Javaライブラリの検索
高度な使用状況トラッキングは、フリート内のアプリケーションとデプロイ済アプリケーションの両方に関連付けられたライブラリを検出し、セキュリティ脆弱性情報(ある場合)を提供します。Oracle JDKとOpenJDKの両方のディストリビューションに関連する使用状況を検出できます。
Javaライブラリは静的分析を使用してスキャンされ、動的にロードされるライブラリは識別されません。静的スキャン:
- クラスパスからすべてのjarを取得します(システム・プロパティから取得)。クラス・パス・スキャンは、エージェント設定で構成されている包含および除外パスによって異なります。
- クラスパス内のすべてのjarのマニフェストを読み取り、考えられるすべての依存性をロードします。
pomファイルを読み取り、第1レベルの依存関係を取得します。- アプリケーション・サーバー・デプロイメントの場合、
warまたはearパッケージ内のすべての依存関係をスキャンします
ノート
網掛けjarの場合、
網掛けjarの場合、
pomファイル(ある場合)のみがスキャンされます。dependent JARファイルの詳細は使用できないため、JavaライブラリのスキャンではJARマニフェストの詳細が提供されません。
ライブラリ・スキャンでは、各ライブラリに関連付けられているすべてのアプリケーションの詳細と脆弱性情報も提供できます。脆弱性情報および共通脆弱性スコアリング・システム(CVSS)のスコアは、National Vulnerability Databaseによって提供されます。検出された共通脆弱性(CVE)のCVSS 2.0ベース・スコアが表示されます。情報とスコアは、ライブラリの名前と一致することによって識別されます。
ノート
- Javaライブラリのスキャンで、アプリケーションのすべてのライブラリ依存関係が識別されていない可能性があります。
- 分析によってすべての脆弱性が識別されていない可能性があります。
- データは毎週National Vulnerability Databaseから更新されるため、アプリケーションに影響を与える新しい脆弱性がある可能性があります。新しい脆弱性を検出するには、Javaライブラリのスキャンを頻繁に実行することをお薦めします。
分析の結果は絶対として扱われません。追加の分析または調査の実行が必要になる場合があります。
次のいずれかの方法でスキャンを開始できます。
- 「フリートの詳細」パネルで、「Javaライブラリのスキャン」をクリックします。
- フリート詳細ページの「リソース」セクションで、「管理対象インスタンス」にナビゲートします。「管理対象インスタンス」表のそれぞれのボックスを選択して、目的の管理対象インスタンスを選択します。次に、「アクション」をクリックし、「Javaライブラリのスキャン」を選択します。
- フリート詳細ページの「リソース」セクションで、「管理対象インスタンス」にナビゲートします。「管理対象インスタンス」表で、Javaランタイムをインストールする特定の管理対象インスタンスを見つけます。管理対象インスタンスをクリックしてその詳細ページにアクセスし、「Javaライブラリのスキャン」をクリックします。
ノート
スキャンによって、管理対象インスタンスで高いCPUおよびメモリー使用率が発生する可能性があります。
スキャンによって、管理対象インスタンスで高いCPUおよびメモリー使用率が発生する可能性があります。
操作の進行状況またはステータスは、「作業リクエスト」モジュールから表示できます。
Javaライブラリのスキャンの結果を確認するには、「Javaライブラリ」パネルおよび「Javaライブラリ詳細」を参照してください。