys verpassen können. Beim Scannen nach Java-Librarys wurden möglicherweise nicht alle Library-Abhängigkeiten der Anwendung identifiziert.
      • Die Analyse hat möglicherweise nicht alle Sicherheitslücken identifiziert.
      • Informationen über Sicherheitslücken in identifizierten Librarys, die vor fünf Stunden zuletzt aktualisiert wurden, könnten veraltete Informationen enthalten. Um diese neuen Sicherheitslücken zu erkennen, empfehlen wir, den Scan für Java-Librarys häufig auszuführen.

      Daher sind die Ergebnisse der Analyse nicht als absolut zu behandeln. Möglicherweise müssen Sie andere Sicherheitsscans ausführen.

  • Konfidenzniveau: Das Konfidenzniveau bei der Erkennung von Schwachstellen in einer Bibliothek.
    • Hoch: hohes Vertrauen in die Identifizierung von Sicherheitslücken in der Bibliothek, da die Gruppen-ID der Bibliothek vorhanden war
    • Medium: Mittlere Sicherheit bei der Identifizierung von Sicherheitslücken in der Bibliothek, da die Gruppen-ID der Bibliothek fehlt und eine abgeleitete Gruppen-ID verwendet wurde
    • Niedrig: Geringe Sicherheit bei der Identifizierung von Sicherheitslücken in der Bibliothek, da die Gruppen-ID der Bibliothek fehlt und keine Gruppen-ID abgeleitet werden kann
  • Dynamisch erkannt: Gibt an, ob die Library zur Laufzeit dynamisch von Ihren Anwendungen geladen wurde.
  • Bereitgestellte Anwendung: Die bereitgestellten Anwendungen, die Librarys verwenden
  • Verwaltete Instanz: Die Anzahl der Instanzen, in denen die Librarys erkannt wurden
  • Zuerst gemeldet: Datum und Uhrzeit der ersten Erkennung der Bibliotheken
  • Letzte Meldung: Datum und Uhrzeit der letzten Meldung der Bibliotheken

Wählen Sie im Menü "Aktionen"Symbol für vertikale Auslassungspunkte die OptionAlle Sicherheitslücken anzeigen aus. Die Seite "Sicherheitslücken" wird geöffnet und enthält eine Tabelle, in der die Sicherheitslücken und der CVSS-Score angezeigt werden.

Wählen Sie im Feld Artikel pro Seite 10, 25, 50 oder 100 anzuzeigende Elemente aus. Wählen Sie den Header einer Spalte, um die Liste auf Basis des Spaltentitels zu sortieren.

Wählen Sie den Bibliotheksnamen, um die Details anzuzeigen. Siehe Informationen zur Java-Library.