Log4j2爆發高危漏洞，麒麟軟件第一時間為客戶提供專屬安全保障

世人都曉開源好，安全風險知多少？在數字化轉型潮流下，開源軟件成為了時代的福音，節省開發時間、提升業務效率、特別是節約開發成本，讓開源軟件備受青睞。

近日發生的Log4j2開源軟件漏洞事件卻向行業用戶追捧開源軟件的熱情潑了一盆冷水，引發行業軒然大波。那么，我們在使用開源軟件時應注意什么？漏洞防不勝防下，相比開源軟件，是否有更好的選擇？

去年12月9日深夜，Apache 開源項目Log4j2的遠程代碼執行漏洞細節被公開，行業用戶紛紛為Log4j2熬夜應急。

據了解，Apache Log4j是一個基于Java的日志記錄組件。Apache Log4j2是Log4j的升級版本，通過重寫Log4j引入了豐富的功能特性。該日志組件被全球廣泛應用于業務系統開發，用以記錄程序輸入輸出日志信息。攻擊者利用此漏洞，僅需一段代碼即可遠程控制受害者的操作系統，安全風險不可估量。

作為被廣泛依賴的開源軟件的典型代表，Log4j2漏洞事件波及之廣、危害之大，敲響了開源軟件的安全警鐘，讓長期以來滋養無數行業用戶的開源“免費午餐”似乎不那么香了。

事實上，很多關鍵開源項目背后都是興趣驅動的少量開發者在維護，他們無問報酬，秉承開源情懷，在業余時間兼職開源工作。正如他們自己所說，處理問題時也會優先選擇最感興趣的，當開源軟件出現漏洞，開發者分身乏術，無法7×24小時及時在線修復也無可厚非。倒是過度依賴開源軟件的企業用戶，忽略了開源軟件背后的風險，小心“免費”變“破費”，折戟在Log4j2這類免費的開源軟件上。

因此當漏洞事件發生時，就需要有人挺身而出高效應對，及時響應，快速修復漏洞，在最短時間消除用戶所面臨的風險，而這正是商業軟件公司的職責所在。

麒麟軟件作為一家與開源社區聯系緊密的產品公司，其產品符合ISO 29147和ISO 30111等國際標準，參考GB/T30276-2020國家標準，具備豐富的漏洞管理經驗。

在此次漏洞爆發后，麒麟軟件依托專業的應急響應能力和技術服務能力，基于集自身多渠道發現漏洞、專職應急漏洞響應組快速修復漏洞、及時發布補丁、提供專業修復方案等于一體的網絡安全漏洞管理體系，根據Apache基金會發布的補丁包，持續跟進修復漏洞，并在麒麟軟件官網發布針對Log4j2漏洞的安全公告，推送相應的安全更新補丁、發布加固策略以及防護手段，以麒麟速度承擔起守護客戶安全的責任。

具體此次漏洞修復時間線如下：

2021年12月10日23:00完成漏洞分析，并將分析結果進行內部同步；

2021年12月11日16:00根據Apache基金會發布的補丁包，完成漏洞修復，并對補丁包進行內部測試；

2021年12月12日12:00發布補丁包和安全公告；

2021年12月12日16:00在麒麟軟件官網同步發布安全公告。

作為中國操作系統的核心力量，麒麟軟件具有專門的PSIRT團隊，即產品安全事件應急響應團隊，負責維護公司產品安全質量，建立了對安全漏洞全生命周期管理機制，涵蓋麒麟產品安全漏洞收集與挖掘、驗證測試、修復、安全補丁的發布與公告。

麒麟軟件安全漏洞全生命周期管理機制通過麒麟安全漏洞維護平臺和麒麟安全應急響應中心兩個IT系統進行保障。其中麒麟安全漏洞維護平臺是公司內部對影響麒麟產品的安全漏洞進行全生命周期管理的IT系統，在研發流程上認真做到每一個安全漏洞都能得到完整閉環；麒麟安全應急響應中心由麒麟軟件運營，是全球安全研究組織反饋、提交麒麟軟件相關產品安全漏洞的官方平臺，同時承擔了向客戶提供漏洞情況及安全支持相關工作。

值得一提的是，麒麟軟件安全漏洞收集渠道來源廣泛，包括世界主流安全漏洞發布平臺；參與或組織的各項安全大賽；以及內部專職安全漏洞挖掘團隊等。

截至目前，經過麒麟PSIRT團隊確認、分析并入庫管理的公開CVE漏洞梳理5萬余條，內部團隊挖掘的未公開安全漏洞數量若干，此外，麒麟軟件還積極參與對歐拉社區、優麒麟社區、ubuntu社區貢獻安全補丁等工作。

針對此次Log4j2漏洞異常嚴峻的影響，麒麟軟件將持續跟進Log4j2漏洞最新動態，用專業的技術和優質的服務全力守護客戶業務安全，為客戶提供一份專屬的安心保障。