利用极狐GitLab DevSecOps 功能检测 log4j 的多种方式

最新推荐文章于 2024-09-13 11:34:33 发布
原创 最新推荐文章于 2024-09-13 11:34:33 发布 · 1.9k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#devops #安全 #ci

本文介绍如何使用极狐GitLab的DependencyScanning和容器镜像扫描功能检测log4j漏洞,并将其集成到CI/CD流程中,实现软件安全交付。

目录

测试 Demo Repo

用 Dependency Scanning 检测 log4j 漏洞

用容器镜像扫描检测 log4j 漏洞

将漏洞检测与 git workflow 相结合

极狐GitLab 是一个一体化的 DevOps 平台,本身拥有强大的 DevSecOps 功能,能够提供覆盖软件开发生命周期的安全保障能力,具有使用方便,配置简单,结果可视的特点,而且能够和极狐GitLab 自身的 CI/CD 无缝集成,构建 DevSecOps CI/CD Pipeline,再与极狐GitLab 的 git workfow 结合,真正构建起软件安全交付的 DevSecOps 流程。下面结合近期比较火热的 log4j 漏洞,来演示一下如何用多种手段检测此次漏洞,并快速修复。

测试 Demo Repo

用一个输出 Hello World 的 Java maven 项目来做测试。代码目录结构如下:

$ tree
.
├── pom.xml
├── README.md
└── src
    └── main
        └── java
            └── com
                └── example
                    └── hello
                        └── Hello.java

pom.xml 文件中,关于 log4j 2 的依赖描述如下:

<dependencies>
    <dependency>
        <groupId>org.apache.logging.log4j</groupId>
        <artifactId>log4j-api</artifactId>
        <version>2.11.0</version>
        </dependency>
    <dependency>
        <gro
最低0.47元/天 解锁文章
DevOps008
关注
记一次gitlab本地部署的迁移过程 #JIHULAB101
seven_xu_的博客
09-30 802
gitlab本地部署的迁移方法
gitlab版本升级 #JIHULAB101
seven_xu_的博客
08-12 665
gitlab版本升级
log4j简单测试
03-28
log4j测试,自己写的一个小小小测试,希望没用过log4j的哥们们干净下载试用
GitLab DevSecOps 功能合集(七大安全功能
最新发布
GitLab 中国发行版
09-13 1327
本分分享了GitLab 的七大安全功能:**SAST(包含 IaC 扫描)、DAST、密钥检测、容器镜像安全扫描、依赖项扫描、许可证安全合规、模糊测试(基于 Web 和 API 两种)
GitLab致力打造DevSecOps 行业标准
GitLab 中国发行版
06-28 1034
人们总在试图更好地命名一个术语:有人提议DevSecOps,有人推荐SecDevOps,有人甚至建议完全放下 "sec",因为它应该是无处不在的。(GitLab)强烈推荐使用DevSecOps,这寓意将安全置于DevOps工作的中心位置。虽然安全是显而易见的,也是流程中自然存在的一部分,但其的重要性足以让它成为每个人的责任。随着流程和政策的自动化,开发人员和安全专家可以更轻易的获取所需信息,以履行这一职责。 我们的DevSecOps平台是一个端到端的安全解决方案,它可以帮助你计划、创建、部署、保护和管
DevSecOpsGitLab IaC 安全扫描,保障云原生安全
weixin_44821942的博客
11-15 205
GitLab 在 14.5 中引入了基础设施即代码(Infrastructure as code,即 IaC)的安全扫描功能。主要针对 IaC 配置文件中的已知漏洞进行扫描。目前支持的配置文件类型有 Ansible、Dockerfile、Kubernetes 以及 Terraform 等。
DevSecOps 落地三部曲|小孩子才做选择,GitLab 安全、高效全都要
GitLab 中国发行版
09-09 1697
GitLab DevOps 布道师马景贺带来《 DevSecOps:始于工具,终于数据,谋全局而非谋一隅》,分享如何利用 DevSecOps 来构建完整、高效的安全防护体系。
Apache Log4j2 远程代码执行漏洞检测工具
12-15
使用这些检测工具,用户可以快速定位并解决Log4j2漏洞,防止恶意攻击者利用该漏洞对系统进行控制。重要的是,不仅要运行这些工具,还应结合其他安全措施,例如更新到最新的Log4j2补丁版本,审查和加固日志配置,以及...
log4j2漏洞检测工具
05-07
**Log4j2漏洞检测工具详解** 在当前的IT环境中,安全问题日益...对于任何使用Java的组织来说,及时检测和修复Log4j2漏洞至关重要,以防止恶意攻击者的利用。因此,理解和熟练使用这类工具是每个IT专业人员必备的技能。
【JAVA】GitlabLog4j2漏洞项目批量查找,依赖检索
xbl的博客
12-14 6681
目录 一、概述 二、具体实现 1.产出依赖结果树 (1)gitlab项目信息获取 (2)分析pom.xml文件 (3)执行依赖分析,生成依赖结果Tree 2.解析依赖结果树 三、附言 一、概述 前几天,Apache Log4j2 爆出远程代码执行漏洞,攻击者可利用该漏洞构造特殊的数据请求包,最终触发远程代码执行,对于JAVA项目来说,Log4j几乎是必备的组件,漏洞的爆出直接覆盖了一大堆java项目。 首先需要找出哪些项目可能会被本漏洞影响,才能完成漏洞修复,这便是个比较麻烦的问题,.
gitlab4j-api:GitLab4J API(gitlab4j-api)提供了功能齐全的Java客户端库,可通过GitLab REST API使用GitLab存储库
04-28
GitLab4J:trade_mark:API(gitlab4j-api) 适用于GitLab REST API的Java客户端库 GitLab4J:trade_mark:API(gitlab4j-api)提供了一个功能齐全且易于使用的Java库,用于通过GitLab REST API与GitLab存储库一起使用。 此外,还提供了对使用GitLab Webhooks和系统挂钩的全面支持。 目录 Java 8流支持 渴望评估示例用法 延迟评估示例用法 Java 8可选<T>支持 发行时间估计 进行API调用 可用的子API GitLab服务器版本支持 GitLab4J-API支持GitLab社区版(gitlab-ce)和GitLab企业版(gitlab-ee)的11.0+版本。 GitLab于2018年6月发布了GitLab版本11.0,其中包括对GitLab的许多重大更改。 如果您使用的GitLab服务器版本低于11.0,则强
(GitLab) 马景贺:DevSecOps落地实践的挑战与应对之道
m0_46700908的博客
06-09 3226
没有一劳永逸的安全,只有永不止步的行动
Log4j 漏洞测试
热门推荐
我是个农民的博客
12-12 5万+
Log4j 漏洞测试 紧跟潮流,介绍在windows下进行 Log4j 漏洞测试,linux上步骤也都一样。 1、参照项目,项目地址: https://github.com/mbechler/marshalsec 克隆代码到本地,mvn clean package -DskipTests打包,target 目录下会生成marshalsec-0.0.3-SNAPSHOT-all.jar 2、新建一个普通的 java 类,等会将此类注入到待测试的项目中。可以随便写逻辑 (生成文件、定时关机等) 示例:功能是在
GitLab 专家分享|关于 DevSecOps ,你需要知道这几点
GitLab 中国发行版
03-02 599
为何现代软件需要DevSecOps
基于GitLab搭建DevSecOps流水线
武天旭的博客
05-20 1974
GitLab是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建Web服务,可通过Web界面访问公开的或者私人的项目。它拥有与GitHub类似的功能,能够浏览源代码,管理缺陷和注释,也可以自定义流水线(pipeline),在流水线中配置CI/CD以及集成软件质量测试和安全测试工具。安装环境:CentOS安装要求:内存大于2GB登录GitLab,用户名是root,初始密码保存在/etc/gitlab/initial_root_password文件中。
log4j 2之简单测试
undergrowth的专栏
09-28 2624
1.去官网      http://logging.apache.org/log4j/2.x/download.html 点击打开链接 下载log4j 2的jar包和source包    2.新建Log4j2_Test 项目 并添加log4j-api-2.0-beta9.jar和log4j-core-2.0-beta9.jar 添加到工程中            3.编写测试文件    Lo
DevSecOps | GitLab 动态应用程序安全测试(DAST)使用指南
GitLab 中国发行版
08-25 3787
DAST 是 Dynamic Application Security Testing 的缩写,也即动态应用程序安全测试,属于应用程序安全测试的一种,与 SAST 相对应,属于黑盒测试。
【实战】一次简单的log4j漏洞测试
crowsec
12-19 4545
【实战】一次简单的log4j漏洞测试
GitLab DevSecOps 为企业许可证安全合规保驾护航
GitLab 中国发行版
03-03 813
GitLab DevSecOps 为企业构建坚固的安全防护体系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值