从宇宙级漏洞Log4Shell看软件供应链安全 _信息快讯

文章插图

出现漏洞并不可怕，关键是如何以最快的速度发现并修补漏洞。抢在攻击者之前发现并修补漏洞便是胜利。
李伟辰
2021年12月9日，对大多数人来说只是个普通的周四，但对信息安全圈里的人来说，却是个彻夜难眠的日子。一个名为Log4Shell的漏洞开始在网络中肆虐，苹果、腾讯、推特、百度、滴滴、京东、网易、亚马逊、特斯拉、谷歌等无一幸免，甚至大名鼎鼎的美国国家安全局也没能逃脱。
更可怕的是，该漏洞的影响范围超出了地球，因为美国国家航空航天局用来探索火星的“机智”号无人直升机也使用了含有此漏洞的软件。由此， Log4Shell可以当之无愧地被称为“宇宙级”漏洞。
【从宇宙级漏洞Log4Shell看软件供应链安全】一个漏洞引发的“核爆”
Log4Shell漏洞所针对的是一个极为常用的Java日志库组件Log4j2 。企业级应用，如电子商务网站、社交平台等，需要长期持续地稳定运行，并且要服务海量客户。为了确保企业应用的服务质量，开发人员通常利用日志，将企业应用的重要行为、关键事件记录下来，方便监控企业应用的状态、性能和安全。因此，日志功能是所有企业级应用所必须具备的基础功能。 Log4j2正是这样一个支持企业应用日志功能的开源组件。

特别声明：本站内容均来自网友提供或互联网，仅供参考，请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系，我们将在24小时内删除。