标签:修复 检测 代码 漏洞 自动 Apache 云效 Codeup10 Log4j
简介:2021年12月10日,国家信息安全漏洞共享平台(CNVD)收录了Apache Log4j2远程代码执行漏洞(CNVD-2021-95914),此漏洞是一个基于Java的日志记录工具,为Log4j的升级。作为目前最优秀的Java日志框架之一,被大量用于业务系统开发。
漏洞信息
|
漏洞编号 |
CNVD-2021-95914 |
|
漏洞等级 |
高危 |
|
影响范围 |
Apache Log4j 2 2.0 - 2.14.1 |
|
安全版本 |
Log4j-2.15.0 |
早在2021年11月24日阿里巴巴云安全团队就报告了该漏洞,为了帮助大家更快的识别漏洞,避免受到潜在的攻击,云效技术团队提供了针对该漏洞的处理方案。
源码级扫描,将风险及时扼杀
阿里云云效代码管理平台 Codeup 的「依赖包漏洞检测」支持在源码层面实时扫描依赖包风险,并提供漏洞修复方案,可针对企业代码库自动扫描漏洞并快速报出,避免人工肉眼排查可能造成的风险遗漏。
本次 Log4j 已被定义为 Blocker 级别高危漏洞,强烈建议尽快升级修复:
如何使用检测
代码库管理员进入仓库设置-集成与服务中开启「依赖包漏洞检测」,请注意 Java 代码需要勾选「设置 Java 检测参数」:
如何修复漏洞
依据检测建议,修改 Apache Log4j 相关依赖版本至最新的 Log4j-2.15.0 。
自动修复漏洞
手动依次更新依赖文件非常繁琐,云效代码管理平台 Codeup 还提供了智能化的漏洞自动修复能力,当检测出存在该安全漏洞时,在「安全」问题列表页面将提供黄色标识,支持一键自动修复漏洞:
极致的云端代码托管保护
本次 Apache Log4j2 开源依赖包漏洞为所有人敲响警钟,企业的代码作为最重要的数字资产之一,很可能正面临着各种安全风险。企业和开发者在解决这个单点问题的同时,还需要思考如何更全面的保障自己的代码数据安全。
阿里云云效代码管理平台 Codeup 提供了丰富的安全服务,在访问安全、数据可信、审计风控、存储安全等角度全方位保障企业代码资产安全,如果你开始重视安全这件事,不妨立即前往云效 Codeup 开始探索。
原文链接
本文为阿里云原创内容,未经允许不得转载。
标签:修复,检测,代码,漏洞,自动,Apache,云效,Codeup10,Log4j 来源: https://www.cnblogs.com/yunqishequ/p/15687826.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。