近期，关于Log4j2漏洞的动态，正持续成为安全乃至整个IT圈的重要话题。

简单介绍，Log4j是Apache的一个开源项目, 是基于Java的日志记录框架。而Log4j2是log4j的后继者，被大量用于业务系统开发，记录日志信息。很多互联网公司以及耳熟能详的公司的系统都在使用该框架。本次产生的Log4j2漏洞，即是存在于这一基础组件中的严重漏洞。

广泛的产品应用范围是这一漏洞产生影响的首要关键。而在另一方面，这一漏洞的利用方式也非常简单。有媒体总结，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，并能远程控制用户受害者服务器。

整体而言，这一应用范围广泛且利用方式简易的漏洞，在过去一段时间内引起了包括安全工程师在内的众多开发人员的关注。更深远的影响是，在紧急修补漏洞的动作之外，不少行业人士也由此围绕开源组件的安全治理、云原生安全的应对之策进行了讨论。

日前，由云安全联盟大中华区主办，雅客云安全协办的《从Log4j2事件看云原生架构演进的安全挑战和解决之道》论坛也在线上举行。在活动中，前以色列Check Point中国区总经理陈欣作为主持，首个中国原创CNCF开源项目Harbor创始人张海宁、京东科技云安全架构师邱雁杰、雅客云安全的联合创始人冯向辉三位嘉宾就相关话题进行了线上分享。与此同时，36氪也整理了一些会议嘉宾的观点，以供读者了解和参考：

京东科技云安全架构师邱雁杰：

Log4j2作为Java语言使用范围极广的基础日志组件被大量应用系统使用，据不完全统计在Github上超过6万个开源项目受到漏洞影响，Log4j2远程代码执行漏洞也被大家称为“Log4shell”。在漏洞发现后，很多互联网公司都在第一时间进行漏洞影响评估和修复，京东科技也是，但是我们不止看Log4j2漏洞带来的影响，更透视和思索开源组件的安全风险。

Apche Log4项目维护中，项目研发人员的研发能力、代码开发能力、功能实现能力都很强，但在安全问题的解决上面的知识或者能力存在一定的不足。从2009年到2020年，开源组件漏洞数是呈现持续走高的态势，当企业或者研发者要去使用开源组件时，安全风险管控势在必行。

在针对开源安全组件进行风险管理时，我们首先要构建漏洞防御的系统，能够在漏洞爆发时帮助进行漏洞的防护。另外，我们还希望更进一步在漏洞爆发前能提前检测到漏洞，能让研发的同学提前进行修复。其实我们还有一个漏洞检测系统，能根据开源组件去进行漏洞检测。并且，除了在防护以及到发布之前去做部署，我们更希望在研发阶段就能够帮助发现风险并处置，所以，我们还建立了一个指纹采集系统，用以帮助研发运维同学采集指纹信息，并且能根据京东内部的一个漏洞库做指纹与漏洞的比对，在研发测试阶段就发现对应的漏洞进行处置。

雅客云联合创始人冯向辉：

Log4j2漏洞只简单的两个步骤就引起整个IT界一片哀鸿，也触动了我们的反思。在整个漏洞出来后厂家的解决方案主要有三类：左侧扫描漏洞，右侧拦截；左右都做，既扫描，也在运行时帮助做拦截。

在云原生环境下，DevOps的流程快速动态的引入了一些未知的应用、库、系统，导致攻击面无限的放大；云原生环境中微服务产生了海量的东西向流量，这些流量没有办法被安全监管。同时在云原生的环境中，还有很多的安全产品没有被云原生化，所以云原生环境中，网络侧基本在裸奔，网络流量基本没有任何防护。这样条件下的云原生，基本是“把薪助火”。

在整个云原生的架构中，底层架构安全能力很重要，所有的微服务都承载在底层的平台上，首先要保证底层平台基础设施的安全，比如容器安全，K8s编排系统安全，边缘安全等能力。然后上面一层是业务层的安全能力，基本上指的是网络侧的能力。但是目前在整个云原生的环境中，网络侧的安全能力相对来讲比较脆弱。在云原生环境下，微服务间会产生海量东西向流量。东西向流量一定需要对网络安全的能力做充分安全监管。这种强需求会推动传统的网络安全能力逐渐走向云原生化，然而在整个云原生的环境中资产极度碎片化、工作负载极度动态，因而云原生的网络安全能力必须要动态地保护这些动态变迁的资产，这种能力非常重要，这并不是简单地把传统安全产品塞到容器里就可以实现的。

引用Log4j的攻击链来看，过去我们过分关注了安全产品的差异化，导致了数据的割裂性及防护体系的欠缺。在云原生安全体系中，我们更需要关注数据的联通性，淡化个体安全产品的差异化。我们更需要关注安全产品是不是能够采集关联性数据，在底层把数据打通，让数据成为安全运营的指挥官，对整个安全能力及安全策略做一个统一的编排管理，让数据提供全局安全指导，实现软件定义安全的终极目标，让安全随业务落地而落地，随业务迁移而迁移。

Harbor创始人张海宁：

漏洞带来的安全问题确实是企业十分重视的话题，尤其是在很多应用向云原生平台迁移的今天，安全漏洞问题值得我们关注、应对的机制和方法需要我们深度思索。Log4j2漏洞CVE编号2021-44228，被业界称为“核弹级”漏洞。

漏洞爆发后，Harbor社区也十分关注，但是由于Harbor用Go编程语言开发，不受这个漏洞的影响。而另一方面，Harbor内置了云原生镜像扫描功能，可以发现镜像中存在的漏洞。因为Log4j2漏洞影响面非常大，所以我们建议使用Harbor的用户及时更新CVE的漏洞库，以便发现镜像中的Log4j2漏洞并采取相应的措施。目前Harbor内置的Trivy和第三方的扫描器可以支持更新CVE漏洞库。同时，从安全漏洞的告警流程分析，大家也需要关注安全漏洞披露注意事项。比如，在除了反馈软件的原开发者外，大家也需要根据相关法律法规规定向网络安全相关主管单位第一时间汇报。