Bibliotecas de Java

Seleccione Bibliotecas de Java para ver la lista de bibliotecas de Java asociadas al conjunto seleccionado.

Las bibliotecas de Java detectadas durante Scan for Java Libraries se muestran en la tabla.

La sección Resumen de bibliotecas detectadas (últimos 90 días) proporciona:
  • Total de bibliotecas detectadas: número de bibliotecas encontradas en la classpath identificadas mediante análisis estáticos.
  • Bibliotecas detectadas por la exploración dinámica: número de bibliotecas utilizadas en tiempo de ejecución según lo identificado por la exploración dinámica.

El desglose de bibliotecas vulnerables (últimos 90 días) resume el recuento de bibliotecas por su gravedad de vulnerabilidad: alta, media y baja.

En el campo de texto Buscar y filtrar, puede filtrar los recursos mostrados mediante el menú desplegable. Las opciones disponibles son:

  • Biblioteca: Filtrar la lista de bibliotecas de Java por bibliotecas de aplicaciones
  • Puntuación CVSS más alta: filtre la lista de bibliotecas Java por puntuación CVSS
  • Nivel de confianza: filtra la lista de bibliotecas de Java por nivel de confianza

Use la lista desplegable Filtros aplicados para seleccionar el período de tiempo necesario para mostrar los recursos. De forma predeterminada, se muestran los recursos pertenecientes a los últimos 7 días.

Puede personalizar las columnas de la tabla mediante el icono Gestionar columnas.

En la tabla se presenta la siguiente información sobre bibliotecas Java:

  • Biblioteca: bibliotecas Java de aplicaciones que se han detectado durante la exploración
  • Versión: número de versión de la biblioteca Java
  • Vulnerabilidades: una serie de vulnerabilidades, cada una identificada por un ID de asesor de seguridad (GHSA) GitHub o un número de ID de vulnerabilidades y exposiciones comunes (CVE). Se trata de un calificador único que se asigna cuando se crea un nuevo asesor en GitHub o se agrega a la base de datos de asesoramiento GitHub desde cualquiera de los orígenes soportados. Seleccione el enlace asociado para ver los detalles en el sitio GitHub Security Advisory (https://github.com/advisories) o en el sitio National Vulnerability Database (NVD) (https://nvd.nist.gov/vuln) respectivamente.
  • Puntuación CVSS más alta: el sistema de puntuación CVSS es una indicación de la vulnerabilidad de seguridad asociada a la puntuación. JMS utiliza el sistema de puntuación CVSS versión 3.0. Las puntuaciones son proporcionadas por la Base de Datos Nacional de Vulnerabilidad y denotan lo siguiente:
    • 7 - 10: esta biblioteca tiene vulnerabilidades de gravedad Alta.
    • 4 - 6.9: esta biblioteca tiene vulnerabilidades de gravedad Media.
    • 0.1 - 3.9: esta biblioteca tiene vulnerabilidades de gravedad Baja.
    • 0: esta biblioteca no tiene vulnerabilidades.
    • Desconocido: se desconoce la gravedad de las vulnerabilidades de esta biblioteca. Puede haber una falta de información necesaria para determinar las puntuaciones del CVSS, pero esto no garantiza que no haya vulnerabilidades.
      Nota

      • Las bibliotecas de Java se identifican mediante un análisis estático basado en firmas conocidas, que pueden omitir bibliotecas ofuscadas intencionalmente o menos conocidas. Es posible que la exploración de bibliotecas Java no haya identificado todas las dependencias de biblioteca de la aplicación.
      • Es posible que el análisis no haya identificado todas las vulnerabilidades.
      • La información sobre vulnerabilidades en bibliotecas identificadas que se actualizaron por última vez hace cinco horas podría tener información obsoleta. Para detectar estas nuevas vulnerabilidades, le recomendamos que realice la exploración de bibliotecas de Java con frecuencia.

      Por lo tanto, los resultados del análisis no deben tratarse como absolutos. Es posible que necesite ejecutar otras exploraciones de seguridad.

  • Nivel de confianza: nivel de confianza de detección de vulnerabilidades en una biblioteca.
    • Alta: alta confianza en la identificación de vulnerabilidades de la biblioteca, ya que el ID de grupo de la biblioteca estaba presente
    • Media: confianza media en la identificación de vulnerabilidades de la biblioteca, ya que el ID de grupo de la biblioteca estaba ausente y se utilizó un ID de grupo derivado.
    • Baja: baja confianza en la identificación de vulnerabilidades de la biblioteca, ya que el ID de grupo de la biblioteca estaba ausente y no se pudo derivar un ID de grupo
  • Detectado dinámicamente: indica si la biblioteca fue cargada dinámicamente por las aplicaciones en tiempo de ejecución.
  • Aplicación desplegada: las aplicaciones desplegadas que utilizan las bibliotecas
  • Instancia gestionada: número de instancias en las que se han detectado las bibliotecas
  • Primer informe: fecha y hora en que se detectaron las bibliotecas por primera vez
  • Fecha y hora de la última notificación de las bibliotecas

En el menú Accionesicono de puntos suspensivos verticales, seleccione Ver todas las vulnerabilidades. Se abre la página Vulnerabilities e incluye una tabla que muestra las vulnerabilidades y la puntuación de CVSS.

En el campo Elementos por página, seleccione 10, 25, 50 o 100 elementos para mostrar. Seleccione la cabecera de la columna para ordenar la lista según el título de la columna.

Seleccione el nombre de la biblioteca para ver los detalles. Consulte Java Library Information.