• ログイン今すぐ開始

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

セキュリティの脆弱性で識別されたJavaエージェント

問題

セキュリティスキャンが実行されると、New Relic Javaエージェント( newrelic.jar )の脆弱性が報告されます。

原因

どのソフトウェア製品にもセキュリティの脆弱性がある可能性がありますが、New Relic Javaエージェントは、エージェントの一部であるインストルメンテーションjarファイルが原因で、ファイル内の特定の文字列パターンをスキャンするセキュリティ製品によって誤って識別される可能性があります。

instrumentationパッケージのモジュールは、計測するように設計されたソフトウェアフレームワークにちなんで名付けられています。これらは、エージェントjarファイルnewrelic.jar内にJARファイルとしてパッケージ化されています。一部のセキュリティスキャンツールは、これらの名前を検出し、それが単なるインストルメンテーションモジュールである場合、実際のソフトウェアフレームワーク自体であると解釈します。

newrelic.jarファイル内のすべてのjarファイルに対する警告は誤検知であるため、抑制する必要があります。

解決策

スキャンツールを使用して、 newrelic.jarファイルのinstrumentationパッケージからの誤検知警告を抑制します。これには、NewRelicJavaエージェントリポジトリにリストされているモジュールと名前が一致するすべてのJARファイルが含まれます。

たとえば、 github.com / jeremylong / DependencyCheckDependencyCheckプロジェクトで発見された誤検知は、次の方法で抑制できます。

<suppress>
<notes><![CDATA[newrelic-agent false positives due to the instrumentation package]]></notes>
<filePath regex="true">.*newrelic-agent-.*\.jar[\\\/]instrumentation.*\.jar</filePath>
<cpe regex="true">.*
</suppress>

誤検知を防ぐための適切な設定については、セキュリティスキャンベンダーにご相談ください。

Copyright © 2022 New Relic株式会社。

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.