目录
用 Dependency Scanning 检测 log4j 漏洞
极狐GitLab 是一个一体化的 DevOps 平台,本身拥有强大的 DevSecOps 功能,能够提供覆盖软件开发生命周期的安全保障能力,具有使用方便,配置简单,结果可视的特点,而且能够和极狐GitLab 自身的 CI/CD 无缝集成,构建 DevSecOps CI/CD Pipeline,再与极狐GitLab 的 git workfow 结合,真正构建起软件安全交付的 DevSecOps 流程。下面结合近期比较火热的 log4j 漏洞,来演示一下如何用多种手段检测此次漏洞,并快速修复。
测试 Demo Repo
用一个输出 Hello World 的 Java maven 项目来做测试。代码目录结构如下:
$ tree
.
├── pom.xml
├── README.md
└── src
└── main
└── java
└── com
└── example
└── hello
└── Hello.java
pom.xml
文件中,关于 log4j 2 的依赖描述如下:
<dependencies>
<dependency>
<groupId>org.apache.logging.log4j</groupId>
<artifactId>log4j-api</artifactId>