最近的 Log4j 漏洞事件無疑為企業(yè)敲響了安全警鐘。如何加強(qiáng)此類事件的“防微杜漸”以及開源安全的風(fēng)險治理，成為被廣泛探討的新命題。

　　2021年年末爆發(fā)的 Log4j 安全漏洞堪稱互聯(lián)網(wǎng)歷史上破壞力最驚人的漏洞之一。當(dāng)危機(jī)發(fā)生時，幾乎每家公司都在爭分奪秒地修補(bǔ)該漏洞，許多 IT 人員疲于深夜搶修及應(yīng)急打補(bǔ)丁，防止黑客利用其進(jìn)行攻擊。

　　根據(jù)統(tǒng)計，有超過35,863個開源軟件 Java 組件依賴于 Log4j，意味著超過 8% 的軟件包里至少有一個版本會受此漏洞影響。漏洞在依賴鏈中越深，修復(fù)步驟就越多。根據(jù)云安全專家評估，每秒有超過 1000次利用 Log4j 漏洞的嘗試。有不法分子利用遠(yuǎn)程代碼執(zhí)行漏洞竊取云基礎(chǔ)設(shè)施，部署加密貨幣礦工和勒索軟件。隨著危機(jī)的持續(xù)發(fā)酵，此次 Log4j 漏洞帶來的損失目前尚無法準(zhǔn)確評估。一個數(shù)字僅作為參考：安聯(lián)財險發(fā)布的相關(guān)報告顯示，中國每年因網(wǎng)絡(luò)襲擊造成的經(jīng)濟(jì)損失高達(dá) 3996億元。

　　Apache Log4j2 被曝出一個高危漏洞，攻擊者通過 jndi 注入攻擊的形式可以輕松遠(yuǎn)程執(zhí)行任何代碼。該漏洞被命名為 Log4Shell，編號 CVE-2021-44228。隨后官方緊急推出了2.15.0和2.15.0-rc1新版本修復(fù)，但依然未能完全解決問題。12月12日，安全公司Blumira發(fā)現(xiàn) Log4j 漏洞出現(xiàn)了另外一種攻擊載體，攻擊者可以利用漏洞攻擊那些并不暴露于任何網(wǎng)絡(luò)內(nèi)部系統(tǒng)中的以 localhost 運(yùn)行的服務(wù)。

　　Apache Log4j2 團(tuán)隊發(fā)布了Log4j 2.16.0版本，主要修復(fù)第二個漏洞CVE-2021-45046。

　　安全公司Praetorian 的研究人員警告說，為修復(fù)最初的Log4Shell而發(fā)布的Log4j 2.15.0 版存在第三個安全漏洞。在某些情況下，攻擊者可以利用第三個漏洞來竊取敏感數(shù)據(jù)。

　　Apache軟件基金會緊急發(fā)布了修補(bǔ)后的2.17.0新版本，并隨后發(fā)布了一個新補(bǔ)丁。官方承認(rèn)2.16.0版本無法在查找評估中妥善防止無限遞歸，因而易受CVE-2021-45105 攻擊的影響。

　　工信部網(wǎng)絡(luò)安全管理局通報，暫停國內(nèi)某公有云廠商作為其網(wǎng)絡(luò)安全威脅信息共享平臺合作單位，為期6個月。原因：該廠商在發(fā)現(xiàn)Apache Log4j2組件嚴(yán)重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。

　　IBM 作為全球的軟硬件及服務(wù)提供商，從 12月 11日起就持續(xù)向大中華區(qū)在內(nèi)的全球客戶和相關(guān)組織發(fā)布對這個漏洞的應(yīng)對措施、受到影響的產(chǎn)品列表以及響應(yīng)的產(chǎn)品補(bǔ)丁信息，并從企業(yè)、產(chǎn)品、咨詢、安全、云服務(wù)等不同維度給客戶提供了參考建議。此外，IBM 技術(shù)支持服務(wù)部結(jié)合IBM Security定制化安全解決方案，幫助組織將安全性融入業(yè)務(wù)結(jié)構(gòu)，安然度過不確定性時期。詳情請訪問（https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/ ）

　　Log4j 漏洞事件發(fā)生后，一部分人抨擊項目維護(hù)者未能及時發(fā)現(xiàn)問題。面對這樣的指責(zé)，開發(fā)者立即做出回應(yīng)，對抹黑其無償志愿勞動的聲音進(jìn)行反擊。有網(wǎng)絡(luò)安全專家認(rèn)為 Log4j 中的遠(yuǎn)程代碼執(zhí)行漏洞可能需要數(shù)月、甚至數(shù)年時間才能得到妥善解決。這不禁喚起了大家對于開源軟件開發(fā)、付費(fèi)與維護(hù)方式的深切思考：

　　顯而易見，獲取消息的時間越早，就能夠越早對其進(jìn)行響應(yīng)，減少漏洞帶來的損失。

　　面對這樣的突發(fā)事件，系統(tǒng)運(yùn)維團(tuán)隊和管理團(tuán)隊都會經(jīng)歷一次巨大的考驗。例如，如何定位問題？怎樣對問題進(jìn)行修復(fù)？如何大面積地對業(yè)務(wù)系統(tǒng)進(jìn)行修復(fù)補(bǔ)丁發(fā)布？如何評估發(fā)布后的影響？這些問題都是管理者應(yīng)該提前考慮到的。

　　對軟件進(jìn)行有效的管理能夠帶來諸多的好處。首先，能夠定期地對系統(tǒng)內(nèi)部使用的軟件進(jìn)行安全漏洞審查，及時地發(fā)現(xiàn)漏洞；同時，在發(fā)現(xiàn)漏洞后能夠快速、精準(zhǔn)地定位漏洞影響到的業(yè)務(wù)及應(yīng)用系統(tǒng)，并對相應(yīng)的漏洞進(jìn)行修復(fù)，減少損失。

　　作為企業(yè)級IT服務(wù)的全球領(lǐng)先者，IBM早已涉足開源服務(wù)領(lǐng)域，目前已能提供成熟的企業(yè)級開源治理和支持服務(wù)。針對開源支持領(lǐng)域面臨的痛點和挑戰(zhàn)，為全行業(yè)提供開源運(yùn)維托底、開源原廠支持、開源治理管控等開源解決方案。涵蓋超過257種開源軟件支持服務(wù)（年度更新），為國內(nèi)一線、二線城市提供7*24類似于商業(yè)軟件售后支持的能力，配備超過200名以上資深和專業(yè)開源支持專家，為大中小型金融、企事業(yè)單位提供遠(yuǎn)程、駐場、搶修、重保、巡檢等開源支持服務(wù)。

　　IBM 開源洞察平臺聚合了美國NIST NVD、開源基金會社區(qū)、IBM X-Force安全交換平臺和公開CVE脆弱性漏洞平臺的相關(guān)安全數(shù)據(jù)。客戶只要注冊輸入企業(yè)使用開源軟件名稱及設(shè)置提醒等級，就可以定期收到和拉取開源前瞻性報告OSPRI（IBM Open Source Proactive Reporting Insight）的郵件通知并告知詳細(xì)修改建議。快速判斷企業(yè)在開源軟件已經(jīng)存在的安全問題，以及應(yīng)急手段和修復(fù)建議。

　　IBM 開源托底服務(wù)確保漏洞修復(fù)、版本升級以及各種日常使用問題的響應(yīng)

　　IBM 提供7*24小時的遠(yuǎn)程支持服務(wù)、國內(nèi)一線二線城市現(xiàn)場支持服務(wù)。能夠在漏洞和故障發(fā)生后快速地響應(yīng)需求。開源專家現(xiàn)場巡檢服務(wù)，開源故障現(xiàn)場應(yīng)急響應(yīng)，開源故障現(xiàn)場搶修服務(wù)，關(guān)鍵節(jié)假日和重要日期值守，滿足專家快速到場的響應(yīng)需求。

　　提供開源軟件治理評估，對開源軟件從軟件引入到退出實現(xiàn)全軟件生命周期的管理。有效梳理企業(yè)內(nèi)部各系統(tǒng)開源軟件的使用情況，幫助客戶建立開源技術(shù)的各項規(guī)定和章程，并幫助企業(yè)制定開源使用制度和機(jī)制，提供信通院開源治理成熟度評估預(yù)培訓(xùn)。

　　“清池活水”，開源生態(tài)的蓬勃發(fā)展為企業(yè)發(fā)展提供了源源不斷的助力，與此同時，也對企業(yè)的開源管理和安全把控能力提出了更高的要求。IBM基于自身的開源服務(wù)能力，通過閉環(huán)開源治理、支持、洞察服務(wù)和平臺，能夠免除客戶在開源軟件開發(fā)、使用和生產(chǎn)運(yùn)維中的后顧之憂，從而為客戶在數(shù)字化轉(zhuǎn)型、業(yè)務(wù)創(chuàng)新以及業(yè)務(wù)連續(xù)性等方面持續(xù)保駕護(hù)航。