博客家

使用されている脆弱なLog4jを捕まえろ:検知,修正,防御

shimonot

通过shimonot

9分钟阅读

Log4j在野外:发现,修复和加强

多くの組織において,広く使用されているLog4Shellというオープンソースソフトウェアに,長期に渡ってクリティカルな脆弱性が存在していたという驚きの発見は,まるでスクルージとグリンチが手を組んで,最大のホリデ,強盗を行ったかのようなものでした。世界中のインシデントレスポンスチームは,数百万とは言わないまでも,数千のアプリケーションを修復するために奔走しています(※訳、注:それぞれ英・米の小説・絵本の主人公。クリスマス嫌いで広く知られるのでこのシーズンを意識した表現。”ケチ”の意味で用いられることが多い)

元ホワイトハウスCIOで,現在小堡垒解决方案のCEOを務めるTheresa佩顿氏は,”と説明しています。攻撃者はすぐにこの脆弱性をエクスプロイトして,暗号通貨マイニングマルウェアをインストールしたり,認証情報を盗んだりしたのです。

この危機に対応するために,関連チームは週末を失い,パーティーを欠席し,旅行プランもキャンセルして,膨大な開発環境という干し草の中からの針探しを余儀なくされました。

しかし,Artifactoryとx射线のユ,ザは,このような状態にならなくて済んでいます。もしあなたがその一人なら,JFrog DevOps平台をミッションクリティカルなソフトウェア開発ライフサイクル(SDLC)プロセスの中心に据えることで得られる長期的なメリットを,直接体験することができるでしょう。

Artifactoryのバ@ @ナリリポジトリ管理下に蓄積されたパッケージ,バイナリ,イメージ,メタデータにより,Apache log4jの脆弱性,または,その他のセキュリティ問題に対して迅速に修正するために必要なものはすでに揃っています。

JFrog平台を使用して,どのように組織を迅速に保護できるかを説明します。

  • 検出- Artifactoryのbuild-infoメタデ,タとx射线の深い再帰的スキャンを使用して,本稼働しているアプリケーションのインベントリ全体にわたって,推移的依存関係を含むlog4jパッケージのすべての存在を検出できる
  • 修正- - - - - - x光による脆弱なlog4jパッケージを使用するアプリケーションの特定後,開発者は,更新された安全なバージョンを使用するようにソースコードを更新し,新しいビルドを作成することができる
  • 防御- - - - - - x光スキャン結果に基づいて,log4jの脆弱なバージョンを使用するビルドや,パイプラインにあるlog4j脆弱性を持つビルドのリリースへの昇格をブロックできる
使用#JFrog #Artifactory和#Xray下的包、二进制文件、图像和元数据,您已经拥有了快速修复Apache #log4j漏洞所需的一切。点击Tweet

SBOMにあるLog4jの全てを検出

アプリケ,ションのソフトウェア部品表(sbom)を作成するために,JFrog CLICI/CDオ、トメ、ションの管道でビルド情報のメタデ,タを取得していると思います。これは,JFrog平台が実現する最も重要なDevOpsのベストプラクティスの1で,。

バナリ関連デタを利用して,脆弱なlog4jパッケジのすべてのビルドを検索できます。Artifactoryの豊富な検索機能により、最も関連性の高いビルドをターゲットとして検索を絞り込むこともでき、緊急性の高いものへ作業を集中して的を絞ることができます。

たとえば,不変のビルドプロモ,ションという理想的なDevOpsプラクティスに従っている場合,本番環境へのデプロイメントのためのプロモーションチェーンの最終段階(たとえば,“リリース”リポジトリ)用のArtifactoryリポジトリのみに検索を限定することで効率化することができますーテストに失敗したものや,何らかの理由でブロックされたビルドをArtifactoryで調査する必要はありません。

Log4jまたは任意の脆弱なパッケジを見ける主要な方法を見てみましょう。

JFrog平台の検索バ,を使用する

JFrog平台ユザンタフェスの上部にあるアプリケ,ション検索バから,リポジトリ全体でどのアテムがどこで使われているかを簡単に検索できます。Artifactoryの検索バーを使用して、Artifactory リモートリポジトリにキャッシュされている log4j パッケージ、およびローカルリポジトリとビルドでの位置を検索します。

使用Artifactory查找log4j包

Artifactoryのアドバンスド検索によって,必要に応じて結果をフィルタリングすることができます。例えば,log4j 2.0以上のバ,ジョンにのみ脆弱性がある場合等です。あるいは,製品リリ,スを保持しているリポジトリのみを検索すれば十分であることも多いです。

Artifactoryクエリ言語の使用

また,人工查询语言(AQL)找到リクエストを使用して,複雑な条件を使用してリポジトリを検索し,フィルタリングされたビルドのリストを生成することができます。

たとえば次のクエリによって,log4j-coreライブラリを使用するすべてのビルドを検索することができます。

构建。找到({ "$and" : [ {"module.dependency.item.name":{"$match":"log4j-core"}} {"created": {"$gt": "2019-01-01"}}, {"promotion.repo": {"$match":"maven-release"}} ] }).include("name", "repo", "@version")

以下のような幅広いAqlフィルドクラテリアでのフィルタリングをニ,ズに応じて行うことができます。

  • 创建-過去1年間、特定の日付等の生成日で対象ビルドを絞る
  • promotion.status——SDLCプロモーションパイプラインの特定のステージに移動したビルドのみに絞る(例えば,“释放”)
  • promotion.repo——特定のリポジトリにあるビルドに絞る(例えば,本番環境にリリースされたビルドを保持するリポジトリのみを対象とする)

x射线CVE検索の使用

12月10日現在,Apache Log4jのセキュリティ問題は,cve - 2021 - 44228として国家漏洞数据库(NVD)に登録されています. .これは,JFrog x射线のようなソフトウェアコンポジションアナリシス(sca)ルにより識別され,脆弱性の存在を認識するのに役立ます。(注:より新しいcveであるcve - 2021 - 45105も,2.16.0アップデ,ト向けに報告されています)。

ほとんどのSCAツールと異なり,x光はArtifactoryと強く統合しているため,その深い再帰的スキャンによって,Artifactoryリポジトリのすべてで脆弱なコンポーネントの直接または推移的依存関係をすべて検出することができます。

x光がインデックスを更新すると,セキュリティ&コンプライアンス検索バーからリファレンス番号で最新のCVEを検索することができます。

查询最新的CVE

これにより,保存されているパッケージ,ビルド,アーティファクト,リリースバンドル内のCVEが発見された場所のリストが表示されます。

列出了CVE在包、构建、工件和发布包中的位置

他のソリュションが必要ですか?
JFrogセキュリティリサ,チチ,ムの最近のブログにて,Artifactoryとx射线を使った別の検知·修復方法をご覧ください。

ビルドに含まれるLog4jの依存関係の修正

どのアプリケーションとビルドに脆弱性があるかが判れば,開発チームは,安全とみなされる最新バージョンのlog4j(現在v2.17.0)を使用するようにソースコードを更新し,修正済みの新しいビルドとリリースバンドルを作成することができます。

その後,より安全なアプリケ,ションリリ,スを,JFrog分布などによってさまざまな稼働ポ电子邮箱ントに配信したり,头盔チャ,トを通じてKubernetes Docker注册表することができます。

開発を待てない場合は,Artifactory仮想リポジトリの優先機能を利用して,暫定的に脆弱性を緩和したビルドを作成することができます。詳しい方法は,最近のLog4shellブログで説明されています。

将来の脆弱性からのリポジトリの保護

一度アプリケーションを修復したら,今後作成するリリースや新たなアプリケーションにおいても,log4jのセキュリティ問題,そして将来的に発見されうる他の脆弱性が含まれないことを保証したいでしょう。

準備として,x射线でスキャンしたいリポジトリ(例えば,“リリ,ス”リポジトリ)が,x射线でx射线ンデックスが有効と設定されている必要があります。これらの显像管ンデックスが作成されたリポジトリのみがx射线でのスキャン対象となります。

x射线のポリシ,とル,ルを使用して,選択したレポジトリのパッケージとビルドで,しきい値として指定した深刻度レベルを超えた脆弱性を自動的に認識します。最小的严重性を高に設定すると,クリティカルなlog4jの脆弱性だけでなく,最近のアップデート向けのクリティカルではない脆弱性も含まれます。また,自動アクションを設定して、Xray ポリシー違反に対応できるように、通知の送信、Webhook のトリガー、または安全でないパッケージのダウンロードのブロックを設定できます。

设置x射线策略规则

これらのポリシ,をx射线ウォッチと関連付けたり,主要なリポジトリ,ビルド,またはバンドルと関連付けることができます必要であれば,电子邮件ンデックスが作成されたすべてのリポジトリにウォッチを割り当てることもできます。ウォッチでは,x射线ウォッチフィルタを設定して,対象をApache log4jに限定できます。

在Xray SCA工具中为选定的存储库配置监视

ウォッチが実行されると,x射线が検出した違反の調査ができ,脆弱なバ,ジョンのApache log4jのすべての使用が,将来の問題を防ぐためにx射线セキュリティレポ,トに含まれます。

JFrog統合機能により,x射线アラ,トをPagerDutyに送信したり,x射线レポ,トをSlackに送信したりすることで,。

もっと詳しく知りたい方はこら
x射线の概要はx射线ク▪▪ックスキャンガ▪▪ドがあり,使い始めに有効です。

数時間で修復

メディアが報告を続ける中,世界中のインシデントレスポンスチームは,Apache log4jのセキュリティ問題による自社の広範な損害を軽減するために,何日も何週間も費やしてしまうことが予想されます。

しかしJFrog平台の8000以上の顧客は,SaaSであれセルフホステッドであれ,わずか数時間でlog4jの脆弱性を検出修正し,ソフトウェアのサプラ強化する手段を手に入れることができるのです。Artifactoryと Xray が可能にする豊富なバイナリ管理、SBOM, SCAを通じたDevSecOpsのベストプラクティスは,多くの人の週末や休日を返上せずにすむよう役立っています。

x光のスキャンは,18種類のパッケ,ジ形式に対応しています。Apache log4jが存在するJavaライブラリに加え,JavaScript, PHP,码头工人,去,c++などのリポジトリをスキャンすることが可能です。

#JFrog平台的用户可以在几个小时内找到、修复和加强他们的整个软件供应链,防止#log4j漏洞。点击Tweet

92%のアプリがオプンソスを使用している今日では,広く使われているパッケージにクリティカルな脆弱性が発見されるのは今回が最後ではないでしょう。Log4jのセキュリティ問題は,松鼠の脆弱性, 2020年の太阳风事件に続く大きな問題です。世界経済フォ,ラムは,最大のサ▪▪バ▪▪セキュリティ課題として,サプラ。

ソフトウェア開発企業,。しかし,そのような心配は無用です。JFrog平台を使用しているチ,ムのリ,ダは,ベッドでぐっすり眠ることができます。

個別のx射线デモで,DevSecOpsのビジョンをご覧に入れましょう。

JFrog平台をまだ使ったことがないという方は簡単に無料ではじめられます

受欢迎的标签