最近的 Log4j 漏洞事件无疑为企业敲响了安全警钟。如何加强此类事件的“防微杜渐”以及开源安全的风险治理，成为被广泛探讨的新命题。

　　2021年年末爆发的 Log4j 安全漏洞堪称互联网历史上破坏力最惊人的漏洞之一。当危机发生时，几乎每家公司都在争分夺秒地修补该漏洞，许多 IT 人员疲于深夜抢修及应急打补丁，防止黑客利用其进行攻击。

　　根据统计，有超过35,863个开源软件 Java 组件依赖于 Log4j，意味着超过 8% 的软件包里至少有一个版本会受此漏洞影响。漏洞在依赖链中越深，修复步骤就越多。根据云安全专家评估，每秒有超过 1000次利用 Log4j 漏洞的尝试。有不法分子利用远程代码执行漏洞窃取云基础设施，部署加密货币矿工和勒索软件。随着危机的持续发酵，此次 Log4j 漏洞带来的损失目前尚无法准确评估。一个数字仅作为参考：安联财险发布的相关报告显示，中国每年因网络袭击造成的经济损失高达 3996亿元。

　　Apache Log4j2 被曝出一个高危漏洞，攻击者通过 jndi 注入攻击的形式可以轻松远程执行任何代码。该漏洞被命名为 Log4Shell，编号 CVE-2021-44228。随后官方紧急推出了2.15.0和2.15.0-rc1新版本修复，但依然未能完全解决问题。12月12日，安全公司Blumira发现 Log4j 漏洞出现了另外一种攻击载体，攻击者可以利用漏洞攻击那些并不暴露于任何网络内部系统中的以 localhost 运行的服务。

　　Apache Log4j2 团队发布了Log4j 2.16.0版本，主要修复第二个漏洞CVE-2021-45046。

　　安全公司Praetorian 的研究人员警告说，为修复最初的Log4Shell而发布的Log4j 2.15.0 版存在第三个安全漏洞。在某些情况下，攻击者可以利用第三个漏洞来窃取敏感数据。

　　Apache软件基金会紧急发布了修补后的2.17.0新版本，并随后发布了一个新补丁。官方承认2.16.0版本无法在查找评估中妥善防止无限递归，因而易受CVE-2021-45105 攻击的影响。

　　工信部网络安全管理局通报，暂停国内某公有云厂商作为其网络安全威胁信息共享平台合作单位，为期6个月。原因：该厂商在发现Apache Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

　　IBM 作为全球的软硬件及服务提供商，从 12月 11日起就持续向大中华区在内的全球客户和相关组织发布对这个漏洞的应对措施、受到影响的产品列表以及响应的产品补丁信息，并从企业、产品、咨询、安全、云服务等不同维度给客户提供了参考建议。此外，IBM 技术支持服务部结合IBM Security定制化安全解决方案，帮助组织将安全性融入业务结构，安然度过不确定性时期。详情请访问（https://www.ibm.com/blogs/psirt/an-update-on-the-apache-log4j-cve-2021-44228-vulnerability/ ）

　　Log4j 漏洞事件发生后，一部分人抨击项目维护者未能及时发现问题。面对这样的指责，开发者立即做出回应，对抹黑其无偿志愿劳动的声音进行反击。有网络安全专家认为 Log4j 中的远程代码执行漏洞可能需要数月、甚至数年时间才能得到妥善解决。这不禁唤起了大家对于开源软件开发、付费与维护方式的深切思考：

　　显而易见，获取消息的时间越早，就能够越早对其进行响应，减少漏洞带来的损失。

　　面对这样的突发事件，系统运维团队和管理团队都会经历一次巨大的考验。例如，如何定位问题？怎样对问题进行修复？如何大面积地对业务系统进行修复补丁发布？如何评估发布后的影响？这些问题都是管理者应该提前考虑到的。

　　对软件进行有效的管理能够带来诸多的好处。首先，能够定期地对系统内部使用的软件进行安全漏洞审查，及时地发现漏洞；同时，在发现漏洞后能够快速、精准地定位漏洞影响到的业务及应用系统，并对相应的漏洞进行修复，减少损失。

　　作为企业级IT服务的全球领先者，IBM早已涉足开源服务领域，目前已能提供成熟的企业级开源治理和支持服务。针对开源支持领域面临的痛点和挑战，为全行业提供开源运维托底、开源原厂支持、开源治理管控等开源解决方案。涵盖超过257种开源软件支持服务（年度更新），为国内一线、二线城市提供7*24类似于商业软件售后支持的能力，配备超过200名以上资深和专业开源支持专家，为大中小型金融、企事业单位提供远程、驻场、抢修、重保、巡检等开源支持服务。

　　IBM 开源洞察平台聚合了美国NIST NVD、开源基金会社区、IBM X-Force安全交换平台和公开CVE脆弱性漏洞平台的相关安全数据。客户只要注册输入企业使用开源软件名称及设置提醒等级，就可以定期收到和拉取开源前瞻性报告OSPRI（IBM Open Source Proactive Reporting Insight）的邮件通知并告知详细修改建议。快速判断企业在开源软件已经存在的安全问题，以及应急手段和修复建议。

　　IBM 开源托底服务确保漏洞修复、版本升级以及各种日常使用问题的响应

　　IBM 提供7*24小时的远程支持服务、国内一线二线城市现场支持服务。能够在漏洞和故障发生后快速地响应需求。开源专家现场巡检服务，开源故障现场应急响应，开源故障现场抢修服务，关键节假日和重要日期值守，满足专家快速到场的响应需求。

　　提供开源软件治理评估，对开源软件从软件引入到退出实现全软件生命周期的管理。有效梳理企业内部各系统开源软件的使用情况，帮助客户建立开源技术的各项规定和章程，并帮助企业制定开源使用制度和机制，提供信通院开源治理成熟度评估预培训。

　　“清池活水”，开源生态的蓬勃发展为企业发展提供了源源不断的助力，与此同时，也对企业的开源管理和安全把控能力提出了更高的要求。IBM基于自身的开源服务能力，通过闭环开源治理、支持、洞察服务和平台，能够免除客户在开源软件开发、使用和生产运维中的后顾之忧，从而为客户在数字化转型、业务创新以及业务连续性等方面持续保驾护航。