Documentation Oracle Cloud Infrastructure

Analyser les bibliothèques Java

Le suivi avancé de l'utilisation détecte les bibliothèques associées à l'application et à l'application déployée dans le parc, et fournit des informations sur les vulnérabilités de sécurité, le cas échéant. Il peut détecter l'utilisation associée aux distributions Oracle JDK et OpenJDK.

Les bibliothèques Java sont analysées à l'aide de l'analyse statique et n'identifient pas les bibliothèques chargées dynamiquement. Analyse statique :

  1. Obtient tous les fichiers JAR du chemin de classe (obtenus à partir des propriétés système). L'analyse de chemin de classe dépend du chemin d'inclusion et d'exclusion configuré dans les paramètres d'agent.
  2. Lit les manifestes de tous les fichiers JAR dans le chemin de classe pour charger toutes les dépendances possibles
  3. Lit le fichier pom pour obtenir les dépendances de premier niveau
  4. Analyse toutes les dépendances au sein d'un package war ou ear dans le cas de déploiements de serveur d'applications
Remarque

Pour les fichiers JAR ombrés, seul le fichier pom, le cas échéant, est analysé. Etant donné que les détails relatifs aux fichiers dependent jar ne sont pas disponibles, l'analyse pour les bibliothèques Java ne fournit pas de détails sur le manifeste JAR.
Un balayage de bibliothèque peut également fournir des détails sur toutes les applications associées à chaque bibliothèque, ainsi que des informations sur la vulnérabilité. Les informations de vulnérabilité et les scores CVSS (Common Vulnerability Scoring System) sont fournis par la base de données nationale de vulnérabilité. Le score de base CVSS 2.0 est affiché pour les vulnérabilités et expositions communes détectées. Les informations et les scores sont identifiés en mettant en correspondance les noms de la bibliothèque.
Remarque

  • L'analyse à la recherche de bibliothèques Java n'a peut-être pas identifié toutes les dépendances de bibliothèque de l'application.
  • L'analyse peut ne pas avoir identifié toutes les vulnérabilités.
  • Il peut y avoir de nouvelles vulnérabilités affectant votre application car les données sont actualisées à partir de la base de données nationale sur les vulnérabilités sur une base hebdomadaire. Pour détecter de nouvelles vulnérabilités, nous vous recommandons d'effectuer fréquemment l'analyse des bibliothèques Java.

Les résultats de l'analyse ne doivent pas être considérés comme absolus. Vous devrez peut-être effectuer une analyse ou une investigation supplémentaire.

Vous pouvez lancer l'analyse à l'aide de l'une des méthodes suivantes :

  • Dans le panneau Détails du parc, cliquez sur Analyser les bibliothèques Java.
  • Dans la section Ressources de la page de détails du parc, accédez à Instances gérées. Sélectionnez les instances gérées souhaitées en cochant les cases correspondantes dans la table Instances gérées. Cliquez ensuite sur Actions et sélectionnez Analyser les bibliothèques Java.
  • Dans la section Ressources de la page de détails du parc, accédez à Instances gérées. Dans la table Instances gérées, localisez l'instance gérée spécifique sur laquelle vous souhaitez installer l'exécution Java. Cliquez sur l'instance gérée pour accéder à sa page de détails, puis cliquez sur Analyser les bibliothèques Java.
Remarque

L'analyse peut entraîner une utilisation élevée de l'UC et de la mémoire dans les instances gérées.

Vous pouvez visualiser la progression ou le statut de l'opération à partir du module Demande de travail.

Reportez-vous au panneau Bibliothèques Java et à Informations sur la bibliothèque Java pour consulter les résultats de l'analyse des bibliothèques Java.