Verificar Bibliotecas Java

O rastreamento de uso avançado detecta bibliotecas associadas ao Aplicativo e ao Aplicativo Implantado na frota e fornece informações de vulnerabilidade de segurança, se houver. Ele pode detectar o uso associado às distribuições Oracle JDK e OpenJDK.

As bibliotecas Java podem ser verificadas usando uma verificação dinâmica ou uma verificação estática:

Varredura dinâmica:
  1. Detecta bibliotecas carregadas dinamicamente por seus aplicativos no runtime.
  2. Ajuda a identificar e compreender bibliotecas Java de terceiros usadas ativamente pelos seus aplicativos.

Varredura estática:

  1. Obtém todos os jars do caminho da classe (obtidos das propriedades do sistema). A verificação do caminho da classe depende do caminho de inclusão e exclusão configurado nas definições do agente.
  2. Lê os arquivos de manifesto de cada JAR para identificar dependências.
  3. Analisa arquivos pom para determinar dependências de primeiro nível.
  4. Para implantações do servidor de aplicativos, examina todas as dependências dentro dos pacotes war e ear.
Observação

Para frascos sombreados, somente o arquivo pom, se houver, será verificado. Como os detalhes sobre os arquivos dependent jar não estão disponíveis, a Verificação de Bibliotecas Java não fornece detalhes do manifesto JAR.
Uma varredura de biblioteca também pode fornecer detalhes de todos os aplicativos associados a cada biblioteca, juntamente com informações de vulnerabilidade. As informações de vulnerabilidade e as pontuações do CVSS (Common Vulnerability Scoring System, Sistema de pontuação de vulnerabilidade comum) são fornecidas pelo National Vulnerability Database. A pontuação base do CVSS 3.0 é exibida para as CVEs (Common Vulnerabilities and Exposures, Vulnerabilidades e exposições comuns) detectadas. As informações e as pontuações são identificadas pela correspondência dos nomes da biblioteca.
Observação

  • Talvez a verificação de Bibliotecas Java não tenha identificado todas as dependências de biblioteca do aplicativo.
  • A análise pode não ter identificado todas as vulnerabilidades.
  • Pode haver novas vulnerabilidades que afetam seu aplicativo à medida que os dados são atualizados no Banco de Dados Nacional de Vulnerabilidade semanalmente. Para detectar novas vulnerabilidades, recomendamos que você execute a verificação de bibliotecas Java com frequência.

Os resultados da análise não devem ser tratados como absolutos. Talvez seja necessário realizar análises ou investigações adicionais.

Você pode iniciar a varredura usando um dos seguintes métodos:

  • No painel de detalhes da Frota, selecione Ações e escolha Verificar bibliotecas Java.
  • Na página de detalhes Instâncias gerenciadas, selecione Ações e escolha Verificar bibliotecas Java.
  • Em qualquer guia Instâncias gerenciadas, selecione as instâncias gerenciadas desejadas marcando as respectivas caixas na tabela Instâncias gerenciadas. Em seguida, selecione Ações e escolha Verificar bibliotecas Java.
Observação

A verificação pode causar alta utilização de CPU e memória em instâncias gerenciadas.
Na seção Selecionar suas opções de varredura, selecione Executar varredura dinâmica ou Executar varredura estática.
  • Para uma verificação dinâmica, especifique o período durante o qual detectar aplicativos em execução. Você pode definir essa duração em minutos ou horas, com um máximo de 24 horas. Por padrão, o período de gravação é de 10 minutos. Essa duração determina por quanto tempo os agentes monitorarão cada aplicativo em execução detectado.
  • Uma varredura estática não é executada por um período de tempo, mas captura um snapshot das bibliotecas Java presentes no caminho da classe no momento da varredura. Uma análise estática pode perder bibliotecas que são carregadas dinamicamente no runtime e depende da detecção de assinaturas de biblioteca bem conhecidas, portanto, pode não identificar bibliotecas intencionalmente ofuscadas ou menos conhecidas.
Observação

  • Se a definição Registrar uso da Biblioteca Java estiver ativada, os agentes verificarão periodicamente as instâncias gerenciadas para descobrir automaticamente vulnerabilidades nas bibliotecas Java usadas pelos aplicativos. Nesse caso, não é necessário executar manualmente a ação Verificar biblioteca Java. Para obter insights adicionais sobre seus servidores de aplicativos, você ainda pode executar uma verificação estática sob demanda.
  • A varredura dinâmica suporta apenas aplicativos, enquanto a varredura estática suporta aplicativos e servidores de aplicativos.
Você pode usar uma das seguintes opções para enviar a solicitação de serviço:
  • Submeter solicitação: a solicitação de serviço será enviada para processamento imediato.
  • Programação para mais tarde: a solicitação de serviço pode ser programada para processamento em uma data e hora especificadas. Além disso, é possível configurar uma frequência de recorrência, juntamente com uma data de término ou um número definido de ocorrências.

Uma solicitação de serviço é criada para esta operação. Se você tiver programado a análise para uma data e hora posteriores, poderá exibir a tarefa na guia Tarefas Programadas.

Consulte o painel Bibliotecas Java e Informações da Biblioteca Java para revisar os resultados da verificação de bibliotecas Java.