一、背景介绍
前两天网络有爆料log4j安全漏洞,安全大于天,于是也加入到这个和时间赛跑的临时事件中。
对于安全漏洞网上有很多文章,内容都大同小异,不过针对于这件事小编下面的故事一定能让读者有"意外"收获。😁
二、思路
有了漏洞,那就解决呗,根据提示的文章抓紧处理。
然而,我们工程的pom文件内容不规范😖。。。
然而,我们工程引入了很多三方包,三方包中包含了log4j的内容😞。。。
然而,我用的工具是社区版,没有包依赖结构图😔。。。
小编的思路很清晰,但是面对以上问题,也是让我得到了很多锻炼的机会,话不多说直接到处理过程中。
三、过程
第一步:
我是看的如下文章,自认为对比来看,如下文章写的是小编认为最全面的一篇了。
第二步:
看完之后,先让运维进行了临时加入启动参数等内容的调整缓解了该问题🤔
第三步:
1.对于pom文件规范的内容项,通过编译器全局搜索是可以找到log4j所在的pom文件以及对应版本号的,修改了就可以了;
2.对于三方包中存在的log4j,以及pom文件中的版本号管理不是很规范的情况纯搜索就不行了;
(1)如果是tomcat部署的war包项目,linux按照:sudo find / -name "log4j-.jar"搜索即可(windows可自行在项目对应文件夹中搜索即可)
(2)如果是jar包,可以将jar包解压进行搜索
3.搜索到存在,如何定位具体在哪里?
(1)可以通过idea(旗舰版)中的maven dependences;eclipse中的Dependency Hierachy方式
(2)如果你用idea社区版,那么你可以通过maven命令来查看:mvn dependency:tree
4.找到之后如果是三方包中的可以通过pom的exclusion排除旧版本,重新引入新版本;
5.做完调整之后**一定要测试!一定要测试!一定要测试!**重要的事情说三遍
四、总结
收获💐💐💐
1.通过这个漏洞的修复明白了idea编译器社区版的一些功能不支持
2.突破了pom包结构最终还可以通过maven来展示出来的思路
3.再次训练了遇到问题如何快速选择最优解决方案,一步一步去处理
4.项目中规范的重要性!!!
提出的问题✨✨✨
1.以后如何及时获取相关安全问题?
2.项目如何低成本的向规范中过度?
五、升华
1.通过这个小故事,小例子,小编注册了白帽汇账号,关注了白帽汇公众号,以后就能及时get这类消息了
2.所谓解决问题之后要刻意去想如何规避问题,以及该信息的获取渠道来源来让自己更快的获取一手资料
这个信息爆炸的时代,谁能够更快的获取一手信息,那么谁就能够更快的规避问题,以及更多的帮助别人❄❄❄。
