Red Hat Summit14.7. Gerenciamento das Atualizações de Segurança para Dependências de Agrupadas dentro dos Aplicativos Implantados no JBoss EAP
A Red Hat fornece patches de segurança para todos os componentes que fazem parte da distribuição do JBoss EAP. No entanto, muitos usuários do JBoss EAP implantam aplicativos que agrupam suas próprias dependências, ao invés de usarem exclusivamente componentes fornecidos como parte da distribuição do JBoss EAP. Por exemplo, um arquivo WAR implantado pode incluir dependência de JARs no diretório WEB-INF/lib. Esses JARs estão fora do escopo dos patches de segurança fornecidos pela Red Hat. O gerenciamento das atualizações de segurança agrupadas dentro dos aplicativos implantados no JBoss EAP são de responsabilidade dos mantedores dos aplicativos. As seguintes ferramentas e fontes de dados podem ajudá-lo neste assunto e são fornecidas sem nenhum suporte ou garantia.
Ferramentas e Fontes de Dados
- Listas de correio do patch
- A subscrição às listas do correio patch do JBoss irão mantê-los informados a respeito das falhas de segurança que foram corrigidas nos produtos, permitindo que você verifique se é que seus aplicativos implantados são agrupados em versões vulneráveis dos componentes afetados.
- A página de consulta sobre segurança para os componentes agrupados.
- Muitos componentes do código aberto possuem sua própria página de consulta sobre segurança. Por exemplo, struts é um componente comumente usado com muitos problemas conhecidos de segurança que não são fornecidos como parte da distribuição do JBoss EAP. O struts 2 mantém uma página de consulta sobre segurança, que pode ser monitorada caso os aplicativos implantados agrupam o struts 2. Muitos componentes fornecidos comercialmente também mantém as páginas de consulta de segurança.
- Realize o scan regularmente dos aplicativos implantados para as vulnerabilidades conhecidas
- Existem diversas ferramentas comerciais disponíveis para isto. Existe também uma ferramenta de código aberto chamada Victms, que é desenvolvida pelos funcionários da Red Hat, porém não possui suporte ou garantia. O Victms fornece plugins para diversas ferramentas de integração e construção, que automaticamente escaneia aplicativos para agrupamento das dependências vulneravelmente conhecidas. Os Plugins estão disponíveis para o Maven, Ant e Jenkins. Consulte https://victi.ms/about.html para maiores informações sobre a ferramenta Victms.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}