- prosince 2021, pátek odpoledne. CVE-2021-44228 — Log4Shell. Kritická RCE zranitelnost v Apache Log4j, knihovně přítomné prakticky v každé Java aplikaci. CVSS 10.0. Víkend, na který nikdo nezapomene.
72 hodin krizového režimu¶
Pátek večer: identifikace všech systémů s Log4j. Problém? Nevěděli jsme přesně, kde všude Log4j je — tranzitivní závislost, kterou přímo nepoužíváte, ale je tam přes jiné knihovny.
Sobota: skenování všech repozitářů, Docker images, produkčních deploymentů. Neděle: patching kritických systémů. Pondělí: dokončení patchingu zbytku.
Co jsme neměli: SBOM¶
Software Bill of Materials — seznam všech komponent a závislostí. Kdyby jsme měli SBOM pro každý produkt, odpověď na „kde máme Log4j?” by trvala minuty místo hodin.
Co jsme zavedli po Log4Shell¶
- SBOM generování — Syft pro container images, CycloneDX pro Java projekty
- Dependency scanning — Trivy v CI/CD pipeline, blokuje build s kritickými CVE
- Runtime protection — Falco pro detekci podezřelé aktivity v kontejnerech
- Incident response playbook — dokumentovaný postup pro supply chain zranitelnosti
Supply chain security je nutnost¶
Log4Shell ukázal, že nevíte, co běží ve vašich systémech. SBOM, dependency scanning a proaktivní monitoring závislostí už nejsou nice-to-have — jsou must-have.
log4shellsecuritysbomsupply chaincve