使用されている脆弱なLog4jを捕まえろ:検知,修正,防御
通过
9分钟阅读
全英文:全英文:全英文:全英文:全英文Log4Shellというオープンソースソフトウェアに,長期に渡ってクリティカルな脆弱性が存在していたという驚きの発見は,まるでスクルージとグリンチ※。世界中のインシデントレスポンスチームは,数百万とは言わないまでも,数千のアプリケーションを修復するために奔走しています(※訳、注:それぞれ英・米の小説・絵本の主人公。クリスマス嫌いで広く知られるのでこのシーズンを意識した表現。”ケチ”の意味で用いられることが多い)
元ホワイトハウスCIOで,現在小堡垒解决方案のCEOを務めるTheresa佩顿氏は,”サイバー犯罪者にとって,これは一足早いクリスマスだ> > > > > > > > > >攻撃者はすぐにこの脆弱性をエクスプロイトして,暗号通貨マイニングマルウェアをインストールしたり,認証情報を盗んだりしたのです。
この危機に対応するために,関連チームは週末を失い,パーティーを欠席し,旅行プランもキャンセルして,膨大な開発環境という干し草の中からの針探しを余儀なくされました。
x射线,x射线,x射线,x射线,x射线,x射线,x射线。★★★★★★★★2022世界杯32强赛程表时间 をミッションクリティカルなソフトウェア開発ライフサイクル(SDLC)プロセスの中心に据えることで得られる長期的なメリットを,直接体験することができるでしょう。
Artifactoryのバイナリリポジトリ管理下に蓄積されたパッケージ,バイナリ,イメージ,メタデータにより,Apache log4jの脆弱性,または,その他のセキュリティ問題に対して迅速に修正するために必要なものはすでに揃っています。
JFrog平台を使用して,どのように組織を迅速に保護できるかを説明します。
- 検出-人工智能,构建信息,x射线【中文翻译を使用して,本稼働しているアプリケーションのインベントリ全体にわたって,推移的依存関係を含むlog4jパッケージのすべての存在を検出できる
- 修正- - - - - - x光による脆弱なlog4jパッケージを使用するアプリケーションの特定後,開発者は,更新された安全なバージョンを使用するようにソースコードを更新し,新しいビルドを作成することができる
- 防御- - - - - - x光スキャン結果に基づいて,log4jの脆弱なバージョンを使用するビルドや,パイプラインにあるlog4j脆弱性を持つビルドのリリースへの昇格をブロックできる
SBOM
アプリケーションのソフトウェア部品表(SBOM)を作成するために,JFrog CLIや管道。JFrog平台、JFrog平台、JFrog平台、JFrog平台、JFrog平台ベストプラクティス1、。
バイナリ関連データを利用して,脆弱なlog4jパッケージのすべてのビルドを検索できます。Artifactoryの豊富な検索機能により、最も関連性の高いビルドをターゲットとして検索を絞り込むこともでき、緊急性の高いものへ作業を集中して∕∕∕∕∕∕∕∕∕∕∕∕∕∕∕∕∕∕
★★★★★★是啊,是啊という理想的なDevOpsプラクティスに従っている場合,本番環境へのデプロイメントのためのプロモーションチェーンの最終段階(たとえば,“リリース”リポジトリ)用のArtifactoryリポジトリのみに検索を限定することで効率化することができますーテストに失敗したものや,何らかの理由でブロックされたビルドをArtifactoryで調査する必要はありません。
log4jまたは任意の脆弱なパッケージを見つける主要な方法を見てみましょう。
JFrog平台
JFrog平台,アプリケーション検索。Artifactoryの検索バーを使用して、Artifactory リモートリポジトリにキャッシュされている log4j パッケージ、およびローカルリポジトリとビルドでの位置を検索します。
人工:。。。
人工智能
啊哈,人工查询语言(AQL)の找到リクエストを使用して,複雑な条件を使用してリポジトリを検索し,フィルタリングされたビルドのリストを生成することができます。
たとえば次のクエリによって,log4j-coreライブラリを使用するすべてのビルドを検索することができます。
构建。找到({ "$and" : [ {"module.dependency.item.name":{"$match":"log4j-core"}} {"created": {"$gt": "2019-01-01"}}, {"promotion.repo": {"$match":"maven-release"}} ] }).include("name", "repo", "@version")【中文】Aql。
创建-promotion.status——SDLCプロモーションパイプラインの特定のステージに移動したビルドのみに絞る(例えば,“释放”)promotion.repo——特定のリポジトリにあるビルドに絞る(例えば,本番環境にリリースされたビルドを保持するリポジトリのみを対象とする)
x射线CVE
12个月10个月,Apache Log4jcve - 2021 - 44228国家漏洞数据库(NVD)。JFrog x光片,(sca)。) 1 .中文cve - 2021 - 45105も,2.16.0)。
ほとんどのSCAツールと異なり,x光はArtifactoryと強く統合しているため,その深い再帰的スキャンによって,Artifactoryリポジトリのすべてで脆弱なコンポーネントの直接または推移的依存関係をすべて検出することができます。
x光がインデックスを更新すると,セキュリティ&コンプライアンス検索バーからリファレンス番号で最新のCVEを検索することができます。
これにより,保存されているパッケージ,ビルド,アーティファクト,リリースバンドル内のCVEが発見された場所のリストが表示されます。
JFrogブログ。
ビルドに含まれるLog4jの依存関係の修正
どのアプリケーションとビルドに脆弱性があるかが判れば,開発チームは,安全とみなされる最新バージョンのlog4j(現在v2.17.0)を使用するようにソースコードを更新し,修正済みの新しいビルドとリリースバンドルを作成することができます。
その後,より安全なアプリケーションリリースを,JFrog分布★★★★★★★★★★★★★★★Helm? ?Kubernetes Docker注册表() () () ()
★★★★★★★★★★人工智能。★★★★苹苹> > > > > > > > > >
将来の脆弱性からのリポジトリの保護
一度アプリケーションを修復したら,今後作成するリリースや新たなアプリケーションにおいても,log4jのセキュリティ問題,そして将来的に発見されうる他の脆弱性が含まれないことを保証したいでしょう。
【中文翻译】:“”),x光机。。
x射线,を使用して,選択したレポジトリのパッケージとビルドで,しきい値として指定した深刻度レベルを超えた脆弱性を自動的に認識します。最小的严重性を高に設定すると,クリティカルなlog4jの脆弱性だけでなく,最近のアップデート向けのクリティカルではない脆弱性も含まれます。啊哈,自動アクションを設定して、Xray ポリシー違反に対応できるように、通知の送信、Webhook のトリガー、または安全でないパッケージのダウンロードのブロックを設定できます。
我非常喜欢你x射线と関連付けたり,主要なリポジトリ,ビルド,またはバンドルと関連付けることができます。。【翻译】x射线を設定して,対象をApache log4jに限定できます。
【中文翻译】x射线,脆弱なバージョンのApache log4jのすべての使用が,将来の問題を防ぐためにx光片> > > > > > >
JFrog? ?x射线?x射线★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
x射线x射线★★★★★★★
【中文】
メディアが報告を続ける中,世界中のインシデントレスポンスチームは,Apache log4jのセキュリティ問題による自社の広範な損害を軽減するために,何日も何週間も費やしてしまうことが予想されます。
しかしJFrog平台の8000以上の顧客は,SaaSであれセルフホステッドであれ,わずか数時間でlog4jの脆弱性を検出、修正し,ソフトウェアのサプライチェーン全体を強化我的意思是,我的意思是,我的意思是,我的意思是。Artifactoryと Xray が可能にする豊富なバイナリ管理、SBOM, SCAを通じたDevSecOpsのベストプラクティスは,多くの人の週末や休日を返上せずにすむよう役立っています。
x射线,18个。Apache log4jが存在するJavaライブラリに加え,JavaScript, PHP,码头工人,去,c++などのリポジトリをスキャンすることが可能です。
#JFrog平台的用户可以在几个小时内从#log4j漏洞中找到、修复和加强他们的整个软件供应链。点击推特92%のアプリがオープンソースを使用している今日では,広く使われているパッケージにクリティカルな脆弱性が発見されるのは今回が最後ではないでしょう。Log4j ()松鼠, 2020年太阳风草皮,草皮,草皮。★★★★★★★★★★★★★★。
ソフトウェア開発企業,つまりすべての企業にとって,このような事件への心配は眠れないほどのものです。★★★★★★★★★★JFrog平台を使用しているチームのリーダは,ベッドでぐっすり眠ることができます。
?x射线。
JFrog平台(JFrog Platform)哎,哎,哎,哎。
