Oracle Cloud Infrastructureドキュメント

Javaライブラリの検索

高度な使用状況トラッキングは、フリート内のアプリケーションデプロイ済アプリケーションの両方に関連付けられたライブラリを検出し、セキュリティ脆弱性情報(ある場合)を提供します。Oracle JDKとOpenJDKの両方のディストリビューションに関連する使用状況を検出できます。

Javaライブラリは、動的スキャンまたは静的スキャンを使用してスキャンできます。

動的スキャン:
  1. 実行時にアプリケーションによって動的にロードされたライブラリを検出します。
  2. アプリケーションでアクティブに使用されているサードパーティのJavaライブラリを識別および理解するのに役立ちます。

静的スキャン:

  1. クラスパスからすべてのjarを取得します(システム・プロパティから取得)。クラス・パス・スキャンは、エージェント設定で構成されている包含および除外パスによって異なります。
  2. 各JARのマニフェスト・ファイルを読み取り、依存関係を識別します。
  3. pomファイルを分析して、第1レベルの依存関係を確認します。
  4. アプリケーション・サーバー・デプロイメントの場合は、warパッケージおよびearパッケージ内のすべての依存関係を調べます。
ノート

網掛けjarの場合、pomファイル(ある場合)のみがスキャンされます。dependent JARファイルの詳細は使用できないため、JavaライブラリのスキャンではJARマニフェストの詳細が提供されません。
ライブラリスキャンでは、各ライブラリに関連付けられたすべてのアプリケーションの詳細と脆弱性情報を提供することもできます。脆弱性情報および共通脆弱性スコアリング・システム(CVSS)スコアは、National Vulnerability Databaseによって提供されます。CVSS 3.0の基本スコアは、検出された共通脆弱性(CVE)に対して表示されます。情報とスコアは、ライブラリの名前と一致することによって識別されます。
ノート

  • Javaライブラリのスキャンで、アプリケーションのすべてのライブラリ依存関係が識別されていない可能性があります。
  • 分析によってすべての脆弱性が識別されていない可能性があります。
  • データは毎週National Vulnerability Databaseから更新されるため、アプリケーションに影響を与える新しい脆弱性がある可能性があります。新しい脆弱性を検出するには、Javaライブラリのスキャンを頻繁に実行することをお薦めします。

分析の結果は絶対として扱われません。追加の分析または調査の実行が必要になる場合があります。

次のいずれかの方法でスキャンを開始できます。

  • 「フリートの詳細」パネルで、「アクション」を選択し、「Javaライブラリのスキャン」を選択します。
  • 「管理対象インスタンス」の詳細ページで、「アクション」を選択し、「Javaライブラリのスキャン」を選択します。
  • 任意の「管理対象インスタンス」タブで、「管理対象インスタンス」表の各ボックスを選択して、目的の管理対象インスタンスを選択します。次に、「アクション」を選択し、「Javaライブラリのスキャン」を選択します。
ノート

スキャンによって、管理対象インスタンスで高いCPUおよびメモリー使用率が発生する可能性があります。
スキャン・オプションの選択セクションで、「動的スキャンの実行」または「静的スキャンの実行」を選択します。
  • 動的スキャンの場合は、実行中のアプリケーションを検出する期間を指定します。この期間は分数または時間数で設定でき、最大24時間です。デフォルトでは、記録期間は10分です。この期間は、検出された実行中の各アプリケーションをエージェントがモニターする期間を決定します。
  • 静的スキャンは一定期間実行されず、スキャンの時点でクラス・パスに存在するJavaライブラリのスナップショットを取得します。静的分析では、実行時に動的にロードされ、既知のライブラリ署名の検出に依存するライブラリが見つからない可能性があるため、意図的に不明瞭化されたライブラリやあまり知られていないライブラリを特定できない場合があります。
ノート

  • 「Javaライブラリの使用状況を記録」設定が有効になっている場合、エージェントは定期的に管理対象インスタンスをスキャンして、アプリケーションで使用されるJavaライブラリの脆弱性を自動的に検出します。この場合、Javaライブラリのスキャン・アクションを手動で実行する必要はありません。アプリケーション・サーバーに関する追加のインサイトを取得するために、オンデマンドの静的スキャンを実行できます。
  • 動的スキャンではアプリケーションのみがサポートされ、静的スキャンではアプリケーションとアプリケーション・サーバーの両方がサポートされます。
次のいずれかのオプションを使用して、作業リクエストを発行できます。
  • 要求の発行: 作業要求はただちに処理のために発行されます。
  • 後のスケジュール: 作業要求は、指定した日時での処理をスケジュールできます。また、繰返し頻度を終了日または定義された発生数とともに構成できます。

この操作に対して作業リクエストが作成されます。分析を後日スケジュールした場合は、「スケジュール済タスク」タブでタスクを表示できます。

Javaライブラリのスキャン結果を確認するには、「Javaライブラリ」パネルおよび「Javaライブラリ情報」を参照してください。