以 Log4j 为例，如何评估和划分安全风险

作者 | Owen Garrett 译者 | 明知山 策划 | 丁晓昀 开源软件支撑着绝大多数面向互联网的应用程序。这类项目的可用性、可获取性和质量提升了企业的创新能力，并帮助它们取得成功。它们是很好的公共产品，应该受到赞美和保护。开源的普遍存在意味着任何已经被发现的漏洞都会产生深远的影响。攻击者看到了巨大的机会，大量的企业和用户必须快速做出响应，在他们开发的应用程序以及使用的第三方应用程序和组件中识别易受攻击的软件实例。事实上，软件漏洞是很常见的。那么，安全专业人员如何评估漏洞可能带来的风险，并将组织的精力集中在修复那些最重要的漏洞上呢？ 1 建立全面的可见性——你无法保护你看不到的东西 安全团队负责整个应用程序的完整性，包括所有不是由企业开发人员开发的开源组件和第三方依赖项。人 ………………………………