最近的 Log4j 漏洞事件無(wú)疑為企業(yè)敲響了安全警鐘。如何加強此類(lèi)事件的“防微杜漸”以及開(kāi)源安全的風(fēng)險治理，成為被廣泛探討的新命題。

　　2021年年末爆發(fā)的 Log4j 安全漏洞堪稱(chēng)互聯(lián)網(wǎng)歷史上破壞力最驚人的漏洞之一。當危機發(fā)生時(shí)，幾乎每家公司都在爭分奪秒地修補該漏洞，許多 IT 人員疲于深夜搶修及應急打補丁，防止黑客利用其進(jìn)行攻擊。

　　根據統計，有超過(guò)35,863個(gè)開(kāi)源軟件 Java 組件依賴(lài)于 Log4j，意味著(zhù)超過(guò) 8% 的軟件包里至少有一個(gè)版本會(huì )受此漏洞影響。漏洞在依賴(lài)鏈中越深，修復步驟就越多。根據云安全專(zhuān)家評估，每秒有超過(guò) 1000次利用 Log4j 漏洞的嘗試。有不法分子利用遠程代碼執行漏洞竊取云基礎設施，部署加密貨幣礦工和勒索軟件。隨著(zhù)危機的持續發(fā)酵，此次 Log4j 漏洞帶來(lái)的損失目前尚無(wú)法準確評估。一個(gè)數字僅作為參考：安聯(lián)財險發(fā)布的相關(guān)報告顯示，中國每年因網(wǎng)絡(luò )襲擊造成的經(jīng)濟損失高達 3996億元。

　　Apache Log4j2 被曝出一個(gè)高危漏洞，攻擊者通過(guò) jndi 注入攻擊的形式可以輕松遠程執行任何代碼。該漏洞被命名為 Log4Shell，編號 CVE-2021-44228。隨后官方緊急推出了2.15.0和2.15.0-rc1新版本修復，但依然未能完全解決問(wèn)題。12月12日，安全公司Blumira發(fā)現 Log4j 漏洞出現了另外一種攻擊載體，攻擊者可以利用漏洞攻擊那些并不暴露于任何網(wǎng)絡(luò )內部系統中的以 localhost 運行的服務(wù)。

　　Apache Log4j2 團隊發(fā)布了Log4j 2.16.0版本，主要修復第二個(gè)漏洞CVE-2021-45046。

　　安全公司Praetorian 的研究人員警告說(shuō)，為修復最初的Log4Shell而發(fā)布的Log4j 2.15.0 版存在第三個(gè)安全漏洞。在某些情況下，攻擊者可以利用第三個(gè)漏洞來(lái)竊取敏感數據。

　　Apache軟件基金會(huì )緊急發(fā)布了修補后的2.17.0新版本，并隨后發(fā)布了一個(gè)新補丁。官方承認2.16.0版本無(wú)法在查找評估中妥善防止無(wú)限遞歸，因而易受CVE-2021-45105 攻擊的影響。

　　工信部網(wǎng)絡(luò )安全管理局通報，暫停國內某公有云廠(chǎng)商作為其網(wǎng)絡(luò )安全威脅信息共享平臺合作單位，為期6個(gè)月。原因：該廠(chǎng)商在發(fā)現Apache Log4j2組件嚴重安全漏洞隱患后，未及時(shí)向電信主管部門(mén)報告，未有效支撐工信部開(kāi)展網(wǎng)絡(luò )安全威脅和漏洞管理。

　　IBM 作為全球的軟硬件及服務(wù)提供商，從 12月 11日起就持續向大中華區在內的全球客戶(hù)和相關(guān)組織發(fā)布對這個(gè)漏洞的應對措施、受到影響的產(chǎn)品列表以及響應的產(chǎn)品補丁信息，并從企業(yè)、產(chǎn)品、咨詢(xún)、安全、云服務(wù)等不同維度給客戶(hù)提供了參考建議。此外，IBM 技術(shù)支持服務(wù)部結合IBM Security定制化安全解決方案，幫助組織將安全性融入業(yè)務(wù)結構，安然度過(guò)不確定性時(shí)期。詳情請訪(fǎng)問(wèn)（https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/ ）

　　Log4j 漏洞事件發(fā)生后，一部分人抨擊項目維護者未能及時(shí)發(fā)現問(wèn)題。面對這樣的指責，開(kāi)發(fā)者立即做出回應，對抹黑其無(wú)償志愿勞動(dòng)的聲音進(jìn)行反擊。有網(wǎng)絡(luò )安全專(zhuān)家認為 Log4j 中的遠程代碼執行漏洞可能需要數月、甚至數年時(shí)間才能得到妥善解決。這不禁喚起了大家對于開(kāi)源軟件開(kāi)發(fā)、付費與維護方式的深切思考：

　　顯而易見(jiàn)，獲取消息的時(shí)間越早，就能夠越早對其進(jìn)行響應，減少漏洞帶來(lái)的損失。

　　面對這樣的突發(fā)事件，系統運維團隊和管理團隊都會(huì )經(jīng)歷一次巨大的考驗。例如，如何定位問(wèn)題？怎樣對問(wèn)題進(jìn)行修復？如何大面積地對業(yè)務(wù)系統進(jìn)行修復補丁發(fā)布？如何評估發(fā)布后的影響？這些問(wèn)題都是管理者應該提前考慮到的。

　　對軟件進(jìn)行有效的管理能夠帶來(lái)諸多的好處。首先，能夠定期地對系統內部使用的軟件進(jìn)行安全漏洞審查，及時(shí)地發(fā)現漏洞；同時(shí)，在發(fā)現漏洞后能夠快速、精準地定位漏洞影響到的業(yè)務(wù)及應用系統，并對相應的漏洞進(jìn)行修復，減少損失。

　　作為企業(yè)級IT服務(wù)的全球領(lǐng)先者，IBM早已涉足開(kāi)源服務(wù)領(lǐng)域，目前已能提供成熟的企業(yè)級開(kāi)源治理和支持服務(wù)。針對開(kāi)源支持領(lǐng)域面臨的痛點(diǎn)和挑戰，為全行業(yè)提供開(kāi)源運維托底、開(kāi)源原廠(chǎng)支持、開(kāi)源治理管控等開(kāi)源解決方案。涵蓋超過(guò)257種開(kāi)源軟件支持服務(wù)（年度更新），為國內一線(xiàn)、二線(xiàn)城市提供7*24類(lèi)似于商業(yè)軟件售后支持的能力，配備超過(guò)200名以上資深和專(zhuān)業(yè)開(kāi)源支持專(zhuān)家，為大中小型金融、企事業(yè)單位提供遠程、駐場(chǎng)、搶修、重保、巡檢等開(kāi)源支持服務(wù)。

　　IBM 開(kāi)源洞察平臺聚合了美國NIST NVD、開(kāi)源基金會(huì )社區、IBM X-Force安全交換平臺和公開(kāi)CVE脆弱性漏洞平臺的相關(guān)安全數據。客戶(hù)只要注冊輸入企業(yè)使用開(kāi)源軟件名稱(chēng)及設置提醒等級，就可以定期收到和拉取開(kāi)源前瞻性報告OSPRI（IBM Open Source Proactive Reporting Insight）的郵件通知并告知詳細修改建議。快速判斷企業(yè)在開(kāi)源軟件已經(jīng)存在的安全問(wèn)題，以及應急手段和修復建議。

　　IBM 開(kāi)源托底服務(wù)確保漏洞修復、版本升級以及各種日常使用問(wèn)題的響應

　　IBM 提供7*24小時(shí)的遠程支持服務(wù)、國內一線(xiàn)二線(xiàn)城市現場(chǎng)支持服務(wù)。能夠在漏洞和故障發(fā)生后快速地響應需求。開(kāi)源專(zhuān)家現場(chǎng)巡檢服務(wù)，開(kāi)源故障現場(chǎng)應急響應，開(kāi)源故障現場(chǎng)搶修服務(wù)，關(guān)鍵節假日和重要日期值守，滿(mǎn)足專(zhuān)家快速到場(chǎng)的響應需求。

　　提供開(kāi)源軟件治理評估，對開(kāi)源軟件從軟件引入到退出實(shí)現全軟件生命周期的管理。有效梳理企業(yè)內部各系統開(kāi)源軟件的使用情況，幫助客戶(hù)建立開(kāi)源技術(shù)的各項規定和章程，并幫助企業(yè)制定開(kāi)源使用制度和機制，提供信通院開(kāi)源治理成熟度評估預培訓。

　　“清池活水”，開(kāi)源生態(tài)的蓬勃發(fā)展為企業(yè)發(fā)展提供了源源不斷的助力，與此同時(shí)，也對企業(yè)的開(kāi)源管理和安全把控能力提出了更高的要求。IBM基于自身的開(kāi)源服務(wù)能力，通過(guò)閉環(huán)開(kāi)源治理、支持、洞察服務(wù)和平臺，能夠免除客戶(hù)在開(kāi)源軟件開(kāi)發(fā)、使用和生產(chǎn)運維中的后顧之憂(yōu)，從而為客戶(hù)在數字化轉型、業(yè)務(wù)創(chuàng )新以及業(yè)務(wù)連續性等方面持續保駕護航。