華為云VSS漏洞掃描服務(wù)為你排除Apache log4j2隱患

近日Apache Log4j2漏洞持續(xù)發(fā)酵，已成為中國互聯(lián)網(wǎng)2021年年底前最大的安全事件。華為云VSS漏洞掃描服務(wù)，提供從部署軟件包到上線后的漏洞檢測一整套安全檢測漏洞手段，可有效檢測Apache log4j2漏洞。

華為作為ICT領(lǐng)域廠商，從2000年開始為了確保產(chǎn)品的安全性，逐步完善從產(chǎn)品交付，到產(chǎn)品上線后的開源漏洞應(yīng)急響應(yīng)的能力。

華為開源組件合規(guī)和安全要求融入IPD研發(fā)流程，確保華為產(chǎn)品的安全性：

研發(fā)階段，華為公司內(nèi)部通過引入自研源碼和二進(jìn)制成分分析工具，進(jìn)行開源軟件的合規(guī)以及安全漏洞問題的檢測；

服務(wù)上線后，通過產(chǎn)品開源組件生命周期管理和漏洞應(yīng)急響應(yīng)措施，確保開源漏洞及時(shí)響應(yīng)。

華為云VSS漏洞掃描服務(wù)，為華為云客戶提供針對(duì)于Web、主機(jī)和軟件包的漏洞檢測能力：

Web漏洞掃描服務(wù) ，通過發(fā)送POC檢測報(bào)文，對(duì)常見Web漏洞、開源組件漏洞及弱密碼進(jìn)行安全檢測，適用于已上線的web服務(wù)。通過檢測反饋的速度，動(dòng)態(tài)調(diào)整發(fā)包速度，以降低對(duì)用戶現(xiàn)網(wǎng)的影響。同時(shí)Web漏洞掃描服務(wù)可設(shè)置每日定時(shí)任務(wù)，提供持續(xù)的現(xiàn)網(wǎng)安全檢測，使用最新的漏洞庫進(jìn)行安全排查，確保客戶現(xiàn)網(wǎng)安全；

主機(jī)漏洞掃描 ，針對(duì)暴露于公網(wǎng)的linux主機(jī)進(jìn)行安全掃描，可排查操作系統(tǒng)漏洞、開源組件漏洞、配置基線等安全問題，可有效檢測主機(jī)安全性問題，同時(shí)針對(duì)于等保合規(guī)要求，提供專項(xiàng)安全檢查能力；

二進(jìn)制成分分析（預(yù)計(jì)2022年1月底正式提供商用服務(wù)） ，可針對(duì)于軟件發(fā)布包和固件進(jìn)行安全檢測，支持linux安裝包（rpm、tar.gz）、web部署包（war、tar、jar）、移動(dòng)應(yīng)用包（apk、hap）進(jìn)行開源軟件license及開源組件漏洞檢測，支持C、C++、Java、Python和Go語言開發(fā)的軟件包掃描，確保軟件包上線前的安全。

華為云安全將持續(xù)為華為云客戶持續(xù)提供有競爭力的安全產(chǎn)品。

審核編輯 黃昊宇