Documentación de Oracle Cloud Infrastructure

Explorar bibliotecas de Java

El seguimiento de uso avanzado detecta las bibliotecas asociadas a la aplicación y a la aplicación desplegada en el conjunto y proporciona información de vulnerabilidad de seguridad, si la hay. Puede detectar el uso asociado a distribuciones de Oracle JDK y OpenJDK.

Las bibliotecas de Java se pueden explorar mediante una exploración dinámica o una exploración estática:

Exploración dinámica:
  1. Detecta bibliotecas cargadas dinámicamente por las aplicaciones en tiempo de ejecución.
  2. Ayuda a identificar y comprender las bibliotecas Java de terceros que utilizan activamente sus aplicaciones.

Exploración estática:

  1. Obtiene todos los archivos jar de la ruta de acceso de clase (obtenido de las propiedades del sistema). La exploración de ruta de clase depende de la ruta de inclusión y exclusión configurada en la configuración del agente.
  2. Lee los archivos de manifiesto de cada JAR para identificar dependencias.
  3. Analiza los archivos pom para determinar las dependencias de primer nivel.
  4. Para las implementaciones del servidor de aplicaciones, examina todas las dependencias dentro de los paquetes war y ear.
Nota

Para los archivos jar sombreados, solo se explora el archivo pom, si lo hay. Como los detalles sobre los archivos dependent jar no están disponibles, Scan for Java Libraries no proporciona detalles del manifiesto JAR.
Un análisis de biblioteca también puede proporcionar detalles de todas las aplicaciones asociadas con cada biblioteca, junto con información de vulnerabilidad. La información de vulnerabilidad y las puntuaciones del Common Vulnerability Scoring System (CVSS) la proporciona la National Vulnerability Database. Se muestra la puntuación base de CVSS 3.0 para las Vulnerabilidades y Exposiciones Comunes (CVE) detectadas. La información y las puntuaciones se identifican mediante la coincidencia de los nombres de la biblioteca.
Nota

  • Es posible que la exploración de bibliotecas Java no haya identificado todas las dependencias de biblioteca de la aplicación.
  • Es posible que el análisis no haya identificado todas las vulnerabilidades.
  • Puede haber nuevas vulnerabilidades que afecten a su aplicación a medida que los datos se refrescan de la base de datos nacional de vulnerabilidades semanalmente. Para detectar nuevas vulnerabilidades, le recomendamos que realice la exploración de bibliotecas Java con frecuencia.

Los resultados del análisis no deben tratarse como absolutos. Es posible que necesite realizar análisis o investigaciones adicionales.

Puede iniciar el análisis mediante uno de los siguientes métodos:

  • En el panel de detalles del conjunto, seleccione Acciones y Explorar para bibliotecas de Java.
  • En la página de detalles Instancias gestionadas, seleccione Acciones y seleccione Explorar para bibliotecas de Java.
  • En cualquier separador Instancias gestionadas, seleccione las instancias gestionadas deseadas marcando las casillas correspondientes en la tabla de instancias gestionadas. A continuación, seleccione Acciones y Explorar para bibliotecas de Java.
Nota

La exploración puede causar un alto uso de CPU y memoria en instancias gestionadas.
En la sección Seleccionar las opciones de exploración, seleccione Realizar exploración dinámica o Realizar exploración estática.
  • Para una exploración dinámica, especifique el período durante el cual se deben detectar las aplicaciones en ejecución. Puede definir esta duración en minutos u horas, con un máximo de 24 horas. Por defecto, el período de grabación es de 10 minutos. Esta duración determina el tiempo que los agentes supervisarán cada aplicación en ejecución detectada.
  • Una exploración estática no se ejecuta durante un período de tiempo, sino que captura una instantánea de las bibliotecas Java presentes en la ruta de clase en el momento de la exploración. Un análisis estático puede omitir bibliotecas que se cargan dinámicamente en tiempo de ejecución y depende de la detección de firmas de biblioteca conocidas, por lo que es posible que no identifique bibliotecas ofuscadas intencionalmente o menos conocidas.
Nota

  • Si la configuración Registrar uso de biblioteca Java está activada, los agentes explorarán periódicamente las instancias gestionadas para detectar automáticamente vulnerabilidades en las bibliotecas Java que utilizan las aplicaciones. En este caso, no es necesario ejecutar manualmente la acción de exploración de biblioteca Java. Para obtener información adicional sobre los servidores de aplicaciones, aún puede realizar una exploración estática bajo demanda.
  • La exploración dinámica solo soporta aplicaciones, mientras que la exploración estática soporta tanto aplicaciones como servidores de aplicaciones.
Puede usar cualquiera de las siguientes opciones para enviar la solicitud de trabajo:
  • Enviar solicitud: la solicitud de trabajo se enviará para su procesamiento inmediatamente.
  • Programar para más tarde: la solicitud de trabajo se puede programar para su procesamiento en una fecha y hora especificadas. Además, puede configurar una frecuencia de recurrencia, junto con una fecha de fin o un número definido de ocurrencias.

Se crea un solicitud de trabajo para esta operación. Si ha programado el análisis para una fecha y hora posteriores, puede ver la tarea en el separador Tareas programadas.

Consulte el panel Java Libraries y Java Library Information para revisar los resultados de la exploración de bibliotecas de Java.