Security ist so ein großes Thema. Da kann man sich leicht verrennen. Witzigerweise haben genau bei log4j viele Security Tools versagt, da nicht flexibel genug anpassbar für den Use Case. Wir werden vor allem drauf achten, dass Checkmk immer besser erweiterbar wird. Denn der log4j check kam ja aus der Community und ist ein Beispiel dafür, dass die Nutzer bei spezifischen Security-Themen oft am besten wissen, was man machen muss.
@@checkmk-channel wir haben ja Qualys, war nur eine Frage. Dennoch, Qualys verlangte ja ursprünglich nur einen Server zum scannen, jetzt wird auch der Agent propagiert. Den Agent habt ihr schon lange und ist bei euren Kunden schon eingeführt. Das das Thema Security Scan im professionellen Umfeld vermutlich mind. >100 Personen bedeuten würde, ist mir klar. Habt ihr schon mal an Kooperation gedacht?
JARs are ZIP files. In the log4j jar there is a special class that is the root for this problem. That is just removed without affecting the logging itself.
In die Richtung Security scanning solltet ihr auch mal gehen, es sei denn das Thema ist zu gross und Qualys ist zu weit vorne
Security ist so ein großes Thema. Da kann man sich leicht verrennen. Witzigerweise haben genau bei log4j viele Security Tools versagt, da nicht flexibel genug anpassbar für den Use Case. Wir werden vor allem drauf achten, dass Checkmk immer besser erweiterbar wird. Denn der log4j check kam ja aus der Community und ist ein Beispiel dafür, dass die Nutzer bei spezifischen Security-Themen oft am besten wissen, was man machen muss.
@@checkmk-channel wir haben ja Qualys, war nur eine Frage. Dennoch, Qualys verlangte ja ursprünglich nur einen Server zum scannen, jetzt wird auch der Agent propagiert. Den Agent habt ihr schon lange und ist bei euren Kunden schon eingeführt. Das das Thema Security Scan im professionellen Umfeld vermutlich mind. >100 Personen bedeuten würde, ist mir klar. Habt ihr schon mal an Kooperation gedacht?
JARs are ZIP files. In the log4j jar there is a special class that is the root for this problem. That is just removed without affecting the logging itself.
Yeah, and users can rename .jar to .javafirst. The scanner doesn't just check for .jars but goes beyond that.