9.7. Gérer les mises à jour de sécurité pour les dépendances groupées au sein d'applications déployées dans JBoss EAP

Red Hat fournit des correctifs de sécurité pour tous les composants qui font partie de la distribution de JBoss EAP. Cependant, beaucoup d'utilisateurs de JBoss EAP déploient des applications qui regroupent leurs propres dépendances, plutôt que d'utiliser exclusivement des composants fournis dans le cadre de la distribution JBoss EAP. Par exemple, un fichier WAR déployé peut inclure des JAR de dépendance dans le répertoire WEB-INF/lib/. Ces JAR sont hors de portée des correctifs de sécurité fournis par Red Hat. La gestion des mises à jour de sécurité pour les dépendances groupées à l'intérieur des applications déployées sur JBoss EAP est la responsabilité des spécialistes de la maintenance des applications. Les sources de données et outils suivants peuvent contribuer à cet effort et sont fournis sans garantie ni support.

Outils et Sources de données

Listes de diffusion pour le patch JBoss
S'abonner aux listes de diffusion de patch de JBoss vous tiendra informé au sujet des failles de sécurité qui ont été corrigées dans les produits JBoss, et vous permettra de vérifier si vos applications déployées regroupent des versions vulnérables des composants concernés.
Page consultative de sécurité pour les composants regroupés.
De nombreux composants open source ont leur propre page consultative de sécurité. Par exemple, Struts 2 est un composant couramment utilisé pour de nombreux problèmes de sécurité connus, qui n'est pas fourni dans la distribution de JBoss EAP. Le projet Struts 2 tient à jour une page consultative de sécurité en amont, qui doit être surveillée si vos applications déployées sont regroupées avec Struts 2. De nombreux composants fournis commercialement maintiennent également des pages consultatives de sécurité.
Scannez régulièrement votre applications déployées pour les vulnerabilités connues
Il existe plusieurs outils commerciaux disponibles pour ce faire. Il y a également un outil open source appelé Victims, qui est développé par les employés de Red Hat, mais qui est livré sans appui, ni garantie. Victims fournit des plugins pour plusieurs outils de génération et d'intégration, qui analysent automatiquement les applications pour les regroupements connus pour leur vulnérabilité aux dépendances. Il existe des plugins Maven, Ant et Jenkins. Pour plus d'informations sur l'outil Victims, voir https://victi.ms/about.html.

Voir également :

Rapporter un bogue