main:
  # kubeConfig 可選，可使用環境變量 KUBECONFIG 來指定
  kubeConfig: /root/.kube/config

clue: # 需要處理的鏡像列表 images: - docker.io/vulfocus/log4j2-rce-2021-12-09:latest - docker.io/library/busybox@sha256:b5cfd4befc119a590ca1a81d6bb0fa1fb19f1fbebd0397f25fae164abe1e8a6a - ccr.ccs.tencentyun.com/yunding/tcss-agent:1.8.2109.20

現階段，鏡像名稱需要填入完整的名稱，比如使用了來自Docker Hub的vulfocus/log4j2-rce-2021-12-09鏡像，需要完整的填入省略的Host和Tag部分，即docker.io/vulfocus/log4j2-rce-2021-12-09:latest

執行

./bundles/fix_log4j -c ./config.yaml

Kubernetes Job 方式

執行kubectl apply -f https://tcss-compliance-1258344699.cos.ap-guangzhou.myqcloud.com/tools/fix_log4j2/job.yaml

工具執行邏輯

1. 對k8s集群中的所有Pod進行遍歷，發現引用了包含風險鏡像的容器，列出待處理的Pod列表
2. 根據待處理的Pod列表獲取最上層調度資源，如Deployment,DaemonSet等
3. 對Deployment,DaemonSet等資源執行修復，即檢查Pod.Spec 中的Command和Args，如果是java啟動的，則加入-Dlog4j2.formatMsgNoLookups=true參數
4. 執行更新

風險和注意事項

1. 當前版本暫時只支持對>=2.10+的版本，更低版本暫不支持
2. 更新工作負載有失敗的可能，需要關注工作負載的狀態、注意對業務的影響

TODO

• 支持較老版本的修復策略
• 支持其它修復策略
• 環境變量 FORMAT_MESSAGES_PATTERN_DISABLE_LOOKUPS=true
• 支持更新后的檢查，如果失敗可自動回滾
• 支持鏡像更新
• 支持自動檢查，而不用指定具體鏡像列表