• /
  • EnglishEspañolFrançais日本語한국어Português
  • Se connecterDémarrer

Cette traduction automatique est fournie pour votre commodité.

En cas d'incohérence entre la version anglaise et la version traduite, la version anglaise prévaudra. Veuillez visiter cette page pour plus d'informations.

Créer un problème

agent Java identifié avec des failles de sécurité

Problème

Lorsqu'une analyse de sécurité est effectuée, elle signale des vulnérabilités pour l'agent Java New Relic (newrelic.jar).

Cause

Bien que tout produit logiciel puisse potentiellement présenter des vulnérabilités de sécurité, l’agent Java New Relic peut être identifié par erreur par les produits de sécurité. Les produits de sécurité qui recherchent certains modèles de chaîne dans les fichiers peuvent signaler par erreur les modules instrumentation qui font partie de l'agent comme bibliothèque vulnérable.

Ces modules instrumentation sont des fichiers JAR nommés d'après le framework logiciel conçu pour instrumenter et leurs versions. Ils ne contiennent pas de code du framework mais peuvent contenir des classes portant le même nom. Certains outils d'analyse de sécurité détectent ces noms/versions et les interprètent comme étant le véritable framework logiciel lui-même, alors qu'il s'agit simplement d'un module d'instrumentation.

Ils se trouvent à l'intérieur de newrelic.jar sous le package instrumentation , ou à l'intérieur de newrelic-security-agent.jar sous le package instrumentation-security .

Les avertissements pour tous les fichiers jar compris entre newrelic.jar ou newrelic-security-agent.jar sont des faux positifs et doivent être supprimés.

Solution

Supprimez les faux avertissements positifs provenant du instrumentation package dans newrelic.jar et du instrumentation-security package dans newrelic-security-agent.jar avec votre outil d'analyse, y compris tous les fichiers JAR dont les noms correspondent aux modules répertoriés dans l'agent Java de New Relic référentiel ou dans New Relic SecurityAgent for Java.

Par exemple, un faux positif découvert par le projet DependencyCheck sur github.com/jeremylong/DependencyCheck peut être supprimé avec :

<suppress>
    <notes><![CDATA[newrelic-agent false positives due to the instrumentation package]]></notes>
    <filePath regex="true">.*newrelic.*\.jar[\\\/]instrumentation.*\.jar</filePath>
    <cpe regex="true">.*</cpe>
</suppress>

Consultez votre fournisseur d’analyse de sécurité pour connaître la configuration appropriée pour supprimer les faux positifs.

Droits d'auteur © 2025 New Relic Inc.
RecrutementConditions de servicePolitique DMCAAvis de confidentialitéCookiesLoi britannique sur l'esclavage

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.