ApacheLog 程代码执行漏洞的利用原理出发

时间：2022-01-23 09:54:31

由于开源成为软件开发的主流，很多软件都是由开源组件组成，很多开源组件都是共享共用的，一旦某个组件发生了安全问题，影响的不仅仅是某一款软件，某一企业或组织，很有可能是众多款软件，众多企业或组织。可以说是一个点影响到了一个面。影响范围大、影响程度深。

一款现代应用程序的百分之八十至九十（80%-90%）均来自开源软件组件的组合SBOM表示出应用程序中包含的软件组件（开源、专有或第三方），并详细说明其来源、许可和安全属性SBOM被用作跨软件供应链跟踪和追踪组件的基本惯例做法的一部分SBOM还有助于主动识别软件问题和风险，并为其补救建立一个起点

通过使用基于多源SCA开源应用安全缺陷检测技术的安全审查工具，可以精准识别应用开发过程中，软件开发人员有意或违规引用的开源第三方组件，并通过对应用组成进行分析，多维度提取开源组件特征，计算组件指纹信息，深度挖掘组件中潜藏的各类安全漏洞及开源协议风险。

随着开源软件及组件被组织广泛应用，带来的安全风险和法务风险也愈发严重。近年来无数企业被护网行动和开源风险所影响，由于管理不严格、制度不规范，在护网行动中只能通过断网的方法，影响产品安全的同时，也对业务正常运转有极大的影响。所以开源治理的工作必然是下一阶段重点内容。那么如何通过开源组件及软件的管控，来助力开源治理呢？

演讲内容：12月9日爆发的开源基础组件Log4j2的RCE（远程代码执行）漏洞再次引发了业界对于开源组件漏洞的关注，此次漏洞影响到全球众多企业，让无数安全相关的从业人员彻夜未眠，同时后续的影响还在持续发酵中，针对此次事件，我们想从体系化的角度思考企业的开源安全治理解决思路，如果有效的提升企业级的开源安全体系能力

演讲内容：近年来，开源社区蓬勃发展，涌现出许多优秀的开源产品和开发框架/组件，我们的生产、生活也与开源绑定的越来越紧密。在应用程序中通常有超过七成的代码是来自于第三方的开源组件，其运行的基础设施例如操作系统、运行时环境、数据库、Web容器也基本都是来自于第三方的。一旦软件供应链遭受到威胁，企业及用户的数据安全将首当其冲。本次分享将从近期ApacheLog4j2远程代码执行漏洞的利用原理出发，介绍如何对此类由软件供应链爆发的0-Day漏洞进行防御以及治理。

标签：ap che 漏洞