vlambda博客
学习文章列表

Spring

漏洞

2022年3月28日，Spring官方发布了一则消息，暴露Spring核心框架具有Dos漏洞：CVE-2022-22950。

Spring在Java中的地位超然，该漏洞会影响到几乎所有的Spring系列组件，例如常见的SpringBoot和SpringCloud等，并且spring系列组建被广泛运用与业务系统开发，覆盖面极广。

同时，该漏洞是一种潜在的漏洞，但是利用该漏洞进行该攻击服务的手段的门槛较高，需要利用可控可执行的SPEl（SpringExpressionLanguage,Spring表达式语言）。

三月初，spring官方爆出springcloudgateway漏洞，其修复方式就是利用了SimpleEvaluationContext，但是SimpleEvaluationContext并不就一定安全，只要SPEL可控，那么就会有Dos漏洞。

该项漏洞目前还未发布到NVD网站上，谐云DevOps可信源产品，通过漏洞的自行建立，可信源库和漏洞库建立起对Java代码依赖包的管理，可从容应对紧急发布的CVE-2022-22950漏洞。

谐云DevOps可信源产品对去年底爆出的Apache Log4j2高危漏洞应对详情可点击该链接了解详情：

谐云DevOps平台是面向软件研发团队的一站式研发协作管理平台，提供从需求到设计、开发、构建、测试、发布到部署的全流程协同及研发工具支撑。全面满足企业研发管理与工程效率等需求，一站式提高管理效率和软件研发质量，助力团队快速实践敏捷开发与 DevOps，提升软件交付质量与速度，助推企业数智化转型升级。

可信源管理从项目持续集成、发版门禁源头堵截高危漏洞上线，维护应用依赖版本库，当发现漏洞后可以直接创建工单针对性修复。平台支持定期从中央漏洞库拉取漏洞，在流水线运行过程中对使用到的依赖包做扫描校验，在申请发布前的对发布版本做扫描拦截，扫描范围包括漏洞、基线、可信源匹配，可信源冲突、门禁。在代码合并前经过多人审批，并设置分支保护权限，从而规避相应风险，提高安全等级。

定期从中央漏洞库（NVD）拉取漏洞导入系统，支持全量同步、增量同步和手动同步。在收到漏洞后可以进行漏洞影响分析，查看漏洞的关联应用血缘和可信源血缘，并发送预警通知。

通过漏洞紧急建立以后，就可以立即的看出所有被漏洞所设计到的引用依赖。