Oracle Cloud Infrastructureドキュメント

Javaライブラリのスキャン

拡張使用状況トラッキングは、フリート内のアプリケーションデプロイ済アプリケーションの両方に関連付けられたライブラリを検出し、セキュリティ脆弱性情報(ある場合)を提供します。Oracle JDKディストリビューションとOpenJDKディストリビューションの両方に関連する使用状況を検出できます。

Javaライブラリは、動的スキャンまたは静的スキャンのいずれかを使用してスキャンできます。

動的スキャン:
  1. 実行時にアプリケーションによって動的にロードされたライブラリが検出されます。
  2. アプリケーションでアクティブに使用されているサード・パーティのJavaライブラリを識別して理解するのに役立ちます。

静的スキャン:

  1. クラス・パス(システム・プロパティから取得)からすべてのjarを取得します。クラス・パス・スキャンは、エージェント設定で構成されているインクルード・パスと除外パスによって異なります。
  2. 依存関係を識別するために、各JARのマニフェスト・ファイルを読み取ります。
  3. pomファイルを分析して、第1レベルの依存性を判断します。
  4. アプリケーション・サーバー・デプロイメントの場合、warおよびearパッケージ内のすべての依存関係を調べます。
ノート

網掛けjarの場合、pomファイル(ある場合)のみがスキャンされます。dependent jarファイルの詳細は使用できないため、JavaライブラリのスキャンではJARマニフェストの詳細は提供されません。
ライブラリスキャンでは、各ライブラリに関連付けられたすべてのアプリケーションの詳細と脆弱性情報を提供することもできます。脆弱性情報および共通脆弱性スコアリング・システム(CVSS)スコアは、National Vulnerability Databaseによって提供されます。検出されたCommon Vulnerabilities and Exposures (CVE)のCVSS 3.0ベース・スコアが表示されます。情報とスコアは、ライブラリの名前に一致することによって識別されます。
ノート

  • Javaライブラリのスキャンでは、アプリケーションのすべてのライブラリ依存性が特定されていない可能性があります。
  • 分析では、すべての脆弱性が特定されていない可能性があります。
  • データが毎週National Vulnerability Databaseからリフレッシュされるため、アプリケーションに影響を及ぼす新しい脆弱性がある可能性があります。新しい脆弱性を検出するには、Javaライブラリのスキャンを頻繁に実行することをお薦めします。

分析の結果は絶対的なものとして扱われません。追加の分析または調査を実行する必要がある場合があります。

スキャンを開始するには、次のいずれかの方法を使用します。

  • 「フリート詳細」パネルで、「アクション」を選択し、「Javaライブラリのスキャン」を選択します。
  • 「管理対象インスタンス」詳細ページで、「アクション」を選択し、「Javaライブラリのスキャン」を選択します。
  • 「管理対象インスタンス」タブから、「管理対象インスタンス」表の各ボックスを選択して、目的の管理対象インスタンスを選択します。次に、「アクション」を選択し、「Javaライブラリのスキャン」を選択します。
ノート

スキャンによって、管理対象インスタンスのCPUおよびメモリー使用率が高くなる場合があります。
「スキャン・オプションの選択」セクションで、「動的スキャンの実行」または「静的スキャンの実行」を選択します。
  • 動的スキャンの場合は、実行中のアプリケーションを検出する期間を指定します。この期間は、最大24時間で分または時間単位で設定できます。デフォルトでは、記録期間は10分です。この期間は、エージェントが、検出された実行中の各アプリケーションをモニターする期間を決定します。
  • 静的スキャンは一定期間実行されず、かわりに、スキャンの時点でクラス・パスに存在するJavaライブラリのスナップショットを取得します。静的分析では、実行時に動的にロードされるライブラリが見逃され、既知のライブラリ署名の検出に依存するため、意図的に不明瞭化されたライブラリやあまり知られていないライブラリが識別されない場合があります。
ノート

  • 「Javaライブラリ使用状況の記録」設定が有効になっている場合、エージェントは定期的に管理対象インスタンスをスキャンして、アプリケーションで使用されるJavaライブラリの脆弱性を自動的に検出します。この場合、「Scan for Java library」アクションを手動で実行する必要はありません。アプリケーション・サーバーに関する追加のインサイトを取得するために、オンデマンドの静的スキャンを実行できます。
  • 動的スキャンではアプリケーションのみがサポートされ、静的スキャンではアプリケーションとアプリケーションサーバーの両方がサポートされます。
次のいずれかのオプションを使用して、作業リクエストを送信できます。
  • 要求の発行: 作業要求はただちに処理のために発行されます。
  • 後のスケジュール: 作業リクエストは、指定した日時に処理するようにスケジュールできます。また、繰返し頻度は、終了日または定義された発生数のいずれかとともに構成できます。

この操作に対して作業リクエストが作成されます。分析を後でスケジュールした場合は、「スケジュール済タスク」タブでタスクを表示できます。

Javaライブラリのスキャン結果を確認するには、「Javaライブラリ」パネルおよび「Javaライブラリ情報」を参照してください。