DevOps經歷的 Log4j痛苦經歷 - Reddit
我的公司一直在為log4j的修復而苦惱:
巨大的微服務架構意味著數百個應用程式需要更新、重建和重新部署他們的repo。
更糟的是,自從log4j之後,該公司對所有的庫都進行了嚴格的掃描和修復要求。如果在幾天內沒有得到解決,儲存庫中的映象有任何CVE,現在就會被升級到有副總裁參與的作戰室...。
我們的CI/CD肯定沒有準備好,而且一直在努力保持我們的數百個正在執行的應用程式的頂部,因為新的漏洞被發現...... 而我們是一家大公司(比如,最大的公司之一)。
我只是想知道其他開發者有什麼經驗...... 你是否有100-1000個應用程式,而log4j對你的組織來說是個小菜一碟?
巨大的影響使其他一切都停滯不前?
你是否利用了像whitesource、snyk等SCA的優勢?
你們使用什麼工具來管理這樣大量的程式碼/repo級的變化,是容易還是困難?
gitlab是不是為你做了所有的事情?
而且,如果你確實有100-1000個應用程式,而下一個log4j的情況出現了,你是否設定了自動修復它的時間?如何解決?
Reddit網友:
我們有大約5個共同的架構,由DevOps團隊和架構團隊管理。每個人都從一個實現該架構的 repo 中提取,並在此基礎上開發他們的應用程式。更新中央架構,每個人都會繼承,應用程式會受到保護。
第三方應用程式是另一個問題。Zookeeper是狗屎
我的公司相當大,不是怪物,但足夠大。我們在處理更多的現代微服務方面沒有什麼困難,所有的微服務都有一個所有者團隊,修復和部署工作在幾天內就完成了。我們確實在遺留問題上做了努力...... 有些程式碼已經12年沒有被碰過了(這是我需要修復的最古老的程式碼),是的,新的掃描每天都會發現新的CVE...... 修復起來還是很麻煩的。
有300多個應用程式需要更新。花了幾周的時間來發布所有的新版本。現在又有新的工具來掃描漏洞,我們應該更新所有的關鍵庫。
這裡是大公司 SRE:它需要我們大約 100 人待命的一個完整週末,基本上是為我們許多很多盒子中的每一個更新補丁,然後在我們整理完所有內容時多次重新啟動所有內容。幸運的是,漏洞本身沒有任何實際影響,因為我們幸運地擁有良好的網路隔離。
我遇到的挑戰是,我的公司提供了幾個不同的SaaS應用程式,其中我的開發團隊支援3-4個。當log4j漏洞被公佈時(12月中旬),我們沒有立即進行自動掃描來確定哪些是有漏洞的,所以我們自然而然地詢問開發人員他們的應用程式是否有漏洞。
由於是12月中旬,每個人都在燃燒他們最後的假期,我們只有一個骨幹人員,開發人員不能給我們明確的指示,告訴我們該怎麼做或什麼是有漏洞的,儘管我們有來自管理層的最後期限,所有東西都需要在3天內修復。
更糟糕的是,我們的一些應用程式是單使用者的,所以我們需要客戶的批准才能獲得不定期的停機時間,那接近年底的時候,溝通很慢,所以我們只是決定緊急改變是可以的,因為這些改變與安全有關。
更糟糕的是,儘管我們在devops中部署了應用程式,但我們有一個實施團隊,與客戶一起工作,以定製東西。這就造成了我們的標準化的偏移,所以如果一些傻瓜移動了檔案,或者做了一個沒有記錄的改變,那麼.jar檔案就不在它應該在的地方(他們應該開一個票,這樣我們就可以更新模板/指令碼並重新部署)。因此,我們的自動化查詢和替換可能會失敗。在規模上,這就成了一個問題,因為我們有時不得不用RDP/SSH來手動尋找這個檔案。
當我們最終認為我們已經完成了工作,並且沒有什麼問題時,2月份的時候,一個開發團隊說他們搞錯了,他們的應用程式有漏洞,而且已經有兩個月了,開發團隊需要立即替換jar檔案,這樣我們才能透過第三方審計。
實際上是從 Jar 檔案中刪除了幾個類。只需將更改合二為一。將該 log4j 庫推送到伺服器的其餘部分。這有什麼難的?
zip -d log4j-core-2.0.2.jar org/apache/logging/log4j/core/lookup/JndiLookup.class |
相關文章
- MySQL轉移到PostgreSQL的痛苦經歷(轉)MySql
- QT中QProcess呼叫命令列的痛苦經歷QT命令列
- 經歷了原始碼的痛苦,掌握DRF的核心序列化器原始碼
- 面試經歷面試
- 開源經歷就是最好的簡歷
- 可笑的求職簡歷——可笑的求職經歷求職
- 工作經歷(一)
- 華為面試經歷面試
- 不經歷太多
- 兩次面試的經歷面試
- 我的開發經歷
- 專案經歷1
- 週末面試經歷面試
- hbuilder踩坑經歷UI
- 記一次痛苦的yii+vue+element 前後端不分離開發經歷Vue後端
- 我的前端學習經歷前端
- 聊聊我找工作的經歷
- 這代人的求職經歷薦求職
- 開源go-zero作者描述自己從Java到Go語言經歷 - RedditGoJava
- Reddit網友參加資料科學家訓練營被騙經歷資料科學
- js使用經驗--遍歷JS
- Xdoclet之學習經歷
- 如何用開源經歷為你的簡歷增加光彩
- GIS轉碼的秋招歷程與踩坑經歷
- 經歷過波黑戰爭的他們,把這個悲慘經歷做進了遊戲遊戲
- 融雲首席科學家任傑:歷練出人才,職場「經歷>經驗」
- 分享我曾經的學習和找工作經歷
- 聊聊我所經歷的遊戲公司遊戲
- 機器學習專案經歷的若干感想機器學習
- 這幾天找工作的經歷
- 部署Linux系統的經歷Linux
- 【Oracle】-【OCP】-“滾燙”的OCP經歷Oracle
- 我所經歷的Android面試Android面試
- 我的真實面試經歷薦面試
- 大資料量rebuild index的經歷大資料RebuildIndex
- 我做IT專案的專案經理的經歷(轉)
- 一次java面試經歷Java面試
- 個人網站備案經歷網站