【从宇宙级漏洞Log4Shell看软件供应链安全】出现漏洞并不可怕,关键是如何以最快的速度发现并修补漏洞 。抢在攻击者之前发现并修补漏洞便是胜利 。
李伟辰
2021年12月9日,对大多数人来说只是个普通的周四,但对信息安全圈里的人来说,却是个彻夜难眠的日子 。一个名为Log4Shell的漏洞开始在网络中肆虐,苹果、腾讯、推特、百度、滴滴、京东、网易、亚马逊、特斯拉、谷歌等无一幸免,甚至大名鼎鼎的美国国家安全局也没能逃脱 。
更可怕的是,该漏洞的影响范围超出了地球,因为美国国家航空航天局用来探索火星的“机智”号无人直升机也使用了含有此漏洞的软件 。由此,Log4Shell可以当之无愧地被称为“宇宙级”漏洞 。
一个漏洞引发的“核爆”
Log4Shell漏洞所针对的是一个极为常用的Java日志库组件Log4j2 。企业级应用,如电子商务网站、社交平台等,需要长期持续地稳定运行,并且要服务海量客户 。为了确保企业应用的服务质量,开发人员通常利用日志,将企业应用的重要行为、关键事件记录下来,方便监控企业应用的状态、性能和安全 。因此,日志功能是所有企业级应用所必须具备的基础功能 。Log4j2正是这样一个支持企业应用日志功能的开源组件 。
推荐阅读
- 网上中国 “数字交通”加速跑起来
- 写了这么多年后端,你知道事务脚本模式吗?
- 厨房橱柜用什么材料好 厨房橱柜价格一般多少
- 铣刀分板机能解决哪些问题?
- 提速的最优解
- 沈子瑜:亿咖通科技打造出个性且懂你的车载虚拟助理
- 马斯克:特斯拉的人形机器人可能比电动车业务做的更大
- iPhone12有多狂?7个月卖1亿台,说好的支持国产呢?
- 魔杯咖啡:挂耳咖啡的选择