ShiftLeft CORE를 사용하여 log4j 감지

CVE-2021–44228로 앱 감지

지난 몇 주 동안 log4j는 대부분의 조직에서 중점을 두었습니다. 패치되지 않은 시스템에 대한 FTC threatens action 취약점과 Microsoft warns of continued exploits 기술 미디어를 계속 지배하고 있습니다. here , here , here 에 대해 자세히 다루었습니다. 이 블로그에서는 ShiftLeft CORE 을 사용하여 Java 애플리케이션에서 취약한 버전의 log4j를 쉽게 감지하는 방법에 중점을 둘 것입니다.

2022년 2월 28일까지new ShiftLeft CORE users 최대 20개의 애플리케이션에 대해 60일 동안 무료로 엔터프라이즈 기능을 받을 수 있습니다. 계정을 만들고 프리미엄 평가판으로 업그레이드한 후 여기의 단계를 따르십시오analyze your Java applications.



세 단계만 거치면 됩니다. — ShiftLeft CLI를 다운로드하고, 인증하고, JAR 또는 WAR 파일에 대한 경로를 제공하여 sl 분석을 실행합니다. 종속성 정보도 선택할 수 있도록 소스 코드 디렉토리에서 이 작업을 수행해야 합니다. 종속성에서 취약점을 찾는 것 외에도 이 단계에서는 OWASP 상위 10개 취약점에 대한 사용자 지정 코드도 분석합니다.

ShiftLeft 대시보드를 사용하여 분석 중에 발견된 취약점의 세부 정보를 볼 수 있습니다.



사용자 지정 코드에서 발견된 취약점에 대한 세부 정보도 볼 수 있습니다.



고객으로부터 들은 또 다른 사용 사례는 취약한 버전의 log4j가 있는 애플리케이션을 확인할 수 있는 기능입니다. 이를 위해 정확히 이 작업을 수행하는 간단한 검색 API를 만들었습니다.

https://www.shiftleft.io/api/v4/orgs/{orgID}/findings?search=log4j&search=cve

전체 API 사양here을 볼 수 있습니다. 예를 들어 API를 사용하여 다음과 같은 출력을 쉽게 얻을 수 있습니다.



Sign up for a free account ShiftLeft CORE의 엔터프라이즈 기능을 2022년 2월 28일까지 최대 20개 애플리케이션에 대해 60일 동안 무료로 제공합니다.

질문이 있는 경우 [email protected]로 문의하십시오!