2021 年 12 月 10 日,国家信息安全破绽共享平台(CNVD)收录了 Apache Log4j2 近程代码执行破绽(CNVD-2021-95914),此破绽是一个基于 Java 的日志记录工具,为 Log4j 的降级。作为目前最优良的 Java 日志框架之一,被大量用于业务零碎开发。
破绽信息
早在 2021 年 11 月 24 日阿里巴巴云平安团队就报告了该破绽,为了帮忙大家更快的辨认破绽,防止受到潜在的攻打,云效技术团队提供了针对该破绽的解决计划。
源码级扫描,将危险及时扼杀
阿里云云效代码治理平台 Codeup 的「依赖包破绽检测」反对在源码层面实时扫描依赖包危险,并提供破绽修复计划,可针对企业代码库主动扫描破绽并疾速报出,防止人工肉眼排查可能造成的危险脱漏。
本次 Log4j 已被定义为 Blocker 级别高危破绽,强烈建议尽快降级修复:
如何应用检测
代码库管理员进入仓库设置 - 集成与服务中开启「依赖包破绽检测」,请留神 Java 代码须要勾选「设置 Java 检测参数」:
开启后默认分支将主动开始执行检测,期待检测实现,可查看分支代码检测详情,在检测报告中提供了破绽阐明与修复计划倡议:
因为破绽库实时更新,历史已开启扫描的代码库须要被动开关或提交代码以触发执行一次最新扫描。
如何修复破绽
根据检测倡议,批改 Apache Log4j 相干依赖版本至最新的 Log4j-2.15.0。
主动修复破绽
手动顺次更新依赖文件十分繁琐,云效代码治理平台 Codeup 还提供了智能化的破绽主动修复能力,当检测出存在该安全漏洞时,在「平安」问题列表页面将提供黄色标识,反对一键主动修复破绽:
开展问题详情,点击「创立合并申请主动修复」按钮将主动生成一个合并申请,人工审核确认后可一键合并,主动修复破绽:
查看文件差别能够看到该合并申请已主动将代码 pom.xml 中的 Log4j 依赖版本升级到倡议的平安版本:
人工确认后点击合并,代码合并变更将主动从新触发代码检测服务,查看检测后果可确认破绽已修复解决:
极致的云端代码托管爱护
本次 Apache Log4j2 开源依赖包破绽为所有人敲响警钟,企业的代码作为最重要的数字资产之一,很可能正面临着各种平安危险。企业和开发者在解决这个单点问题的同时,还须要思考如何更全面的保障本人的代码数据安全。
阿里云云效代码治理平台 Codeup 提供了丰盛的平安服务,在拜访平安、数据可信、审计风控、存储平安等角度全方位保障企业代码资产平安,如果你开始器重平安这件事,无妨立刻返回云效 Codeup 开始摸索。
参考浏览:
云效平安哪些事儿 -Codeup 代码智能平安检测服务
平安那些事儿 - 数据回收站 & 代码备份
揭秘!业界翻新的代码仓库加密技术
对于咱们
理解更多对于云效 DevOps 的最新动静,可微信搜寻关注【云效】公众号;
彩蛋:公众号后盾回复【平安】,可查看《云效产品安全白皮书》
看完感觉对您有所帮忙别忘记点赞、珍藏和关注呦;