Documentation Oracle Cloud Infrastructure

Analyser à la Recherche de bibliothèques Java

Le suivi d'utilisation avancé détecte les bibliothèques associées à la fois à l'application et à l'application déployée dans le parc, et fournit des informations sur les vulnérabilités de sécurité, le cas échéant. Il peut détecter l'utilisation associée aux distributions Oracle JDK et OpenJDK.

Les bibliothèques Java peuvent être analysées à l'aide d'une analyse dynamique ou d'une analyse statique :

Analyse dynamique :
  1. Détecte les bibliothèques chargées dynamiquement par vos applications lors de l'exécution.
  2. Permet d'identifier et de comprendre les bibliothèques Java tierces utilisées activement par vos applications.

Analyse statique :

  1. Extrait tous les fichiers JAR de la variable d'environnement CLASSPATH (obtenu à partir des propriétés système). Le balayage de chemin de classe dépend du chemin d'inclusion et d'exclusion configuré dans les paramètres de l'agent.
  2. Lit les fichiers manifestes de chaque fichier JAR pour identifier les dépendances.
  3. Analyse les fichiers pom pour déterminer les dépendances de premier niveau.
  4. Pour les déploiements de serveur d'applications, examine toutes les dépendances dans les packages war et ear.
Remarque

Pour les fichiers JAR ombrés, seul le fichier pom, le cas échéant, est analysé. Comme les détails sur les fichiers dependent jar ne sont pas disponibles, Scan for Java Libraries ne fournit pas les détails sur le manifeste JAR.
Une analyse de bibliothèque peut également fournir des détails sur toutes les applications associées à chaque bibliothèque, ainsi que des informations de vulnérabilité. Les informations de vulnérabilité et les scores CVSS (Common Vulnerability Scoring System) sont fournis par la base de données des vulnérabilités nationales. Le score de base CVSS 3.0 est affiché pour les CVE détectés. Les informations et les scores sont identifiés en faisant correspondre les noms de la bibliothèque.
Remarque

  • L'analyse des bibliothèques Java n'a peut-être pas identifié toutes les dépendances de bibliothèque de l'application.
  • L'analyse n'a peut-être pas identifié toutes les vulnérabilités.
  • De nouvelles vulnérabilités peuvent affecter votre application car les données sont actualisées chaque semaine à partir de la base de données nationale sur les vulnérabilités. Pour détecter les nouvelles vulnérabilités, nous vous recommandons d'effectuer fréquemment l'analyse des bibliothèques Java.

Les résultats de l'analyse ne doivent pas être traités comme absolus. Vous devrez peut-être effectuer des analyses ou des recherches supplémentaires.

Vous pouvez lancer l'analyse à l'aide de l'une des méthodes suivantes :

  • Dans le panneau Détails du parc, sélectionnez Actions et choisissez Analyser les bibliothèques Java.
  • Sur la page de détails des instances gérées, sélectionnez Actions et choisissez Rechercher les bibliothèques Java.
  • Dans l'onglet Instances gérées, sélectionnez les instances gérées souhaitées en cochant les cases correspondantes dans la table des instances gérées. Sélectionnez ensuite Actions, puis Rechercher les bibliothèques Java.
Remarque

L'analyse peut entraîner une utilisation élevée de l'UC et de la mémoire dans les instances gérées.
Dans la section Sélectionner les options d'analyse, sélectionnez Effectuer un balayage dynamique ou Effectuer un balayage statique.
  • Pour un balayage dynamique, indiquez la période pendant laquelle détecter les applications en cours d'exécution. Vous pouvez définir cette durée en minutes ou en heures, avec un maximum de 24 heures. Par défaut, la période d'enregistrement est de 10 minutes. Cette durée détermine la durée pendant laquelle les agents surveilleront chaque application en cours d'exécution détectée.
  • Un balayage statique ne s'exécute pas sur une période donnée, mais capture un instantané des bibliothèques Java présentes dans la variable d'environnement CLASSPATH au moment de l'analyse. Une analyse statique peut manquer des bibliothèques qui sont chargées dynamiquement lors de l'exécution et qui reposent sur la détection de signatures de bibliothèque connues, de sorte qu'elle peut ne pas identifier intentionnellement les bibliothèques brouillées ou moins connues.
Remarque

  • Si le paramètre Enregistrer l'utilisation de la bibliothèque Java est activé, les agents analysent régulièrement les instances gérées pour détecter automatiquement les vulnérabilités dans les bibliothèques Java utilisées par les applications. Dans ce cas, vous n'avez pas besoin d'exécuter manuellement l'action de bibliothèque Scan for Java. Pour obtenir des informations supplémentaires sur vos serveurs d'applications, vous pouvez toujours effectuer une analyse statique à la demande.
  • L'analyse dynamique prend uniquement en charge les applications, tandis que l'analyse statique prend en charge les applications et les serveurs d'applications.
Vous pouvez utiliser l'une des options suivantes pour soumettre la demande de travail :
  • Soumettre la demande : la demande de travail sera soumise pour traitement immédiatement.
  • Planifier pour plus tard : la demande de travail peut être planifiée pour traitement à une date et une heure spécifiées. En outre, vous pouvez configurer une fréquence de récurrence, ainsi qu'une date de fin ou un nombre défini d'occurrences.

Une demande de travail est créée pour cette opération. Si vous avez planifié l'analyse pour une date et une heure ultérieures, vous pouvez afficher la tâche dans l'onglet Tâches planifiées.

Reportez-vous au panneau Bibliothèques Java et à Informations sur la bibliothèque Java pour consulter les résultats de l'analyse des bibliothèques Java.