华为云VSS漏洞扫描服务为你排除Apache log4j2隐患

近日Apache Log4j2漏洞持续发酵，已成为中国互联网2021年年底前最大的安全事件。华为云VSS漏洞扫描服务，提供从部署软件包到上线后的漏洞检测一整套安全检测漏洞手段，可有效检测Apache log4j2漏洞。

华为作为ICT领域厂商，从2000年开始为了确保产品的安全性，逐步完善从产品交付，到产品上线后的开源漏洞应急响应的能力。

华为开源组件合规和安全要求融入IPD研发流程，确保华为产品的安全性：

研发阶段，华为公司内部通过引入自研源码和二进制成分分析工具，进行开源软件的合规以及安全漏洞问题的检测；

服务上线后，通过产品开源组件生命周期管理和漏洞应急响应措施，确保开源漏洞及时响应。

华为云VSS漏洞扫描服务，为华为云客户提供针对于Web、主机和软件包的漏洞检测能力：

Web漏洞扫描服务 ，通过发送POC检测报文，对常见Web漏洞、开源组件漏洞及弱密码进行安全检测，适用于已上线的web服务。通过检测反馈的速度，动态调整发包速度，以降低对用户现网的影响。同时Web漏洞扫描服务可设置每日定时任务，提供持续的现网安全检测，使用最新的漏洞库进行安全排查，确保客户现网安全；

主机漏洞扫描 ，针对暴露于公网的linux主机进行安全扫描，可排查操作系统漏洞、开源组件漏洞、配置基线等安全问题，可有效检测主机安全性问题，同时针对于等保合规要求，提供专项安全检查能力；

二进制成分分析（预计2022年1月底正式提供商用服务） ，可针对于软件发布包和固件进行安全检测，支持linux安装包（rpm、tar.gz）、web部署包（war、tar、jar）、移动应用包（apk、hap）进行开源软件license及开源组件漏洞检测，支持C、C++、Java、Python和Go语言开发的软件包扫描，确保软件包上线前的安全。