网站搭建定制,网站建设唯地带,专业的网站建设官网,培训网络营销的机构简介#xff1a;2021年12月10日#xff0c;国家信息安全漏洞共享平台#xff08;CNVD#xff09;收录了Apache Log4j2远程代码执行漏洞#xff08;CNVD-2021-95914#xff09;#xff0c;此漏洞是一个基于Java的日志记录工具#xff0c;为Log4j的升级。作为目前最优秀的…简介2021年12月10日国家信息安全漏洞共享平台CNVD收录了Apache Log4j2远程代码执行漏洞CNVD-2021-95914此漏洞是一个基于Java的日志记录工具为Log4j的升级。作为目前最优秀的Java日志框架之一被大量用于业务系统开发。
漏洞信息 漏洞编号 CNVD-2021-95914 漏洞等级 高危 影响范围 Apache Log4j 2 2.0 - 2.14.1 安全版本 Log4j-2.15.0
早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞为了帮助大家更快的识别漏洞避免受到潜在的攻击云效技术团队提供了针对该漏洞的处理方案。
源码级扫描将风险及时扼杀
阿里云云效代码管理平台 Codeup 的「依赖包漏洞检测」支持在源码层面实时扫描依赖包风险并提供漏洞修复方案可针对企业代码库自动扫描漏洞并快速报出避免人工肉眼排查可能造成的风险遗漏。
本次 Log4j 已被定义为 Blocker 级别高危漏洞强烈建议尽快升级修复 如何使用检测
代码库管理员进入仓库设置-集成与服务中开启「依赖包漏洞检测」请注意 Java 代码需要勾选「设置 Java 检测参数」 开启后默认分支将自动开始执行检测等待检测完成可查看分支代码检测详情在检测报告中提供了漏洞说明与修复方案建议 由于漏洞库实时更新历史已开启扫描的代码库需要主动开关或提交代码以触发执行一次最新扫描。
如何修复漏洞
依据检测建议修改 Apache Log4j 相关依赖版本至最新的 Log4j-2.15.0 。
自动修复漏洞
手动依次更新依赖文件非常繁琐云效代码管理平台 Codeup 还提供了智能化的漏洞自动修复能力当检测出存在该安全漏洞时在「安全」问题列表页面将提供黄色标识支持一键自动修复漏洞 展开问题详情点击「创建合并请求自动修复」按钮将自动生成一个合并请求人工审核确认后可一键合并自动修复漏洞 查看文件差异可以看到该合并请求已自动将代码 pom.xml 中的 Log4j 依赖版本升级到建议的安全版本 人工确认后点击合并代码合并变更将自动重新触发代码检测服务查看检测结果可确认漏洞已修复解决 极致的云端代码托管保护
本次 Apache Log4j2 开源依赖包漏洞为所有人敲响警钟企业的代码作为最重要的数字资产之一很可能正面临着各种安全风险。企业和开发者在解决这个单点问题的同时还需要思考如何更全面的保障自己的代码数据安全。
阿里云云效代码管理平台 Codeup 提供了丰富的安全服务在访问安全、数据可信、审计风控、存储安全等角度全方位保障企业代码资产安全如果你开始重视安全这件事不妨立即前往云效 Codeup 开始探索。 原文链接 本文为阿里云原创内容未经允许不得转载。
