運用 GitLab Security features 檢測是否受到 Log4j 漏洞影響

Posted December 15, 2021. News from blog.gitlab.com ‐ 1 min read

Log4j 漏洞影響全球,GitLab 官方也順勢整理了目前 GitLab 有哪功能可以幫上你的忙!

來自 2021/12/15 GitLab 官方 Blog 的消息。

Log4j 漏洞轟動全球,不知道各位 IT 人是否已經安然渡過危機?如果你還在與它苦苦奮鬥,那也許 GitLab 可以幫上一些忙。在 GitLab 付費等級中,有多項與資安相關的 Scan 功能是可以幫助你用來檢測漏洞,在前述官方 Blog 的文章中,官方已幫我們一一整理,並在文中快速示範該如何操作:

  • Dependency Scanning (需升級至 Ultimate)

    仰賴 template: Security/Dependency-Scanning.gitlab-ci.yml,想更了解此 Template 的內容,可參閱官方 Project

  • Container Scanning (需升級至 Ultimate)

    仰賴 template: Security/Container-Scanning.gitlab-ci.yml,然後搭配 Docker image - log4shell-vulnerable-app:latest。想更了解此 Template 的內容,可參閱官方 Project

  • Cluster image scanning (需升級至 Ultimate)

    仰賴 template: Security/Cluster-Image-Scanning.gitlab-ci.yml,同樣是搭配 Docker image - log4shell-vulnerable-app:latest,但這次是要套用在 K8s Cluster 中。想更了解此 Template 的內容,可參閱官方 Project

  • Advanced Search (需升級至 Premium)

    仰賴 GitLab 的 Advanced Search API,利用搜尋 log4j 關鍵字的方式,幫助你查找有沒有哪個 Project 可能有使用到 Log4j。

GitLab 官方除了說明有哪些 Security features 可以提供幫助,也有針對 GitLab 是否有使用到 Log4j 做出說明,如果想要了解 GitLab 本身是否會受到 Log4j 漏洞的影響,可以參閱另外這篇官方說明喔!