華為云VSS漏洞掃描服務為你排除Apache log4j2隱患

近日Apache Log4j2漏洞持續發酵，已成為中國互聯網2021年年底前最大的安全事件。華為云VSS漏洞掃描服務，提供從部署軟件包到上線后的漏洞檢測一整套安全檢測漏洞手段，可有效檢測Apache log4j2漏洞。

華為作為ICT領域廠商，從2000年開始為了確保產品的安全性，逐步完善從產品交付，到產品上線后的開源漏洞應急響應的能力。

華為開源組件合規和安全要求融入IPD研發流程，確保華為產品的安全性：

研發階段，華為公司內部通過引入自研源碼和二進制成分分析工具，進行開源軟件的合規以及安全漏洞問題的檢測；

服務上線后，通過產品開源組件生命周期管理和漏洞應急響應措施，確保開源漏洞及時響應。

華為云VSS漏洞掃描服務，為華為云客戶提供針對于Web、主機和軟件包的漏洞檢測能力：

Web漏洞掃描服務 ，通過發送POC檢測報文，對常見Web漏洞、開源組件漏洞及弱密碼進行安全檢測，適用于已上線的web服務。通過檢測反饋的速度，動態調整發包速度，以降低對用戶現網的影響。同時Web漏洞掃描服務可設置每日定時任務，提供持續的現網安全檢測，使用最新的漏洞庫進行安全排查，確保客戶現網安全；

主機漏洞掃描 ，針對暴露于公網的linux主機進行安全掃描，可排查操作系統漏洞、開源組件漏洞、配置基線等安全問題，可有效檢測主機安全性問題，同時針對于等保合規要求，提供專項安全檢查能力；

二進制成分分析（預計2022年1月底正式提供商用服務） ，可針對于軟件發布包和固件進行安全檢測，支持linux安裝包（rpm、tar.gz）、web部署包（war、tar、jar）、移動應用包（apk、hap）進行開源軟件license及開源組件漏洞檢測，支持C、C++、Java、Python和Go語言開發的軟件包掃描，確保軟件包上線前的安全。