拡張使用量追跡
フリートで拡張使用状況トラッキング操作を有効にするには、拡張機能の有効化を参照してください。高度な使用状況追跡により、フリート内のJavaサーバーおよびJavaライブラリの使用状況を監視できます。
高度な使用状況追跡により、次のことが可能になります。
- フリートに関連付けられたJavaサーバーの詳細を表示します。これには、Javaサーバーにデプロイされたアプリケーション、Javaサーバーがデプロイされている管理対象サーバーおよび管理対象インスタンスが含まれます。
- National Vulnerability Databaseによって報告されたライブラリおよび関連する共通脆弱性スコアリング・システム(CVSS)のスコアを検出します。
拡張使用トラッキングを有効にすると、次のようにアクティブになります。
スキャンを開始すると、エージェントはフリート内のJavaサーバーおよびJavaライブラリをそれぞれ検索します。JMSは、それぞれの管理エージェントがスキャン・リクエストを受信したときに、管理対象インスタンスによって使用されるサーバーおよびライブラリをレポートします。
使用するスキャンを決定する
静的スキャンは、通常、アプリケーションが使用する直接的で既知のライブラリのほとんどを見つけるのに十分です。動的スキャンは、実行時にどのライブラリまたはパッケージがアクティブに使用されているかを確認するのに役立ちます。
静的スキャン: 標準静的スキャンでは、アプリケーション・パッケージ(JAR/WAR/EAR)とそのクラスパスを分析して、フリート内のライブラリ依存関係のリストを構築します。これは、コードの1行で使用されていなくても、どのライブラリが依存関係として宣言されているかを示します。このプロセスは、多くの場合、「到達可能」または「インポート済」と呼ばれます。
動的スキャン: 実行時にアプリケーションを監視することで、動的スキャンによって、実行パス中に実際にロード、実行およびコールされるライブラリが確認されます。これは、実行されないライブラリの脆弱性が、アクティブに使用されているライブラリよりもはるかに低いリスクをもたらすため、優先順位付けに不可欠です。
これらは、様々な時間および様々なアーティファクトまたはソースで動作する補完的なメソッドです。
次のユースケースを参照してください。
| 機能 | 静的スキャン | 動的スキャン |
|---|---|---|
| スキャン対象 | 実行中のアプリケーションおよびパッケージ(JAR/WAR/EAR)から導出されたクラスパス | 静的スキャンの詳細に加えて、実行中のアプリケーション(実行中のコード) |
| 結果 | 宣言されたすべての(直接および推移的な)依存関係を検索します。 | アプリケーション・インスタンスの存続期間中に実行されたパスでアクティブに使用されるライブラリを検索します。 |
| フォーカス | 既知のライブラリの脆弱性(CVE)。 | 実行されたパス中に使用されたライブラリをレポートする時間ベース。 |
2つのスキャンの間のクライアント・システムの影響は、静的スキャンと比較して動的スキャンのオーバーヘッドが増加することです。