Apache teleurgesteld over grote aantal gebruikers oude Log4j-versie
De Apache Software Foundation is teleurgesteld over het grote aantal gebruikers van Log4j 1, de eerste versie van de inmiddels wereldwijd bekende loggingsoftware die sinds augustus 2015 niet meer wordt ondersteund. Gebruikers werden opgeroepen om te upgraden naar Log4j 2. Desondanks wordt Log4j 1 nog veel gebruikt.
"Het is teleurstellend om te zien hoeveel gebruikers nog steeds op Log4j 1.x zitten. Het leidt af van de reactie op de Log4j 2.x-problemen", zegt Christian Grobmeier van Apache Software Foundation en onderdeel van het Log4j-team tegenover The Record. Ondanks het gebruik van deze versie heeft alle aandacht voor de kwetsbaarheden in Log4j 2 er wel voor gezorgd dat mensen nu meer aandacht besteden aan hun dependencies en de libraries die ze dagelijks gebruiken, aldus Grobmeier.
Hij is het er niet mee eens dat de Log4j-kwetsbaarheid door sommige mensen als het ergste beveiligingslek ooit wordt genoemd. "Er zijn aardig wat grote beveiligingsproblemen in de industrie geweest." Ook vindt Grobmeier dat de kwetsbaarheid in Log4j 2, die op een schaal van 1 tot en met 10 met een 10 werd beoordeeld, geen "eenvoudige" kwetsbaarheid is en wel zou zijn gevonden wanneer het Log4j-team over meer financiële middelen beschikte.
Een ander veel gehoord kritiekpunt was dat Log4j door een klein aantal mensen wordt onderhouden. Op de vraag of meer "ogen" hadden meegeholpen bij het vinden van meer kwetsbaarheden antwoordt Grobmeier dat meer geld geen magische oplossing is voor het vinden van alle beveiligingsproblemen. Wel staat het Apache-team open voor beveiligingsexperts die willen meezoeken naar kwetsbaarheden in Log4j en andere projecten.
Ik denk dat wat er hier ontbroken heeft een nuchtere ontwerper is die inziet wat de consequenties van keuzes zijn.
Het lijkt er op dat er features zijn ingebouwd die sommige mensen wel een leuk idee vonden maar waarbij het ontbrak
aan iemand die kon zeggen "hee ben je nou helemaal gek geworden! DAT gaan we niet doen!".
De kans daarop is wellicht groter in losse opensource teams dan als het ergens bij een bedrijf ontwikkeld wordt waar
nog vergaderd wordt en iemand zit die de beslissingen kan nemen zonder dat er een sfeer van ruzie ontstaat.
Exact het probleem van Open Source. Zonder geld en mensen kan software niet onderhouden worden. In het geval van de ontwikkelaars van Log4j (2 man op een zolderkamer) hadden die een baan moeten krijgen bij Google en niet verbonden moeten zijn aan de Apache foundation.
Tja..
Exact het probleem van Open Source. Zonder geld en mensen kan software niet onderhouden worden. In het geval van de ontwikkelaars van Log4j (2 man op een zolderkamer) hadden die een baan moeten krijgen bij Google en niet verbonden moeten zijn aan de Apache foundation.
Tja..
Open source is alleen maar een licentie die afdwingt dat de code vrij te verkrijgen is, te copieren, te bestuderen etc.
Dat staat net als bij closed source helemaal los van financiën.
Exact het probleem van Open Source. Zonder geld en mensen kan software niet onderhouden worden. In het geval van de ontwikkelaars van Log4j (2 man op een zolderkamer) hadden die een baan moeten krijgen bij Google en niet verbonden moeten zijn aan de Apache foundation.
Tja..
Vergeet niet dat dit soort vulnerability issues ook kunnen ontstaan na updates van andere software. Het is meestal geen statisch proces.
Amateurisme ten top om te denken dat software geen onderhoud nodig heeft, dat je niet regelmatig zaken moet controleren en bijwerken, dat je waarschuwingen in de wind kan slaan. Dit is nalatigheid en bij problemen waarvan de klanten van dergelijke gebruikers de dupe worden is er de vraag van aansprakelijkheid.
Amateurisme ten top om te denken dat software geen onderhoud nodig heeft, dat je niet regelmatig zaken moet controleren en bijwerken, dat je waarschuwingen in de wind kan slaan. Dit is nalatigheid en bij problemen waarvan de klanten van dergelijke gebruikers de dupe worden is er de vraag van aansprakelijkheid.
... Tja..
Een wettelijk verplichting tegen niet behoorlijk betalen van de bron tegen te gaan is an de aan de orde.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.