报告称86%的开发者对代码漏洞知情-资源

本文目录一览：

1、鸿蒙OS用户注意了！App侧载“漏洞”出现，华为似乎仍未解决？
2、说《迷你世界》抄袭《我的世界》的证据有哪些？
3、微软计划将 Rust 作为 C 和 C++ 的安全替代品
4、阿里云回应被工信部严惩
5、如何来提高云原生数据的安全性？
6、Apache安全漏洞全球发酵工信部暂停阿里云合作单位，Log4j2问题影响几何？

鸿蒙OS用户注意了！App侧载“漏洞”出现，华为似乎仍未解决？

“希望谷歌旗下App（GMS套件）能在华为AppGallery（应用市场）上架，就像谷歌已经选择在苹果App Store（应用市场）上架那样……”

2020年3月31日那场年度报告上，华为技术轮值董事长之一徐直军，令外界感到惊诧的发出上述呼吁！

任正非称其聪明的像个“小狐狸”，显然并不是毫无缘由的简单调侃。

要知道，2019年5月16日之后，谷歌单方面中断GMS服务合作，本就是为了限制谷歌旗下App、基于GMS服务开发App等在华为新款Android设备运行。

徐直军却公开“邀请”谷歌将其岁御念App上架到华为自建App分发平台？这就跟各路网友戏称的那样了：简直是在呼吁谷歌自己“干翻”自己……

当然了，彼时的徐直军说出了“那番话”的初衷，更像是在表明合作共赢的立场而已！

外界很清楚，谷歌潜心培育了多年、用来控制Android平台话语权的GMS生态，不可能参与到华为HMS生态的建设中……

综合华为技术终端BG（原消费者BG）负责任余承东披露的战略，华为搭建HMS服务辅以鸿蒙OS生态化，构建运营了AppGallery应用分发平台。

等同于谷歌Google Play平台、苹果App Store平台的重要性，这点已经人尽皆知了。

然而，鸿蒙OS内置HMS应用分发平台的华为AppGallery，竟然被曝出了“漏洞”……

一位应用服务开发者分析AppGallery平台API函数时，发现了华为没有启用AppGallery底层“保护第三方App付费式逻辑”的相关策略！

App侧载“漏洞”出现，鸿蒙OS用户注意了！

据了解，该开发者发现这个“有问题”的API接口，用于数据请求后返回App下载的链接，侧重于免费App或付费App权限验证！

简单地说，就是检查一下「当前用户是否乎困购买了App服务」或使用权限，如果是常见的免费App应用还没什么……

对于那些付费App来说，就显得不那么“友好”了，因为可以绕过付费API、直接下载！

一些需要用户付费才能下载的第三方App，遭遇此类 “越过平台验证权限的侧载 ”，显然会给第三方App服务开发者们造成不必要的损失。

进一步的App侧载“漏洞”验证中，开发者确定“并非某款App所引起”，而是所有“同类”的付费App都可以被绕过AppGallery平台API接口验证……

值得一提的是，通过App侧载“漏洞”免费下载的“付费App”，可以正常安装到内置华为HMS服务组件的设备，免费正常使用这些原本需要付费的App ，根本没有出现异常！

基于业内达成共识的惯例，发现了华为AppGallery平台API接口验证“漏洞”的开发者，在2022年2月份，将分析中获取的确信结果拆迹通知了华为技术团队。

也就是说，华为技术至少有5周时间进行修复。（披露称华为技术团队已经知晓了）

不过，华为似乎仍未解决？

大概过了非常充足的13周时间后，也就是在2022年5月18日，发现华为AppGallery平台API接口验证“漏洞”的开发者，在网络上公布了这项关于App侧载“漏洞”的发现！

据称，华为技术团队等相关方面，仍未公布该漏洞是否已修复的报告，也没有明确给出“漏洞”修复计划的时间安排？

在华为技术给出明确的应对策略、正式披露修复该“漏洞”报告之前，华为AppGallery平台的第三方App服务开发者，可以尝试将开发好的App执行相应的DRM数字保护！

执行了DRM数字保护服务的第三方付费App，即使遭遇了App侧载“漏洞”、导致App安装包文件被“非法”获取了，拿去安装到别的鸿蒙OS设备也没有用……

当某些用户打开“未付费”就安装的付费App，就会面临验证是否正常购买了这款付费版App！

如果当前用户没有正常付费、并非通过华为AppGallery平台加载，将无法打开使用！

关于这一点，相信那些使用iPhone设备的用户、尝试将IPA包同步安装到设备时，已经发现过了“没有付费就无法安装使用付费版App”的事实。（助手类的就别嘚瑟啦~）

所以，在华为技术正式做出“漏洞修复计划”回应之前，第三方App开发者们可以尝试华为AppGallery DRM 数字保护服务。

这个“不用付费就能使用付费App”、涉及App侧载的“漏洞”出现，华为似乎仍未解决？鸿蒙OS用户注意了，不要故意动歪脑筋……

保护数字知识产权，你们同样人人有责~

报告称86%的开发者对代码漏洞知情

说《迷你世界》抄袭《我的世界》的证据有哪些？

迷埋银报告称86%的开发者对代码漏洞知情你世界在怪物弯并宴报告称86%的开发者对代码漏洞知情，地形，特点，食物等这些东西都抄袭报告称86%的开发者对代码漏洞知情了我的世界蔽迅，还抄袭了王者荣耀的首页，泰拉的罐子，守望先锋弓箭命中标志。

微软计划将 Rust 作为 C 和 C++ 的安全替代品

自 2004 年以来，微软安全响应中心（MSRC）已对所有报告过报告称86%的开发者对代码漏洞知情的微软安全漏洞进行了分类。根据报告称86%的开发者对代码漏洞知情他们提供的数据，所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。

这样高的百分比是因为 Windows 和大多数其他微软产品主要使用 C 和 C++ 编写，这两种“内存不安全”（memory-unsafe）的编程语言允许开发人员对内存地址进行细粒度控制，并且可以执行代码。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误，攻击者可以利用这些错误带来危险和侵入性后果，例如远程代码执行或特权提升漏洞。

于是，探索使用诸如 Rust 之类的内存安全（memory-safe）语言被提上日程，这或将成为创建更安全的微软应用程序的替代方法。

Rust 最初是 Mozilla 的一个研究项目，用于更安全、更快速地重写 Firefox 浏览器。最近，Brave 浏览器还用 Rust 版本替换了原先用 C++ 编写的广告拦截组件。2019 年的 StackOverflow 开发者调查显示，Rust 已连续四年蝉联“最受开发者喜爱敏氏喊的编程语言”桥野。开发人员喜欢它，因为它的语法更简单，并且使用 Rust 编写的应用程序 bug 更少，因此开发人员可以专核禅注于扩展他们的应用程序，而不是进行持续的维护工作。

MSRC 首席安全工程经理 Gavin Thomas 建议第三方开发人员也应该研究内存安全语言，他列举了一些原因，例如开发人员花时间和精力学习如何调试 C++ 应用程序中出现的与内存相关的安全漏洞。但这显然是不合适的，“开发人员的核心工作不是担心安全性，而是要做功能开发”，Thomas 提出疑问，“为什么不在一开始就将内存安全问题引入开发语言呢？”

为此，他呼吁：“如果这个行业真正关心安全，应该专注于开发人员的工具，而不应当被所有安全设备和过时的方法弄傻眼。我们首先得努力防止开发人员陷入缺陷，而不是提供解决缺陷的指导和工具。”

MSRC 官方博客原文：

阿里云回应被工信部严惩

阿里云回应被工信部严惩，此次事件，从侧面体现了计算机行业中普遍存在的意识疏漏。此次事件对行业的影响是正面的，这是一次警示、也是一次示范。阿里云回应被工信部严惩。

阿里云回应被工信部严惩1

12月23日晚间，阿里云计算有限公司（以下简称“阿里云”）对发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告的事件进行了回应，阿里云表示，阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞报告管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

阿里云表示，近日，阿里云一名研发工程师发现Log4j2组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。Log4j2 是开源社区阿帕奇（Apache）旗下的开源日志组件，被全世界企业和组织广泛应用于各种业务系纯毕统开发。

此前，阿里云因此事被罚。12月22日，工信部网络安全管理局通报称，阿里云是工信部网络安全威胁信息共享平台合作单位。近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

12月9日，工信部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工信部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

该漏洞可能导致设备远程受控，进而引发敏感信息窃取、设备服务中断等严重危害，属于高危漏洞。为降低网络安全风险，提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布，排查自有相关系统阿帕奇Log4j2组件使用情况，及时升级组件版本。

阿里云在中国云市场上占据着重要地位，此前，Canalys发布中国云计算市场2021年第三季度报告。报告显示，2021年第三季度中国云计算做芦芹市场整体同比增长43%，达到72亿美元。阿里云在2021年第三季度以38.3%的份额领先中国大陆市场，33.3%的年收入增长主要受互联网、金融服务和零售行业的推动。

阿里云回应被工信部严惩2

近日，有媒体报道，阿里云发现阿帕奇Log4j2组件有安全漏洞，但未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。因此，暂停阿里云作为上述合作单位 6 个月。

原本一个技术圈子的事情因此成为社会热议话题。一时间网友分化为了两个圈子——

非技术圈的人说：感觉阿里云只报给阿帕奇这个技术社区，不上报组织，是没把国家安全放心上。

技术圈层说：当然是谁写的bug报给谁，阿帕奇的安全漏洞，报给阿帕奇是应该的，不能上纲上线。

23日晚间，阿里云就log4j2漏洞发布了说明，诚恳认错，表示要强化漏洞报告管理、提升合规意识，积极协同各方共同做好网络安全防范工作。

回顾这个非常技术的话题，有诸多事实需要厘清。

首先，阿帕奇开源社区是什么？Log4j2组件是什么？

阿帕奇是国际上比较有影响力的一个开源社区。官网上显示，华为、腾讯、阿里等中国公司是这个开源社区的主要贡献者，另外也包括谷歌、微软等美国企业。全球的软件工程师，在这里共建一些基础的软件部件，相互迭代、提高公共效率，是软件产业的一个特有现象。

本次发现漏洞的Log4j2 就是开源社区阿帕奇旗下的开源日志组件，很多企业都会会用这个组件来开发自己的系统。在阿里云的工程师发现这个组件有问题的时候，就邮件询问了阿帕奇，请社区确认这是否是一个漏洞、评估影响范围。

而后阿帕奇确认这是一个漏洞，并通知开发哗态者们修补这个漏洞。于是，出现了天涯共此时，一起改漏洞的局面。

但阿里云遗漏了不久前上线的一个官方上报平台，仅仅按业界的惯例向以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。

其次，工信部暂停阿里云6个月合作单位资格，意味着什么？

据工信微报——「12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。」

媒体报道的暂停6个月合作单位资格，并未出现在公开渠道。据业内人士分析，这并不是一个严格意义上的“处罚”，否则不可能不公开通报。其次，网络安全威胁和漏洞信息共享平台是一个收集、通报网络安全漏洞的平台，暂停这个平台的合作资质并不对业务造成影响。

工信部关于Log4j2漏洞的风险提示

但此次事件，从侧面体现了计算机行业中普遍存在的意识疏漏。在国内计算机行业几十年的发展过程中，大量从业人员、组织养成了与开源社区合作的工作习惯，但对更高层面的`安全意识、合规意识，在思想上、制度上都有所不足。阿里云的漏报行为，也是这一意识疏漏的一次具体体现。

整体而言，此次事件对行业的影响是正面的，这是一次警示、也是一次示范。阿里云是行业领先的IT企业，这也是能够率先发现全球重大安全漏洞的原因，而此次事件的发生，无疑将会增强计算机行业的安全合规意识，可以想见，无论是阿里云、还是其他诸多科技企业，都将在企业和组织内部增强合规培训和流程规范。

阿里云回应被工信部严惩3

近期，工信部网络安全管理局通报称，阿里云计算有限公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

通报指出，阿里云是工信部网络安全威胁信息共享平台合作单位。经研究，工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后，根据阿里云整改情况，研究恢复其上述合作单位。

观察者网日前曾对该事件做过详细报道，11月24日，阿里云发现这个可能是“计算机历史上最大的漏洞”后，率先向阿帕奇软件基金会披露了这一漏洞，但并未及时向中国工信部通报相关信息。这一漏洞的存在，可以让网络攻击者无需密码就能访问网络服务器。

工信部通报阿帕奇Log4j2组件重大安全漏洞

阿帕奇（Apache）Log4j2组件是基于Java语言的开源日志框架，被广泛用于业务系统开发。近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。

工业和信息化部网络安全管理局将持续组织开展漏洞处置工作，防范网络产品安全漏洞风险，维护公共互联网网络安全。

如何来提高云原生数据的安全性？

限制访问

那些需要访问有价值数据的人员需要安置在更安全的环境下，并经过游告乎适当地培训，谨防留下错误的入口给系统的入侵者。这些工作人员需要接受专神悉业的训练一来确保这一事件发生的可能性降为最低，而且那些需要访问的数据要时刻进行监测。

高风险友脊数据

如果有些数据是高利的数据，如金融或会计数据，那么就要额外注意确保它有更高级别的保护措施。提升加密的水平以及增加数据监测量可以保护数据达到期望的水平。

注意设备的安全性

限制访问数据集的某些部分不应该是大范下的，而且还要检查用于访问数据的平台。有些移动应用可以很容易管理，这意味着仍然要隐藏某些高风险的数据，从而减少相关的风险。

满足用户需求

同样地，高风险数据可能已经被保护起来了，但它也可以限制可用的人员，以及可用的地方。这说明安全位置上的保护可以相对的少些，这样安全漏洞就会少。现在随着如金融方面的事情也在去中处理，安全事务变得越来越重要。完全保护系统不受所有攻击是不可能的，采取措施降低这一风险才是最先需要做的一步。

Apache安全漏洞全球发酵工信部暂停阿里云合作单位，Log4j2问题影响几何？

2001年，软件开发者Ceki Gulcu设计出一套基于Java语言的日志库Log4j，并于不久后加入专门运作开源软件项目的非盈利组织Apache。在此后的软件迭代升级中，Apache在Log4j的基础上推出了新开源项目Log4j2，在保留原本特性的同时加入了控制日志信息输出目的地、输出格式、定义信息级别等功能，并很快因为其简前宽易便捷、功能强大的特征，作为基本集成模块广泛应用于各类使用Java开源系统中。

但也正因为Log4j2广泛的适用性，在被爆出存在远程代码执行安全漏洞后，在全球计算机领域引发巨大的安全危机。

除了Log4j2本身应用范围广外，该漏洞的另一大特征在于利用方式十分简单。据专家介绍，攻击者仅需向目标输入一段代码，不需要用户执行任何多余操作即可触发该漏洞，使攻击者得以远程控制受害者用户的服务器，90%以上基于Java开发的应用平台都会受到影响。

奇安信集团安域云防护的监测数据显示，截至12月10日中午12点，已发现近1万次利用该漏洞的攻击行为。奇安信应急响应中心已接到十余起重要单位的漏洞应急响应需求，并于12月9日晚间将漏洞信息上报了相关主管部门。补天漏洞响应平台负责人介绍，12月9日深夜，仅一小时内就收到白帽黑客提交的百余条该漏洞的信息。

而此前就十分猖獗的网络勒索软件，通过利用Log4j2漏洞被发现后各大企业尚未及时修补前的间隙，发起了新一轮大规模勒索攻击。来自KnownSec 404 团队和深信服威胁情报团队的研究人员报告称，TellYouThePass、Khonsari等勒索软件正利用该漏洞针对 Linux 和 Windows 系统发起进攻，在用户终端直接完成安装。

据工信部于12月17日在其官网发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》显示，2021年12月9日，工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告，阿帕奇Log4j2组件存在严重安全漏洞。工业和信息化部立即组织有关网络安全专业机构开展漏洞风险分析，召集阿里云、网络安全企业、网络安全专业机构等开展研判，通报督促阿帕奇软件基金会及时修补该漏洞，向行业单位进行风险预警。

在此之前，我国对网络漏洞的处理方式和流程已做出具体要求。《网络安全法》第二十五条规定：“网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”

今年7月，工业和信息化部、国家互联网信息办公室、公安部联合发布《网络产品安全漏洞管理规定》，对网络产品提供者、运营者及信息共享平台的责任与义务提出更为详细的要求。其第七条规定，网络产品提供者在发现或者获知所提供网络产品存在安全漏洞后，应当立即采取措施并组织验证，评估其危害程磨悔饥度和影响范围，并在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息；对属于其上游产品或者组件瞎返存在的安全漏洞，应当立即通知相关产品提供者；对于需要产品用户（含下游厂商）采取软件、固件升级等措施的应及时告知并提供必要的技术支持。

平台方面，工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。

据方宁介绍，目前国内的国家级漏洞采集共享平台主要包括CNVD（国家信息安全漏洞共享平台）、CNNVD（国家信息安全漏洞库）等，此类平台往往招募了大量第三方安全企业长期向其输送网络安全漏洞，这些第三方企业作为相关部门的支撑单位，需要依据规定及时将发现的漏洞提交到国家采集平台上。

目前，受到Log4j2漏洞影响和威胁的企业与组织数量仍在持续增长，据火线Apache Log4j2 漏洞影响面查询网站统计显示，截至发稿前，该漏洞已影响超6万个开源软件，涉及相关版本软件包32万余个。

除企业外，一些政府机构和社会组织由于未及时修补Log4j2漏洞，也成为黑客的攻击目标。据报道，当地时间12月16日，比利时国防部遭到黑客利用该漏洞发起的攻击，比利时国防部长回应称，其安全团队正努力保证网络安全，防止再发生类似事件。

尽管在12月8日， Apache官方就已发布Log4j2安全更新，但其影响预计还将持续很长一段时间。

“可能还需要至少6个月，才能把本次漏洞的影响面缩减到比较小的范围内。”方宁解释称，此类0day漏洞（已被发现但还未推出相关补丁的漏洞）刚被爆出时，往往是对安全问题较为重视并有相应财力、人力的企业最早完成修复，大量的中小企业如果没有专门的网络安全部门和团队，可能都无法获知相关的情况。

方宁表示，当前各大安全厂商已提供了一些自动化检测工具和脚本，现在最重要的是企业和相关单位重视起来，根据国家漏洞库、漏洞平台给出的解决方案，对照自己的产品系统进行检查。上述北京网络安全公司技术人员则表示，很多开发者及时升级软件版本，就可以避免被黑客利用漏洞进行攻击，“最关键的还是要做好自查和升级。”

更多内容请下载21 财经 APP