問題
セキュリティスキャンが実行されると、New Relic Javaエージェント( newrelic.jar )の脆弱性が報告されます。
原因
どのソフトウェア製品にもセキュリティ上の脆弱性が存在する可能性がありますが、New Relic Java エージェントはセキュリティ製品によって誤って識別される可能性があります。ファイル内の特定の文字列パターンをスキャンするセキュリティ製品は、エージェントの一部であるインスツルメンテーション モジュールに脆弱なライブラリとして誤ってフラグを付ける可能性があります。
これらのインスツルメンテーション モジュールは、インストルメンテーション用に設計されたソフトウェア フレームワークとそのバージョンにちなんで名付けられた JAR ファイルです。これらにはフレームワークのコードは含まれませんが、同じ名前のクラスが含まれる可能性があります。一部のセキュリティ スキャン ツールは、これらの名前/バージョンを検出し、それが単なる計測モジュールである場合に、実際のソフトウェア フレームワークそのものであると解釈します。
これらは、 instrumentationパッケージのnewrelic.jar内、またはinstrumentation-securityパッケージのnewrelic-security-agent.jar内にあります。
newrelic.jarまたはnewrelic-security-agent.jar内の jar ファイルに関する警告は誤検知であるため、抑制する必要があります。
解決
New Relic instrumentation instrumentation-security newrelic.jar newrelic-security-agent.jar New Relic SecurityAgent for Java 。
たとえば、 github.com / jeremylong / DependencyCheckのDependencyCheckプロジェクトで発見された誤検知は、次の方法で抑制できます。
<suppress> <notes><![CDATA[newrelic-agent false positives due to the instrumentation package]]></notes> <filePath regex="true">.*newrelic.*\.jar[\\\/]instrumentation.*\.jar</filePath> <cpe regex="true">.*</cpe></suppress>誤検知を防ぐための適切な設定については、セキュリティスキャンベンダーにご相談ください。