Documentation sur Oracle Cloud Infrastructure

Bibliothèques Java

Sélectionnez Bibliothèques Java pour voir la liste des bibliothèques Java associées au parc sélectionné.

Les bibliothèques Java détectées lors du balayage des bibliothèques Java sont répertoriées dans le tableau.

La section Sommaire des bibliothèques détectées (90 derniers jours) fournit :
  • Nombre total de bibliothèques détectées : Nombre de bibliothèques trouvées dans la variable classpath identifiée par un ou plusieurs balayages statiques.
  • Bibliothèques détectées par le balayage dynamique : Nombre de bibliothèques utilisées au moment de l'exécution, identifiées par le ou les balayages dynamiques.

La défaillance de bibliothèque vulnérable (90 derniers jours) résume le nombre de bibliothèques en fonction de leur gravité de vulnérabilité : élevée, moyenne et faible.

Dans la zone de texte Rechercher et filtrer, vous pouvez filtrer les ressources affichées à l'aide du menu déroulant. Les options disponibles sont les suivantes :

  • Bibliothèque : filtrer la liste des bibliothèques Java par bibliothèques d'application
  • Note CVSS la plus élevée : filtrer la liste des bibliothèques Java par note CVSS
  • Niveau de confiance : filtrer la liste des bibliothèques Java par niveau de confiance

Utilisez la liste déroulante Filtres appliqués pour sélectionner la période requise pour l'affichage des ressources. Par défaut, les ressources des 7 derniers jours sont affichées.

Vous pouvez personnaliser les colonnes de la table à l'aide de l'icône Gérer les colonnes.

Les informations suivantes sur les bibliothèques Java sont présentées dans le tableau :

  • Bibliothèque : Bibliothèques Java d'application détectées lors du balayage
  • Version : numéro de version de la bibliothèque Java
  • Vulnérabilités : tableau de vulnérabilités, chacune identifiée par un ID GitHub Security Advisory (GHSA) ou un numéro CVE (Common Vulnerabilities and Exposures). Il s'agit d'un qualificatif unique affecté lorsqu'un nouveau conseil est créé sur GitHub ou ajouté à la base de données de conseil GitHub à partir d'une des sources prises en charge. Sélectionnez le lien associé pour voir les détails sur le site GitHub Security Advisory (https://github.com/advisories) ou sur le site National Vulnerability Database (NVD) (https://nvd.nist.gov/vuln), respectivement.
  • Note CVSS la plus élevée : le système de notation CVSS est une indication de la vulnérabilité de sécurité associée à la note. JMS utilise le système de notation CVSS version 3.0. Les notes sont fournies par la base de données nationale sur les vulnérabilités et indiquent ce qui suit :
    • 7 à 10 : Cette bibliothèque présente des vulnérabilités de gravité Élevée.
    • 4 - 6.9 : Cette bibliothèque présente des vulnérabilités de gravité Moyenne.
    • 0.1 - 3.9 : Cette bibliothèque présente des vulnérabilités de gravité Faible.
    • 0 : Cette bibliothèque ne présente aucune vulnérabilité.
    • Inconnu : La gravité des vulnérabilités dans cette bibliothèque est inconnue. Il peut y avoir un manque d'informations nécessaires pour déterminer les scores CVSS, mais cela ne garantit pas qu'il n'y a aucune vulnérabilité.
      Note

      • Les bibliothèques Java sont identifiées à l'aide d'une analyse statique basée sur des signatures bien connues, qui peuvent manquer des bibliothèques intentionnellement obscurcies ou moins connues. Il est possible que le balayage des bibliothèques Java n'ait pas identifié toutes les dépendances de bibliothèque de l'application.
      • L'analyse n'a peut-être pas identifié toutes les vulnérabilités.
      • Les informations sur les vulnérabilités dans les bibliothèques identifiées qui ont été actualisées pour la dernière fois il y a cinq heures pourraient avoir des informations obsolètes. Pour détecter ces nouvelles vulnérabilités, nous vous recommandons d'effectuer fréquemment le balayage des bibliothèques Java.

      Par conséquent, les résultats de l'analyse ne doivent pas être traités comme absolus. Vous devrez peut-être exécuter d'autres analyses de sécurité.

  • Niveau de confiance : niveau de confiance de détection des vulnérabilités dans une bibliothèque.
    • Élevé : Confiance élevée à l'égard de l'identification des vulnérabilités de bibliothèque, car l'ID groupe de la bibliothèque était présent
    • Moyen : confiance moyenne dans l'identification des vulnérabilités de bibliothèque, car l'ID groupe de la bibliothèque était absent et un ID groupe dérivé a été utilisé
    • Faible : Faible confiance dans l'identification des vulnérabilités de bibliothèque car l'ID groupe de la bibliothèque était absent et impossible de dériver un ID groupe
  • Détecté dynamiquement : indique si la bibliothèque a été chargée dynamiquement par vos applications lors de l'exécution.
  • Application déployée : Applications déployées qui utilisent les bibliothèques
  • Instance gérée : Nombre d'instances où les bibliothèques ont été détectées
  • Premier signalement : date et heure auxquelles les bibliothèques ont été détectées pour la première fois
  • Dernier rapport : date et heure du dernier rapport des bibliothèques

Dans le menu Actionsicône de points de suspension verticaux, sélectionnez Voir toutes les vulnérabilités. La page Vulnérabilités s'ouvre et comprend un tableau qui affiche les vulnérabilités et la note CVSS.

Dans le champ Articles par page, sélectionnez 10, 25, 50 ou 100 articles à afficher. Sélectionnez l'en-tête d'une colonne pour trier la liste en fonction du titre de la colonne.

Sélectionnez le nom de la bibliothèque pour voir les détails. Voir Informations sur la bibliothèque Java.