このツールについて

開発者は、maven などの Java ビルドシステムを使用して、サードパーティコンポーネントの複雑なツリーをアプリケーションに組み込むことができますが、これにより、既知の脆弱性を持つコンポーネントを使用する可能性があります。この問題に対処するために、Red Hat セキュリティチームが管理する victims project に基づいて作成された Java Embedded Vulnerability Detector では、開発、リリース、およびプロダクション環境と比較するための、既知の脆弱性が含まれる JAR ファイルとツールのデータベースを提供しています。

アプリケーションで作成され AGPL に配信された victims プロジェクトのコードなど、このアプリケーションに関連するソースコードは github で入手できます。

使用方法

表示されたフォームで脆弱性問題について解析するファイルを選択します。現在は、JAR および Class ファイルがサポートされます。検出された脆弱性は、Vulnerability Information パネルに、関連する CVE 情報とともに表示されます。

その他にも、お使いのマシンのコマンドラインで、スタンドアロンで実行できる Java JAR バージョンをダウンロードすることもできます。ダウンロード可能な JAR とその使用方法については、アプリケーションページで確認できます。