DevSecOps Talks@devsecops_weekly P.1321

DEVSECOPS_WEEKLY Telegram 1321

DevSecOps Talks

Runtime анализ с JAR Inspector

Всем привет!

«Используется ли артефакт, содержащий уязвимости, в промышленной среде?» - именно этот вопрос побудил Автора создать JAR Inspector. А еще Log4Shell, куда уж без него ☺️

Идея достаточно простая: создать решение, которое анализирует JVM, получает перечень всех загруженных JAR и подсказывает, какие из них используются, а какие – нет.

Результатом стал JAR Inspector, который:
🍭 Предоставляет информацию о JAR-файлах в режиме реального времени
🍭 Отображает все приложения и их зависимости (включая транзитивные) в едином окне
🍭 Показывает информацию о том, что загружено и что используется
🍭 Архитектура минималистична: небольшой агент, который получает информацию о JAR, HTTP-сервер и Web UI, который отображает информацию.

Запускается, в том числе, и через Docker, если хочется попробовать у себя.

Больше информации можно найти в статье и в GitHub-репозитории проекта.

Building a Runtime JAR inspector in 10 hours

Last Friday I was reviewing our backlog items in the Java Engineering Group, and found an idea we had when Log4Shell happened. To this day, there is still no main stream solution to “find in production where a given JAR is being used“. Why runtime truth matters…

👍7🔥2

www.tgoop.com/devsecops_weekly/1321

2.25K viewsSep 23 at 04:23

tgoop.com/devsecops_weekly/1321

Create: 2025-09-23
Last Update: 2025-10-21 11:31:03

Runtime анализ с JAR Inspector

Всем привет!

«Используется ли артефакт, содержащий уязвимости, в промышленной среде?» - именно этот вопрос побудил Автора создать JAR Inspector. А еще Log4Shell, куда уж без него ☺️

Идея достаточно простая: создать решение, которое анализирует JVM, получает перечень всех загруженных JAR и подсказывает, какие из них используются, а какие – нет.

Результатом стал JAR Inspector, который:
🍭 Предоставляет информацию о JAR-файлах в режиме реального времени
🍭 Отображает все приложения и их зависимости (включая транзитивные) в едином окне
🍭 Показывает информацию о том, что загружено и что используется
🍭 Архитектура минималистична: небольшой агент, который получает информацию о JAR, HTTP-сервер и Web UI, который отображает информацию.

Запускается, в том числе, и через Docker, если хочется попробовать у себя.

Больше информации можно найти в статье и в GitHub-репозитории проекта.

BY DevSecOps Talks

Share with your friend now:
tgoop.com/devsecops_weekly/1321

Open in Telegram

Telegram News

Date: 2025-10-21|

Telegram is a leading cloud-based instant messages platform. It became popular in recent years for its privacy, speed, voice and video quality, and other unmatched features over its main competitor Whatsapp. A new window will come up. Enter your channel name and bio. (See the character limits above.) Click “Create.” Ng, who had pleaded not guilty to all charges, had been detained for more than 20 months. His channel was said to have contained around 120 messages and photos that incited others to vandalise pro-government shops and commit criminal damage targeting police stations. For crypto enthusiasts, there was the “gm” app, a self-described “meme app” which only allowed users to greet each other with “gm,” or “good morning,” a common acronym thrown around on Crypto Twitter and Discord. But the gm app was shut down back in September after a hacker reportedly gained access to user data. Read now
from us

Telegram DevSecOps Talks
FROM American