Documentation Oracle Cloud Infrastructure

Bibliothèque Java

Sélectionnez Bibliothèques Java pour afficher la liste des bibliothèques Java associées au parc sélectionné.

Les bibliothèques Java détectées lors de la analyse des bibliothèques Java sont répertoriées dans le tableau.

La section Récapitulatif des bibliothèques détectées (90 derniers jours) fournit les informations suivantes :
  • Nombre total de bibliothèques détectées : nombre de bibliothèques trouvées sur la variable d'environnement CLASSPATH identifiées par des balayages statiques.
  • Bibliothèques détectées par l'analyse dynamique : nombre de bibliothèques utilisées lors de l'exécution tel qu'identifié par l'analyse dynamique.

La répartition des bibliothèques vulnérables (90 derniers jours) récapitule le nombre de bibliothèques en fonction de leur gravité de vulnérabilité (élevée, moyenne et faible).

Dans le champ de texte Rechercher et filtrer, vous pouvez filtrer les ressources affichées à l'aide du menu déroulant. Les options disponibles incluent :

  • Bibliothèque : filtrez la liste des bibliothèques Java par bibliothèque d'applications
  • Score CVSS le plus élevé : filtrez la liste des bibliothèques Java par score CVSS
  • Niveau de confiance : filtrez la liste des bibliothèques Java par niveau de confiance

Utilisez la liste déroulante Filtres appliqués pour sélectionner la période requise pour l'affichage des ressources. Par défaut, les ressources appartenant aux 7 derniers jours s'affichent.

Vous pouvez personnaliser les colonnes de table à l'aide de l'icône Gérer les colonnes.

Les informations suivantes sur les bibliothèques Java sont présentées dans le tableau :

  • Bibliothèque : bibliothèques Java d'application détectées lors de l'analyse
  • Version : numéro de version de la bibliothèque Java
  • Vulnérabilités : un ensemble de vulnérabilités, chacune identifiée par un ID de conseil de sécurité (GHSA) GitHub ou un numéro d'ID CVE (Common Vulnerabilities and Exposures). Il s'agit d'un qualificatif unique affecté lorsqu'un conseil est créé sur GitHub ou ajouté à la base de données de conseil GitHub à partir de l'une des sources prises en charge. Sélectionnez le lien associé pour visualiser les détails sur le site GitHub Security Advisory (https://github.com/advisories) ou le site National Vulnerability Database (NVD) (https://nvd.nist.gov/vuln), respectivement.
  • Score CVSS le plus élevé : le système de notation CVSS est une indication de la vulnérabilité de sécurité associée au score. JMS utilise le système de notation CVSS version 3.0. Les scores sont fournis par la base de données nationale sur les vulnérabilités et indiquent ce qui suit :
    • 7 - 10 : cette bibliothèque comporte des vulnérabilités présentant la gravité Elevée.
    • 4 - 6.9 : cette bibliothèque comporte des vulnérabilités présentant la gravité Moyenne.
    • 0.1 - 3.9 : cette bibliothèque comporte des vulnérabilités présentant la gravité Faible.
    • 0 : cette bibliothèque ne comporte aucune vulnérabilité.
    • Unknown : la gravité des vulnérabilités dans cette bibliothèque est inconnue. Il pourrait y avoir un manque d'informations nécessaires pour déterminer les scores CVSS, mais cela ne garantit pas qu'il n'y a aucune vulnérabilité.
      Remarque

      • Les bibliothèques Java sont identifiées à l'aide d'une analyse statique basée sur des signatures bien connues, qui peuvent manquer des bibliothèques intentionnellement brouillées ou moins connues. L'analyse des bibliothèques Java n'a peut-être pas identifié toutes les dépendances de bibliothèque de l'application.
      • L'analyse peut ne pas avoir identifié toutes les vulnérabilités.
      • Les informations sur les vulnérabilités dans les bibliothèques identifiées qui ont été actualisées pour la dernière fois il y a cinq heures pourraient avoir des informations obsolètes. Pour détecter ces nouvelles vulnérabilités, nous vous recommandons d'effectuer fréquemment l'analyse des bibliothèques Java.

      Par conséquent, les résultats de l'analyse ne doivent pas être traités comme absolus. Vous devrez peut-être exécuter d'autres analyses de sécurité.

  • Niveau de confiance : niveau de confiance de la détection des vulnérabilités dans une bibliothèque.
    • Elevé : confiance élevée dans l'identification des vulnérabilités de la bibliothèque car l'ID de groupe de la bibliothèque était présent
    • Moyen : confiance moyenne dans l'identification des vulnérabilités de la bibliothèque car l'ID de groupe de la bibliothèque était absent et un ID de groupe dérivé a été utilisé
    • Faible : faible confiance dans l'identification des vulnérabilités de la bibliothèque car l'ID de groupe de la bibliothèque était absent et ne pouvait pas dériver un ID de groupe
  • Détecté dynamiquement : indique si la bibliothèque a été chargée dynamiquement par vos applications lors de l'exécution.
  • Application déployée : applications déployées qui utilisent les bibliothèques.
  • Instance gérée : nombre d'instances dans lesquelles les bibliothèques ont été détectées
  • Premier rapport : date et heure auxquelles les bibliothèques ont été détectées pour la première fois
  • Dernière déclaration : date et heure de la dernière déclaration des bibliothèques

Dans le menu Actionsicône de points de suspension verticaux, sélectionnez Afficher toutes les vulnérabilités. La page Vulnérabilités s'ouvre et inclut un tableau qui affiche les vulnérabilités et le score CVSS.

Dans le champ Articles par page, choisissez 10, 25, 50 ou 100 éléments à afficher. Sélectionnez l'en-tête d'une colonne pour trier la liste en fonction du titre de la colonne.

Sélectionnez le nom de la bibliothèque pour afficher les détails. Reportez-vous à Java Library Information.