Verificar Bibliotecas Java
O rastreamento de uso avançado detecta bibliotecas associadas ao Aplicativo e ao Aplicativo Implantado na frota e fornece informações de vulnerabilidade de segurança, se houver. Ele pode detectar o uso associado às distribuições Oracle JDK e OpenJDK.
As bibliotecas Java podem ser verificadas usando uma verificação dinâmica ou uma verificação estática:
- Detecta bibliotecas carregadas dinamicamente por seus aplicativos no runtime.
- Ajuda a identificar e compreender bibliotecas Java de terceiros usadas ativamente pelos seus aplicativos.
Varredura estática:
- Obtém todos os jars do caminho da classe (obtidos das propriedades do sistema). A verificação do caminho da classe depende do caminho de inclusão e exclusão configurado nas definições do agente.
- Lê os arquivos de manifesto de cada JAR para identificar dependências.
- Analisa arquivos
pom
para determinar dependências de primeiro nível. - Para implantações do servidor de aplicativos, examina todas as dependências dentro dos pacotes war e ear.
Para frascos sombreados, somente o arquivo
pom
, se houver, será verificado. Como os detalhes sobre os arquivos dependent jar
não estão disponíveis, a Verificação de Bibliotecas Java não fornece detalhes do manifesto JAR.
- Talvez a verificação de Bibliotecas Java não tenha identificado todas as dependências de biblioteca do aplicativo.
- A análise pode não ter identificado todas as vulnerabilidades.
- Pode haver novas vulnerabilidades que afetam seu aplicativo à medida que os dados são atualizados no Banco de Dados Nacional de Vulnerabilidade semanalmente. Para detectar novas vulnerabilidades, recomendamos que você execute a verificação de bibliotecas Java com frequência.
Os resultados da análise não devem ser tratados como absolutos. Talvez seja necessário realizar análises ou investigações adicionais.
Você pode iniciar a varredura usando um dos seguintes métodos:
- No painel de detalhes da Frota, selecione Ações e escolha Verificar bibliotecas Java.
- Na página de detalhes Instâncias gerenciadas, selecione Ações e escolha Verificar bibliotecas Java.
- Em qualquer guia Instâncias gerenciadas, selecione as instâncias gerenciadas desejadas marcando as respectivas caixas na tabela Instâncias gerenciadas. Em seguida, selecione Ações e escolha Verificar bibliotecas Java.
A verificação pode causar alta utilização de CPU e memória em instâncias gerenciadas.
- Para uma verificação dinâmica, especifique o período durante o qual detectar aplicativos em execução. Você pode definir essa duração em minutos ou horas, com um máximo de 24 horas. Por padrão, o período de gravação é de 10 minutos. Essa duração determina por quanto tempo os agentes monitorarão cada aplicativo em execução detectado.
- Uma varredura estática não é executada por um período de tempo, mas captura um snapshot das bibliotecas Java presentes no caminho da classe no momento da varredura. Uma análise estática pode perder bibliotecas que são carregadas dinamicamente no runtime e depende da detecção de assinaturas de biblioteca bem conhecidas, portanto, pode não identificar bibliotecas intencionalmente ofuscadas ou menos conhecidas.
- Se a definição Registrar uso da Biblioteca Java estiver ativada, os agentes verificarão periodicamente as instâncias gerenciadas para descobrir automaticamente vulnerabilidades nas bibliotecas Java usadas pelos aplicativos. Nesse caso, não é necessário executar manualmente a ação Verificar biblioteca Java. Para obter insights adicionais sobre seus servidores de aplicativos, você ainda pode executar uma verificação estática sob demanda.
- A varredura dinâmica suporta apenas aplicativos, enquanto a varredura estática suporta aplicativos e servidores de aplicativos.
- Submeter solicitação: a solicitação de serviço será enviada para processamento imediato.
- Programação para mais tarde: a solicitação de serviço pode ser programada para processamento em uma data e hora especificadas. Além disso, é possível configurar uma frequência de recorrência, juntamente com uma data de término ou um número definido de ocorrências.
Uma solicitação de serviço é criada para esta operação. Se você tiver programado a análise para uma data e hora posteriores, poderá exibir a tarefa na guia Tarefas Programadas.
Consulte o painel Bibliotecas Java e Informações da Biblioteca Java para revisar os resultados da verificação de bibliotecas Java.