• English日本語한국어
  • ログイン今すぐ開始

この機械翻訳は参考用に提供されます。

英語版と翻訳版に矛盾がある場合は、英語版が優先されます。詳細については、 を参照してください。

問題を作成する

セキュリティの脆弱性で識別されたJavaエージェント

問題

セキュリティスキャンが実行されると、New Relic Javaエージェント( newrelic.jar )の脆弱性が報告されます。

原因

どのソフトウェア製品にもセキュリティの脆弱性がある可能性がありますが、New Relic Javaエージェントは、エージェントの一部であるインストルメンテーションjarファイルが原因で、ファイル内の特定の文字列パターンをスキャンするセキュリティ製品によって誤って識別される可能性があります。

instrumentationパッケージのモジュールは、計測するように設計されたソフトウェアフレームワークにちなんで名付けられています。これらは、エージェントjarファイルnewrelic.jar内にJARファイルとしてパッケージ化されています。一部のセキュリティスキャンツールは、これらの名前を検出し、それが単なるインストルメンテーションモジュールである場合、実際のソフトウェアフレームワーク自体であると解釈します。

newrelic.jarファイル内のすべてのjarファイルに対する警告は誤検知であるため、抑制する必要があります。

解決策

スキャンツールを使用して、 newrelic.jarファイルのinstrumentationパッケージからの誤検知警告を抑制します。これには、NewRelicJavaエージェントリポジトリにリストされているモジュールと名前が一致するすべてのJARファイルが含まれます。

たとえば、 github.com / jeremylong / DependencyCheckDependencyCheckプロジェクトで発見された誤検知は、次の方法で抑制できます。

<suppress>
<notes><![CDATA[newrelic-agent false positives due to the instrumentation package]]></notes>
<filePath regex="true">.*newrelic-agent-.*\.jar[\\\/]instrumentation.*\.jar</filePath>
<cpe regex="true">.*
</suppress>

誤検知を防ぐための適切な設定については、セキュリティスキャンベンダーにご相談ください。

Copyright © 2023 New Relic Inc.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.