3.2.6. JBoss EAP にデプロイされたアプリケーション内にバンドルされた依存関係のセキュリティー更新の管理

ツールとデータソース

JBoss パッチメーリングリスト

JBoss パッチメーリングリストにサブスクライブすると、JBoss 製品で修正されたセキュリティー上の欠陥に関する情報が得られ、デプロイされたアプリケーションが影響を受けるコンポーネントの脆弱なバージョンにバンドルされているかどうかを確認できます。

バンドルされたコンポーネントのセキュリティーアドバイザリーページ

多くのオープンソースコンポーネントには、独自のセキュリティーアドバイザリーページがあります。たとえば、Struts 2 は一般的に使用されるコンポーネントであり、JBoss EAP ディストリビューションの一部として提供されていない多くの既知のセキュリティー問題があります。Struts 2 プロジェクトは、アップストリームのセキュリティーアドバイザリーページを維持しています。デプロイされたアプリケーションが Struts2 をバンドルしている場合、このページを監視する必要があります。多くの市販コンポーネントもセキュリティーアドバイザリーページを維持しています。

定期スキャンによるデプロイされたアプリケーションにおける既知の脆弱性の確認

これは、いくつかの市販ツールを使用して実行できます。Victims と呼ばれるオープンソースツールもあります。これは Red Hat の従業員によって開発されましたが、サポートや保証はありません。Victims は、いくつかのビルドおよびインテグレーションツール用のプラグインを提供します。これらのツールは、既知の脆弱な依存関係をバンドルするためにアプリケーションを自動的にスキャンします。プラグインは、Maven、Ant、および Jenkins で使用できます。Victims ツールの詳細については、https://victi.ms/about.html を参照してください。