世人都曉開源好���,安全風(fēng)險知多少�?在數(shù)字化轉(zhuǎn)型潮流下��,開源軟件成為了時代的福音���,節(jié)省開發(fā)時間�����、提升業(yè)務(wù)效率�、特別是節(jié)約開發(fā)成本���,讓開源軟件備受青睞�����。
近日發(fā)生的Log4j2開源軟件漏洞事件卻向行業(yè)用戶追捧開源軟件的熱情潑了一盆冷水���,引發(fā)行業(yè)軒然大波。那么���,我們在使用開源軟件時應(yīng)注意什么�����?漏洞防不勝防下����,相比開源軟件����,是否有更好的選擇?
去年12月9日深夜����,Apache 開源項目Log4j2的遠(yuǎn)程代碼執(zhí)行漏洞細(xì)節(jié)被公開��,行業(yè)用戶紛紛為Log4j2熬夜應(yīng)急����。
據(jù)了解��,Apache Log4j是一個基于Java的日志記錄組件�。Apache Log4j2是Log4j的升級版本,通過重寫Log4j引入了豐富的功能特性����。該日志組件被全球廣泛應(yīng)用于業(yè)務(wù)系統(tǒng)開發(fā),用以記錄程序輸入輸出日志信息�。攻擊者利用此漏洞,僅需一段代碼即可遠(yuǎn)程控制受害者的操作系統(tǒng)��,安全風(fēng)險不可估量���。
作為被廣泛依賴的開源軟件的典型代表��,Log4j2漏洞事件波及之廣���、危害之大,敲響了開源軟件的安全警鐘����,讓長期以來滋養(yǎng)無數(shù)行業(yè)用戶的開源“免費午餐”似乎不那么香了。
事實上,很多關(guān)鍵開源項目背后都是興趣驅(qū)動的少量開發(fā)者在維護�,他們無問報酬,秉承開源情懷���,在業(yè)余時間兼職開源工作�����。正如他們自己所說�,處理問題時也會優(yōu)先選擇最感興趣的���,當(dāng)開源軟件出現(xiàn)漏洞����,開發(fā)者分身乏術(shù)�,無法7×24小時及時在線修復(fù)也無可厚非。倒是過度依賴開源軟件的企業(yè)用戶��,忽略了開源軟件背后的風(fēng)險,小心“免費”變“破費”��,折戟在Log4j2這類免費的開源軟件上��。
因此當(dāng)漏洞事件發(fā)生時��,就需要有人挺身而出高效應(yīng)對����,及時響應(yīng),快速修復(fù)漏洞���,在最短時間消除用戶所面臨的風(fēng)險�����,而這正是商業(yè)軟件公司的職責(zé)所在�����。
高效響應(yīng)修復(fù)高危漏洞��,麒麟軟件牢牢守護客戶心安
麒麟軟件作為一家與開源社區(qū)聯(lián)系緊密的產(chǎn)品公司�,其產(chǎn)品符合ISO 29147和ISO 30111等國際標(biāo)準(zhǔn)��,參考GB/T30276-2020國家標(biāo)準(zhǔn),具備豐富的漏洞管理經(jīng)驗��。
在此次漏洞爆發(fā)后����,麒麟軟件依托專業(yè)的應(yīng)急響應(yīng)能力和技術(shù)服務(wù)能力�,基于集自身多渠道發(fā)現(xiàn)漏洞、專職應(yīng)急漏洞響應(yīng)組快速修復(fù)漏洞��、及時發(fā)布補丁��、提供專業(yè)修復(fù)方案等于一體的網(wǎng)絡(luò)安全漏洞管理體系�����,根據(jù)Apache基金會發(fā)布的補丁包���,持續(xù)跟進修復(fù)漏洞��,并在麒麟軟件官網(wǎng)發(fā)布針對Log4j2漏洞的安全公告���,推送相應(yīng)的安全更新補丁、發(fā)布加固策略以及防護手段�,以麒麟速度承擔(dān)起守護客戶安全的責(zé)任���。
具體此次漏洞修復(fù)時間線如下:
2021年12月10日23:00完成漏洞分析,并將分析結(jié)果進行內(nèi)部同步�;
2021年12月11日16:00根據(jù)Apache基金會發(fā)布的補丁包,完成漏洞修復(fù)���,并對補丁包進行內(nèi)部測試����;
2021年12月12日12:00發(fā)布補丁包和安全公告�;
2021年12月12日16:00在麒麟軟件官網(wǎng)同步發(fā)布安全公告。
揭秘麒麟軟件產(chǎn)品安全服務(wù)�,PSIRT團隊YYDS!
作為中國操作系統(tǒng)的核心力量���,麒麟軟件具有專門的PSIRT團隊����,即產(chǎn)品安全事件應(yīng)急響應(yīng)團隊�����,負(fù)責(zé)維護公司產(chǎn)品安全質(zhì)量,建立了對安全漏洞全生命周期管理機制����,涵蓋麒麟產(chǎn)品安全漏洞收集與挖掘、驗證測試���、修復(fù)���、安全補丁的發(fā)布與公告。
麒麟軟件安全漏洞全生命周期管理機制通過麒麟安全漏洞維護平臺和麒麟安全應(yīng)急響應(yīng)中心兩個IT系統(tǒng)進行保障���。其中麒麟安全漏洞維護平臺是公司內(nèi)部對影響麒麟產(chǎn)品的安全漏洞進行全生命周期管理的IT系統(tǒng),在研發(fā)流程上認(rèn)真做到每一個安全漏洞都能得到完整閉環(huán)���;麒麟安全應(yīng)急響應(yīng)中心由麒麟軟件運營�����,是全球安全研究組織反饋���、提交麒麟軟件相關(guān)產(chǎn)品安全漏洞的官方平臺,同時承擔(dān)了向客戶提供漏洞情況及安全支持相關(guān)工作���。
值得一提的是�����,麒麟軟件安全漏洞收集渠道來源廣泛��,包括世界主流安全漏洞發(fā)布平臺�����;參與或組織的各項安全大賽��;以及內(nèi)部專職安全漏洞挖掘團隊等���。
截至目前����,經(jīng)過麒麟PSIRT團隊確認(rèn)��、分析并入庫管理的公開CVE漏洞梳理5萬余條��,內(nèi)部團隊挖掘的未公開安全漏洞數(shù)量若干�����,此外,麒麟軟件還積極參與對歐拉社區(qū)���、優(yōu)麒麟社區(qū)�����、ubuntu社區(qū)貢獻(xiàn)安全補丁等工作���。
針對此次Log4j2漏洞異常嚴(yán)峻的影響,麒麟軟件將持續(xù)跟進Log4j2漏洞最新動態(tài)���,用專業(yè)的技術(shù)和優(yōu)質(zhì)的服務(wù)全力守護客戶業(yè)務(wù)安全��,為客戶提供一份專屬的安心保障�。
