문제
보안 스캔이 수행되면 New Relic Java 에이전트( newrelic.jar )에 대한 취약점을 다시 보고합니다.
원인
모든 소프트웨어 제품에는 보안 취약성이 있을 수 있지만 New Relic Java 에이전트는 에이전트의 일부인 계측 jar 파일로 인해 파일의 특정 문자열 패턴을 검색하는 보안 제품에 의해 잘못 식별될 수 있습니다.
instrumentation 패키지의 모듈은 계측하도록 설계된 소프트웨어 프레임워크의 이름을 따서 명명되었습니다. 에이전트 jar 파일 newrelic.jar 내에 JAR 파일로 패키지됩니다. 일부 보안 검색 도구는 이러한 이름을 감지하고 이것이 단지 계측 모듈일 때 실제 소프트웨어 프레임워크 자체로 해석합니다.
newrelic.jar 파일 내의 모든 jar 파일에 대한 경고는 가양성이며 표시되지 않아야 합니다.
해결책
New Relic Java 에이전트 저장소 에 나열된 모듈과 이름이 일치하는 모든 JAR 파일을 포함하여 검색 도구를 사용하여 newrelic.jar 파일의 instrumentation 패키지에서 오는 오탐지 경고를 억제합니다.
예를 들어 github.com/jeremylong/DependencyCheck 의 DependencyCheck 프로젝트에서 발견한 오탐지는 다음을 사용하여 억제할 수 있습니다.
<suppress> <notes><![CDATA[newrelic-agent false positives due to the instrumentation package]]></notes> <filePath regex="true">.*newrelic-agent-.*\.jar[\\\/]instrumentation.*\.jar</filePath> <cpe regex="true">.*</suppress>가양성을 억제하기 위한 적절한 구성에 대해서는 보안 스캔 공급업체에 문의하십시오.