Oracle Cloud Infrastructureドキュメント

Javaライブラリ

「Javaライブラリ」を選択して、選択したフリートに関連付けられているJavaライブラリのリストを表示します。

次の表に、Javaライブラリのスキャン中に検出されたJavaライブラリを示します。

「Summary of detected libraries (Last 90 days)」セクションには、次の情報が表示されます。
  • 検出されたライブラリの合計数: 静的スキャンで識別されるクラスパスで見つかったライブラリの数。
  • 動的スキャンで検出されるライブラリ: 動的スキャンで識別される、実行時に使用されるライブラリの数。

Vulnerable library breakdown (last 90 days)は、ライブラリの数を脆弱性の重大度(高、中、低)別に要約します。

「検索とフィルタ」テキスト・フィールドでは、ドロップダウン・メニューを使用して、表示されるリソースをフィルタできます。使用可能なオプションは次のとおりです。

  • ライブラリ: アプリケーション・ライブラリでJavaライブラリのリストをフィルタします。
  • 最大CVSSスコア: CVSSスコアでJavaライブラリのリストをフィルタします。
  • 信頼度レベル: 信頼度レベルでJavaライブラリのリストをフィルタします。

「適用済フィルタ」ドロップダウンを使用して、リソースの表示に必要な期間を選択します。デフォルトでは、過去7日間のリソースが表示されます。

表の列は、「列の管理」アイコンを使用してカスタマイズできます。

次の表に、次のJavaライブラリ情報を示します。

  • ライブラリ: スキャン中に検出されたアプリケーションJavaライブラリ
  • Version: Javaライブラリのバージョン番号
  • 脆弱性: GitHub Security Advisory(GHSA)IDまたはCommon Vulnerabilities and Exposures(CVE)ID番号で識別される一連の脆弱性。これは、GitHubで新しいアドバイザが作成されたり、サポートされている任意のソースからGitHubアドバイザ・データベースに追加されたときに割り当てられる一意の修飾子です。関連するリンクを選択して、GitHubセキュリティ・アドバイザ(https://github.com/advisories)サイトまたはNational Vulnerability Database(NVD)(https://nvd.nist.gov/vuln)サイトの詳細を表示します。
  • CVSSスコアが最も高い: CVSSスコアリング・システムは、スコアに関連付けられたセキュリティ脆弱性を示します。JMSはCVSSバージョン3.0スコアリング・システムを使用します。スコアは、National Vulnerability Databaseによって提供され、次のことを示します。
    • 7 - 10: このライブラリに重大度「高」の脆弱性があります。
    • 4 - 6.9: このライブラリに「中」の重大度の脆弱性があります。
    • 0.1 - 3.9: このライブラリに重大度の脆弱性があります。
    • 0: このライブラリに脆弱性はありません。
    • Unknown: このライブラリの脆弱性の重大度は不明です。CVSSスコアの決定に必要な情報がない可能性がありますが、脆弱性がないことは保証されません。
      ノート

      • Javaライブラリは、既知のシグネチャに基づく静的分析を使用して識別されます。これは、意図的に不明瞭化されたライブラリまたはあまり知られていないライブラリがない可能性があります。Javaライブラリのスキャンで、アプリケーションのすべてのライブラリ依存関係が識別されていない可能性があります。
      • 分析によってすべての脆弱性が識別されていない可能性があります。
      • 5時間前に最後にリフレッシュされた識別されたライブラリの脆弱性に関する情報は、古い情報になる可能性があります。これらの新しい脆弱性を検出するには、Javaライブラリのスキャンを頻繁に実行することをお薦めします。

      したがって、分析の結果は絶対として扱われません。他のセキュリティ・スキャンを実行する必要がある場合があります。

  • 信頼度レベル: ライブラリ内の脆弱性の検出の信頼度レベル。
    • High: ライブラリのグループIDが存在する場合のライブラリの脆弱性の識別に対する高い信頼度
    • Medium: ライブラリのグループIDが存在せず、派生グループIDが使用されたために、ライブラリの脆弱性を特定する中程度の信頼度
    • Low: ライブラリのグループIDがなく、グループIDを導出できなかったため、ライブラリの脆弱性を識別する信頼性が低い
  • 動的に検出: 実行時にアプリケーションによってライブラリが動的にロードされたかどうかを示します。
  • デプロイ済アプリケーション: ライブラリを使用するデプロイ済アプリケーション
  • 管理対象インスタンス: ライブラリが検出されたインスタンスの数
  • 最初のレポート: ライブラリが最初に検出された日時
  • Last Report: ライブラリが最後に報告された日時

「アクション」メニュー垂直省略記号アイコンから、「すべての脆弱性の表示」を選択します。脆弱性ページが開き、脆弱性およびCVSSスコアを表示する表が表示されます。

「ページ当たりのアイテム数」フィールドで、表示するアイテムを10、25、50または100選択します。列のヘッダーを選択すると、列のタイトルに基づいてリストがソートされます。

詳細を表示するライブラリ名を選択します。Javaライブラリの情報を参照してください。