Suivi avancé de l'utilisation
Pour activer les opérations de suivi avancé de l'utilisation dans votre parc, reportez-vous à Activation des fonctionnalités avancées. Le suivi avancé de l'utilisation vous permet de surveiller l'utilisation des serveurs Java et des bibliothèques Java dans un parc.
Le suivi avancé de l'utilisation vous permet de :
- Affichez les détails relatifs aux serveurs Java associés à un parc. Cela inclut les applications déployées sur le serveur Java, ainsi que le serveur géré et les instances gérées sur lesquelles le serveur Java est déployé.
- Détecter les bibliothèques et leur score CVSS (Common Vulnerability Scoring System) associé, comme indiqué par la base de données nationale de vulnérabilité.
L'activation du suivi d'utilisation avancé activera :
Lorsque vous lancez les analyses, l'agent trouve respectivement les serveurs Java et les bibliothèques Java dans le parc. JMS signale les serveurs et les bibliothèques utilisés par les instances gérées lorsque leurs agents de gestion respectifs reçoivent la demande d'analyse.
Choisir le scan à utiliser
L'analyse statique est généralement suffisante pour trouver la plupart des bibliothèques directes connues utilisées par votre application. L'analyse dynamique est utile pour confirmer quelles bibliothèques ou packages sont activement utilisés lors de l'exécution.
Analyse statique : une analyse statique standard analyse le package d'application (JAR/WAR/EAR) et sa variable d'environnement CLASSPATH pour créer la liste des dépendances de bibliothèque dans votre parc. Cela vous indique quelles bibliothèques sont déclarées comme dépendances, même si elles ne sont pas utilisées par une seule ligne de votre code. Ce processus est souvent appelé "accessible" ou "importé".
Analyse dynamique : en observant l'application lors de son exécution, une analyse dynamique confirme les bibliothèques réellement chargées, exécutées et appelées pendant les chemins d'exécution. Ceci est crucial pour la hiérarchisation, car une vulnérabilité dans une bibliothèque qui n'est jamais exécutée présente un risque beaucoup plus faible que celui qui est activement utilisé.
Ce sont des méthodes complémentaires qui fonctionnent à différents moments et sur différents artefacts ou sources.
Reportez-vous aux cas d'emploi suivants :
| Fonction | Balayage statique | Analyse dynamique |
|---|---|---|
| Qu'est-ce qu'il scanne ? | Variable d'environnement CLASSPATH dérivée d'une application en cours d'exécution et du package (JAR/WAR/EAR) | Application en cours d'exécution (code en cours d'exécution) en plus des détails du balayage statique |
| Résultat | Recherche toutes les dépendances déclarées (directes et transitives). | Recherche les bibliothèques qui sont activement utilisées dans les chemins exécutés pendant la durée de vie de l'instance d'application |
| Cible | Vulnérabilités connues de la bibliothèque (CVE). | Basé sur la durée qui signale les bibliothèques utilisées pendant les chemins exécutés. |
L'impact du système client entre les deux balayages est que le balayage dynamique a plus de temps que le balayage statique.