問題
セキュリティスキャンが実行されると、New Relic Javaエージェント( newrelic.jar
)の脆弱性が報告されます。
原因
どのソフトウェア製品にもセキュリティの脆弱性がある可能性がありますが、New Relic Javaエージェントは、エージェントの一部であるインストルメンテーションjarファイルが原因で、ファイル内の特定の文字列パターンをスキャンするセキュリティ製品によって誤って識別される可能性があります。
instrumentation
パッケージのモジュールは、計測するように設計されたソフトウェアフレームワークにちなんで名付けられています。これらは、エージェントjarファイルnewrelic.jar
内にJARファイルとしてパッケージ化されています。一部のセキュリティスキャンツールは、これらの名前を検出し、それが単なるインストルメンテーションモジュールである場合、実際のソフトウェアフレームワーク自体であると解釈します。
newrelic.jar
ファイル内のすべてのjarファイルに対する警告は誤検知であるため、抑制する必要があります。
解決策
スキャンツールを使用して、 newrelic.jar
ファイルのinstrumentation
パッケージからの誤検知警告を抑制します。これには、NewRelicJavaエージェントリポジトリにリストされているモジュールと名前が一致するすべてのJARファイルが含まれます。
たとえば、 github.com / jeremylong / DependencyCheckのDependencyCheck
プロジェクトで発見された誤検知は、次の方法で抑制できます。
<suppress> <notes><![CDATA[newrelic-agent false positives due to the instrumentation package]]></notes> <filePath regex="true">.*newrelic-agent-.*\.jar[\\\/]instrumentation.*\.jar</filePath> <cpe regex="true">.*</suppress>
誤検知を防ぐための適切な設定については、セキュリティスキャンベンダーにご相談ください。