Log4j漏洞对静态代码测试工具Helix QAC的影响

前言

在上一篇文章代码静态测试王者新版上线——Helix QAC 2021.3：我的格局打开了里，我们介绍了QAC 2021.3的重大更新及其它各项新特性。

那么对于最近破坏力不容小觑的Log4j漏洞对它会产生什么影响呢？对此我们的答案如下：

Helix QAC 不受近期 Log4j 漏洞 Log4Shell (CVE-2021-4428) 的影响，因为JAVA 仅在 Helix QAC Eclipse Plugin 中使用，因此 Helix QAC 和 Helix QAC 工具不受此漏洞影响。

然而，由于 Log4j被旧版 PRQA Framework / Helix QAC 中的 Checkmarx 组件使用了，但是Checkmarx 组件仅用于 QA Java 分析，现在这个组件已被弃用了。

因此我们不认为我们的用例容易受到攻击，因为任何漏洞都需要由已经有权运行 Java 程序的本地用户执行。但是，作为额外的预防措施，您可以删除 Checkmarx 组件。这不会影响 C 或 C++ 分析。

所以有问题吗？ 没有问题！更多相关试用需求业务咨询，欢迎私信，散会~

Perforce公司简介

Perforce（PRQA）公司是AUTOSAR组织在代码静态分析领域的唯一会员，负责功能安全软件架构的相关标准制定工作，参与编写了C++14编码指南，制定了AUTOSAR测试方案，并应用其开发的静态测试工具Helix QAC在AUTOSAR Adaptive Platform演示代码上执行代码静态测试。

Helix QAC作为代码静态分析领域的先驱，不仅仅提供针对AUTOSAR C++的诊断，还支持MISRA C/C++、HICPP、JSF AV C++、CERT、CWE编码规范包，其精准的诊断消息和强大的软件生命周期管理平台为全球3000多个整车厂和零部件供应商所信赖。