Log4j2爆发高危漏洞,麒麟软件第一时间为客户提供专属安全保障
世人都晓开源好,安全风险知多少?在数字化转型潮流下,开源软件成为了时代的福音,节省开发时间、提升业务效率、特别是节约开发成本,让开源软件备受青睐。
近日发生的Log4j2开源软件漏洞事件却向行业用户追捧开源软件的热情泼了一盆冷水,引发行业轩然大波。那么,我们在使用开源软件时应注意什么?漏洞防不胜防下,相比开源软件,是否有更好的选择?
Log4j2开源软件漏洞敲响安全警钟
去年12月9日深夜,Apache 开源项目Log4j2的远程代码执行漏洞细节被公开,行业用户纷纷为Log4j2熬夜应急。
据了解,Apache Log4j是一个基于Java的日志记录组件。Apache Log4j2是Log4j的升级版本,通过重写Log4j引入了丰富的功能特性。该日志组件被全球广泛应用于业务系统开发,用以记录程序输入输出日志信息。攻击者利用此漏洞,仅需一段代码即可远程控制受害者的操作系统,安全风险不可估量。
作为被广泛依赖的开源软件的典型代表,Log4j2漏洞事件波及之广、危害之大,敲响了开源软件的安全警钟,让长期以来滋养无数行业用户的开源“免费午餐”似乎不那么香了。
谁该为开源软件漏洞买单?
事实上,很多关键开源项目背后都是兴趣驱动的少量开发者在维护,他们无问报酬,秉承开源情怀,在业余时间兼职开源工作。正如他们自己所说,处理问题时也会优先选择最感兴趣的,当开源软件出现漏洞,开发者分身乏术,无法7×24小时及时在线修复也无可厚非。倒是过度依赖开源软件的企业用户,忽略了开源软件背后的风险,小心“免费”变“破费”,折戟在Log4j2这类免费的开源软件上。
因此当漏洞事件发生时,就需要有人挺身而出高效应对,及时响应,快速修复漏洞,在最短时间消除用户所面临的风险,而这正是商业软件公司的职责所在。
高效响应修复高危漏洞,麒麟软件牢牢守护客户心安
麒麟软件作为一家与开源社区联系紧密的产品公司,其产品符合ISO 29147和ISO 30111等国际标准,参考GB/T30276-2020国家标准,具备丰富的漏洞管理经验。
在此次漏洞爆发后,麒麟软件依托专业的应急响应能力和技术服务能力,基于集自身多渠道发现漏洞、专职应急漏洞响应组快速修复漏洞、及时发布补丁、提供专业修复方案等于一体的网络安全漏洞管理体系,根据Apache基金会发布的补丁包,持续跟进修复漏洞,并在麒麟软件官网发布针对Log4j2漏洞的安全公告,推送相应的安全更新补丁、发布加固策略以及防护手段,以麒麟速度承担起守护客户安全的责任。
具体此次漏洞修复时间线如下:
2021年12月10日23:00完成漏洞分析,并将分析结果进行内部同步;
2021年12月11日16:00根据Apache基金会发布的补丁包,完成漏洞修复,并对补丁包进行内部测试;
2021年12月12日12:00发布补丁包和安全公告;
2021年12月12日16:00在麒麟软件官网同步发布安全公告。
揭秘麒麟软件产品安全服务,PSIRT团队YYDS!
作为中国操作系统的核心力量,麒麟软件具有专门的PSIRT团队,即产品安全事件应急响应团队,负责维护公司产品安全质量,建立了对安全漏洞全生命周期管理机制,涵盖麒麟产品安全漏洞收集与挖掘、验证测试、修复、安全补丁的发布与公告。
麒麟软件安全漏洞全生命周期管理机制通过麒麟安全漏洞维护平台和麒麟安全应急响应中心两个IT系统进行保障。其中麒麟安全漏洞维护平台是公司内部对影响麒麟产品的安全漏洞进行全生命周期管理的IT系统,在研发流程上认真做到每一个安全漏洞都能得到完整闭环;麒麟安全应急响应中心由麒麟软件运营,是全球安全研究组织反馈、提交麒麟软件相关产品安全漏洞的官方平台,同时承担了向客户提供漏洞情况及安全支持相关工作。
值得一提的是,麒麟软件安全漏洞收集渠道来源广泛,包括世界主流安全漏洞发布平台;参与或组织的各项安全大赛;以及内部专职安全漏洞挖掘团队等。
截至目前,经过麒麟PSIRT团队确认、分析并入库管理的公开CVE漏洞梳理5万余条,内部团队挖掘的未公开安全漏洞数量若干,此外,麒麟软件还积极参与对欧拉社区、优麒麟社区、ubuntu社区贡献安全补丁等工作。
针对此次Log4j2漏洞异常严峻的影响,麒麟软件将持续跟进Log4j2漏洞最新动态,用专业的技术和优质的服务全力守护客户业务安全,为客户提供一份专属的安心保障。
通讯员 | 陈琼
来 源 | 产品与生态中心
审 核 | 市场与政府事务部