现在,你可能正在评估你的暴露程度,或者正在补救最近披露的名为Log4Shell的漏洞。
我们最近推出了与Snyk的原生集成,Snyk是一家领先的开发者安全解决方案供应商,可以帮助你解决零日漏洞。一旦启用,Snyk将扫描你的代码及其依赖关系,并提醒你注意安全漏洞,包括Log4j。
所有当前版本的Log4j 2直到2.14.1都有漏洞。你可以通过更新到2.16.0或更高版本来补救这个漏洞。
这个新的漏洞是在开源的Java库org.apache.logging.log4j:log4j-core中发现的,它是最流行的Java日志框架之一Log4J的一个组件。它被分配到CVE-2021-44228,被归类为危急,CVSS评分为10,并具有成熟的利用级别,因为已经有明确的证据表明它在野外被利用。
如果你需要帮助了解如何在Bitbucket Cloud中使用Snyk集成,请查看这个简短的视频或这篇博文以了解更多。
注意:Snyk集成应该由你的Bitbucket管理员启用。一旦启用,其他用户就可以通过版本库屏幕上的安全标签访问该集成。
Log4Shell与Bitbucket Cloud和Snyk集成的修复出现在Bitbucket上的第一篇文章。
