運用 GitLab Security features 檢測是否受到 Log4j 漏洞影響
Posted December 15, 2021. News from blog.gitlab.com ‐ 1 min read
Log4j 漏洞影響全球,GitLab 官方也順勢整理了目前 GitLab 有哪功能可以幫上你的忙!
來自 2021/12/15 GitLab 官方 Blog 的消息。
Log4j 漏洞轟動全球,不知道各位 IT 人是否已經安然渡過危機?如果你還在與它苦苦奮鬥,那也許 GitLab 可以幫上一些忙。在 GitLab 付費等級中,有多項與資安相關的 Scan 功能是可以幫助你用來檢測漏洞,在前述官方 Blog 的文章中,官方已幫我們一一整理,並在文中快速示範該如何操作:
Dependency Scanning (需升級至 Ultimate)
仰賴
template: Security/Dependency-Scanning.gitlab-ci.yml
,想更了解此 Template 的內容,可參閱官方 Project。Container Scanning (需升級至 Ultimate)
仰賴
template: Security/Container-Scanning.gitlab-ci.yml
,然後搭配 Docker image -log4shell-vulnerable-app:latest
。想更了解此 Template 的內容,可參閱官方 Project。Cluster image scanning (需升級至 Ultimate)
仰賴
template: Security/Cluster-Image-Scanning.gitlab-ci.yml
,同樣是搭配 Docker image -log4shell-vulnerable-app:latest
,但這次是要套用在 K8s Cluster 中。想更了解此 Template 的內容,可參閱官方 Project。Advanced Search (需升級至 Premium)
仰賴 GitLab 的 Advanced Search API,利用搜尋
log4j
關鍵字的方式,幫助你查找有沒有哪個 Project 可能有使用到 Log4j。
GitLab 官方除了說明有哪些 Security features 可以提供幫助,也有針對 GitLab 是否有使用到 Log4j 做出說明,如果想要了解 GitLab 本身是否會受到 Log4j 漏洞的影響,可以參閱另外這篇官方說明喔!