簡介：2021年12月10日，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Log4j2遠程代碼執行漏洞（CNVD-2021-95914），此漏洞是一個基于Java的日志記錄工具，為Log4j的升級。作為目前最優秀的Java日志框架之一，被大量用于業務系統開發。

漏洞信息

漏洞編號	CNVD-2021-95914
漏洞等級	高危
影響范圍	Apache Log4j 2 2.0 - 2.14.1
安全版本	Log4j-2.15.0

早在2021年11月24日阿里巴巴云安全團隊就報告了該漏洞，為了幫助大家更快的識別漏洞，避免受到潛在的攻擊，云效技術團隊提供了針對該漏洞的處理方案。

源碼級掃描，將風險及時扼殺

阿里云云效代碼管理平臺 Codeup 的「依賴包漏洞檢測」支持在源碼層面實時掃描依賴包風險，并提供漏洞修復方案，可針對企業代碼庫自動掃描漏洞并快速報出，避免人工肉眼排查可能造成的風險遺漏。

本次 Log4j 已被定義為 Blocker 級別高危漏洞，強烈建議盡快升級修復：

如何使用檢測

代碼庫管理員進入倉庫設置-集成與服務中開啟「依賴包漏洞檢測」，請注意 Java 代碼需要勾選「設置 Java 檢測參數」：

開啟后默認分支將自動開始執行檢測，等待檢測完成，可查看分支代碼檢測詳情，在檢測報告中提供了漏洞說明與修復方案建議：

由于漏洞庫實時更新，歷史已開啟掃描的代碼庫需要主動開關或提交代碼以觸發執行一次最新掃描。

如何修復漏洞

依據檢測建議，修改 Apache Log4j 相關依賴版本至最新的 Log4j-2.15.0 。

自動修復漏洞

手動依次更新依賴文件非常繁瑣，云效代碼管理平臺 Codeup 還提供了智能化的漏洞自動修復能力，當檢測出存在該安全漏洞時，在「安全」問題列表頁面將提供黃色標識，支持一鍵自動修復漏洞：

展開問題詳情，點擊「創建合并請求自動修復」按鈕將自動生成一個合并請求，人工審核確認后可一鍵合并，自動修復漏洞：

查看文件差異可以看到該合并請求已自動將代碼 pom.xml 中的 Log4j 依賴版本升級到建議的安全版本：

人工確認后點擊合并，代碼合并變更將自動重新觸發代碼檢測服務，查看檢測結果可確認漏洞已修復解決：

極致的云端代碼托管保護

本次 Apache Log4j2 開源依賴包漏洞為所有人敲響警鐘，企業的代碼作為最重要的數字資產之一，很可能正面臨著各種安全風險。企業和開發者在解決這個單點問題的同時，還需要思考如何更全面的保障自己的代碼數據安全。

阿里云云效代碼管理平臺 Codeup 提供了豐富的安全服務，在訪問安全、數據可信、審計風控、存儲安全等角度全方位保障企業代碼資產安全，如果你開始重視安全這件事，不妨立即前往云效 Codeup 開始探索。

原文鏈接
本文為阿里云原創內容，未經允許不得轉載。

總結

以上是生活随笔為你收集整理的使用云效Codeup10分钟紧急修复Apache Log4j2漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。