概述

安全性如何运作

WebSphere 管理员使用 WebSphere Automation 注册其 WebSphere Application Server 或 WebSphere Application Server Liberty 服务器。 WebSphere Automation 漏洞管理器对每个服务器的安全合规性状态进行评估。 每个服务器的常见漏洞或风险敞口 (CVE) 显示在交互式列表中的 WebSphere Automation UI 中，并且每个服务器都被评估为风险级别。 管理员可以了解有关 CVE 的更多信息，规划其响应，并使用 WebSphere Automation UI 完成对其受管服务器的所需安全修订的应用程序。

当 IBM 产品安全事件响应团队 (PSIRT) 发布新的或更新的安全公告时， WebSphere Automation CVE/PSIRT 监视器会检测这些公告，并从这些公告收集有关 CVE 的数据。 WebSphere Automation 漏洞管理器会检查新 CVE 是否适用于已注册的服务器。 如果发现风险敞口，那么 WebSphere Automation 漏洞通知程序会将电子邮件通知发送到新漏洞存在的可定制地址列表。

定义风险缓解计划后，管理员将使用 WebSphere Automation UI 来选择已发布的修订包或临时修订以修复漏洞。 在修订安装过程中， WebSphere Automation 从 IBM Fix Central请求所选修订，将其存储在 Kafka 数据存储器中，然后将其安装在指示的服务器上。

运行状况如何运作

WebSphere 管理员使用 WebSphere Automation 注册其 WebSphere Application Server 或 WebSphere Application Server Liberty 服务器。 管理员还在他们的 WebSphere Automation 系统与 WebSphere Application Server 和 WebSphere Application Server Liberty 服务器之间设置 SSH 或 WinRM 连接，以启用自动收集诊断。

Instana 监视系统设置为监视 WebSphere Application Server 或 WebSphere Application Server Liberty 服务器。 当检测到内存泄漏时，Instana 管理员会配置 Instana 向 WebSphere Automation Webhook API 发送警报。 此外， WebSphere 管理员可以随时使用 WebSphere Automation 用户界面来启动服务器的内存分析。

调用 WebSphere Automation Webhook API 以报告内存泄漏时， WebSphere Automation 调查管理器将打开新的调查，并发送通知。 调查管理器使用运行手册管理器从存在内存泄漏的服务器中收集堆转储。 然后，调查管理器使用分析管理器来分析收集的文件。 分析完成后，管理员可以在 WebSphere Automation UI 中查看有关泄漏可疑项的信息。 从 UI 中，管理员可以从调查下载任何或所有文件，以便与应用程序所有者共享。 应用程序所有者可以使用此信息来修复应用程序中的内存泄漏。

组件概述（安全性）

IBM 支持、PSIRT 和安全公告

IBM 产品安全事件响应团队 (PSIRT) 发布安全公告，将已披露的常见漏洞与隐患 (CVE) 的缓解详细信息传达给他们的产品与服务。 WebSphere Automation 中的 CVE/PSIRT 监视器定期检查 WebSphere Application Server 和 WebSphere Application Server Liberty（位于 ibm.com）的新安全公告或更新的安全公告。 如果存在新的或已更改的公告，那么 WebSphere Automation 将在本地数据库中检索并填充这些公告中任何新 CVE 的相关详细信息。

安全公告是一个结构化文档，用于详细描述漏洞的类型及其潜在影响。 有关 IBM 安全公告的更多信息，请参阅 IBM 安全公告。 有关 WebSphere Application Server 和 IBM HTTP Server 的安全公告列表，请参阅 WebSphere Application Server 和 IBM HTTP Server 安全公告列表。

每个 CVE 都会根据行业标准的常见漏洞评分系统 (CVSS) 获得评分，该系统是漏洞风险级别的数字表示，范围为 0 到 10。 CVSS 标准由事件响应和安全小组论坛 (FIRST) 的 CVSS-SIG（特殊兴趣小组）维护。 更多信息，请参见 https://www.first.org/cvss/.

CVE/PSIRT 监视器

缺省情况下，监视器会每小时访问 WebSphere Application Server 和 IBM HTTP Server 安全公告列表以检查新的或更新的安全公告。 检测到新/更新的安全公告时，就会从发布的信息中检索详细信息，并存储在本地数据库中。

注： 在气隙环境中，CVE/PSIRT 监控程序无法与 WebSphere Application Server 和 IBM HTTP Server 安全公告列表通信。 在这种情况下， WebSphere Automation 会使用已安装的 CVE 数据来评估服务器。

漏洞管理器

WebSphere Automation 漏洞管理器将有关已注册服务器的信息与其数据库中常见漏洞和风险 (CVE) 的适用性数据进行比较。 WebSphere Automation 制表并显示服务器的安全状态，以帮助管理员了解影响其服务器的漏洞或风险。

获得新的服务器数据或新的 CVE 数据时，漏洞管理器就会将每个服务器的信息与其所知的 CVE 相关信息进行比较。 确定某个 CVE 对已注册的服务器有影响时，就会声明该服务器有安全风险。 可以为此类事件配置通知，此漏洞将显示在 WebSphere Automation UI 中。

由于 WebSphere Automation 使用使用率测量功能来收集有关服务器的数据，因此不会进行活动扫描或渗透测试。 因此，注册服务器以获取漏洞跟踪结果并不会影响该服务器的性能。

修订管理器

WebSphere Automation 修订管理器使用您提供的凭证来访问 IBM Fix Central 以请求修订。 将访存修订并将其存储在为 websphereSecure 定制资源定义的文件存储器中。 修订管理器根据使用频率来管理存储空间，删除较旧的修订，以便为最近请求的修订腾出空间。

Installation Manager

WebSphere Automation 安装管理器使用您提供的管理员特权与已注册的服务器进行通信。 当您启动修订的安装时，安装管理器将确保目标服务器具有足够的空间用于修订，将修订传输到目标服务器，安装修订，并创建步骤的日志文件。 如果在修订安装过程中请求备份服务器环境，那么 Installation Manager 会检查服务器上是否有足够的磁盘空间，并创建 Installation Manager， Installation Manager 数据以及 WebSphere Application Server 或 WebSphere Application Server Liberty 服务器安装目录的归档。

组件概述（运行状况）

Webhook API

Webhook API 接收来自 Instana 监视系统的内存泄漏通知，并触发调查管理器启动内存泄漏调查。

调查管理器

当由 Webhook API 触发时，调查管理器将启动调查。 调查管理器指示运行手册管理器运行一本运行手册，以收集有关疑似内存泄漏的服务器的身份信息。 如果服务器注册处理器知道该服务器，那么调查管理器指示运行手册管理器从该服务器收集堆转储。 然后，调查管理器指示分析管理器运行诊断工具来处理堆转储以获取有关内存泄漏的详细信息。 调查的进度和结果将显示在 WebSphere Automation UI 中。 将发送通知以指示调查何时开始或完成。

运行手册管理器

运行手册管理器负责在 WebSphere Application Server 或 WebSphere Application Server Liberty 系统上运行运行手册，以收集帮助调查问题所需的信息和诊断。 运行手册管理器启动运行手册作业，这些作业使用 Ansible 运行手册来自动执行远程数据收集。 Ansible 使用 SSH 或 WinRM与服务器进行安全通信。

分析管理器

分析管理器负责分析收集的诊断文件。 对于内存泄漏，分析管理器会启动分析作业，进而启动内存分析工具来分析堆转储，并提供有关内存泄漏可疑的详细信息。

组件概述 (公共)

WebSphere Application Server， WebSphere Application Server Liberty和服务器注册处理器

WebSphere Automation 使用 WebSphere Application Server 和 WebSphere Application Server Liberty 中的使用情况测量功能来收集有关要监视的服务器的数据，以便评估其漏洞状态或运行状况状态。 必须在每个要管理的服务器上手动配置使用情况测量功能，以便它能够与 WebSphere Automation 通信。 使用情况测量功能是 WebSphere Application Server 和 WebSphere Application Server Liberty 的受支持、稳定的组件，与 WebSphere Automation 一起使用。 它先前与 IBM Cloud Private 中现在已移除的测量服务一起使用。 稳定功能将取代在 WebSphere Application Server 或 WebSphere Application Server Liberty 的文档中其不推荐使用的任何提及。

WebSphere Automation 无法与不具有此功能的服务器进行通信。 由于此限制以及发布使用情况测量功能的日期，WebSphere Automation 不会评估在 2018 年之前创建的安全公告。 可以管理以下应用程序服务器：

• WebSphere Application Server (所有版本) 8.5.5.15 和更高版本
• WebSphere Application Server (所有版本) 9.0.0.9 和更高版本
• WebSphere Application Server Deployment Manager 8.5.5.23 后来
• WebSphere Application Server Deployment Manager 9.0.5.14 后来
• WebSphere Application Server Liberty (所有版本) 18.0.0.3 和更高版本

随着 WebSphere 软件的服务更新或新版本的安装，服务器清单的安全状态也会更新。

通知程序

当发现安全漏洞或内存泄漏，应用安全修订或完成内存泄漏调查时，通知者可以向电子邮件地址列表发送电子邮件。 对于标准电子邮件通知，管理员使用 WebSphere Automation UI 来配置 SMTP 服务器，并定义用于接收这些通知的电子邮件地址列表。 该电子邮件包含相关信息，例如针对漏洞通知的 CVE 的 CVSS ，但不包含敏感信息。 该电子邮件还包含指向 UI 中相应页面的链接。 然后，具有适当特权的用户可以登录到 WebSphere Automation UI 以获取有关漏洞或内存泄漏的更多信息。

从 WebSphere Automation 1.6.2 开始，管理员可以为 WebSphere Automation 中发生的某些事件定制通知。 可设置为触发通知的事件包括创建，更新或删除操作，资产，公告，修订，安装，调查或漏洞。 通知程序现在除了发送电子邮件外，还可以调用 Webhook。 电子邮件通知当前具有有限的定制选项。

WebSphere Automation UI 和 API

WebSphere Automation 基于 IBM Cloud Pak foundational services。 因此， WebSphere Automation UI 将集成到 IBM Cloud Pak foundational services UI 中，并且可以使用浏览器进行访问。 WebSphere Automation UI 显示具有安全漏洞和特定 CVE 数据的已注册服务器的交互式列表。 数据还可以采用 CSV 格式输出。 WebSphere Automation UI 还显示内存泄漏调查的列表。 该 UI 使用 API 来检索数据。

IBM Cloud Pak foundational services

WebSphere Automation 基于 IBM Cloud Pak foundational services。 WebSphere Automation Apache Kafka 用于数据流和事件处理， IBM Cloud Pak foundational services (IAM) Identity Access Management 功能用于连接用户注册表 (LDAP)。 更多信息，请参见 IBM Cloud Pak foundational services 文档。