问题标签 [log4j-1.2-cve]

我正在使用 Jib 拉取一个基本图像，将我的包装器 java 代码添加到它，并在此基础上构建我的图像。由于 2021 年 12 月广为人知的 log4j CVE，我们正在寻找一种方法来删除易受攻击的类。（现在在 2022 年发现了更多 CVE，其中一个的得分为 10.0，是可能的最高分。请参阅https://www.cvedetails.com/vulnerability-list/vendor_id-45/product_id-37215/Apache-Log4j.html )

基础镜像已接近 EOL，因此提供商回答他们不会发布新版本；此外，log4j 1.x 也很早就达到了 EOL。但是目前的情况是我们没有将基础镜像升级到下一个版本的计划，所以删除类似乎是现在唯一的方法。

基本图像将/opt/amq/bin/launch.sh用作入口点。而且我发现我可以在此之前使用自定义入口点来运行脚本，从而删除类。喜欢<entrypoint>/opt/amq/bin/my_script.sh</entrypoint>，而且我有run_fix.sh && /opt/amq/bin/launch.sh。

然后我意识到，即使这样可以通过在应用程序实际运行时减轻风险来工作，漏洞扫描（安全过程的一部分）仍然会在检查图像二进制文件时发出警报，因为这是在图像上传之前完成的静态过程在实际运行之前到 docker 注册表进行生产。它们只能在应用程序运行时被移除，也就是在运行时。

jib 可以在执行 Maven build() 时预处理基础映像，而mvn clean install -Pdocker-build不是仅在运行时允许它吗？根据我阅读的内容，我知道这是一个很大的 NO，并且还没有插件。