Aralık 2021'de Log4Shell'in Java için Log4J kayıt çerçevesindeki güvenlik açığı, BSI tarafından eleştirmen olarak değerlendirilen ve bir uyarı düzeyinde kırmızı atanan heyecana neden oldu. Toz zayıflattıktan sonra, bir inceleme zamanı: Tüm bunlardan ne öğrenilebilir?
Log4J, Java'ya erişim için pratik olarak fiili standardıdır. Bununla birlikte, çerçeve sadece kayıt için bir araçtır, bu da muhteşem olmayan ve çok heyecan verici olmayan bir konudur. Ancak yine de (veya belki de bunun için), detayları CVE 2021-44228'de daha ayrıntılı bir şekilde açıklanan modülde açık bir güvenlik boşluğu.
Son haftalarda, güvenlik açığı, saldırı senaryosu ve boşluğu doldurma stratejileri hakkında birçok şey bildirilmiştir, bu yüzden her şeyi tekrarlamak çok az mantıklıdır.
Önerilen editoryal içerik
Rızanızla, burada harici bir YouTube videosu (Google Ireland Limited) burada davet edilir.
YouTube videosu her zaman yüklenir
YouTube videosu artık yüklüyor
Log4j – çünkü açık kaynak bozuldu
Ancak şimdiye kadar çok az tartışan sorular da var, ancak daha fazla ilgiyi hak ettiler. Bir yandan, bu sorunun nedenlerini ve nedenlerini, tüm durumun nasıl ortaya çıkabileceğini ve desteklediği. Bu “neden” sorusudur. Öte yandan, ondan ne öğrenilebileceğine dair soru ortaya çıkıyor: gelecekte böyle bir şişe nasıl önlenebilir?
Kültürel ve sosyal nedenler
Teknik nedenler var, ama her şeyden önce bunun için. Kültürel sebep, Java'nın karmaşıklığın kendisini desteklemesidir. Basit çözümler tercih edilmez, ancak karmaşıklık üzerine inşa edilmiştir ve Log4shell teması, artık ihmal edilemeyen ve hatta ustalaşamayan aşırı bir karmaşıklığın sonucudur. Kristian Köhntopp da birkaç hafta önce Log4J hakkındaki mükemmel yorumunda çalıştı: belirtildiği gibi çalışıyor.
Sosyal isim, tüm şirketlerin açık kaynak kullanmasına ve buna bağlı olmasına rağmen, neredeyse hiçbir şirketin bir şeye katkıda bulunmaya veya iade etmeye istekli olmamasıdır. Aslında çok daha dürüst açık kaynak lisansları olan Agpl & Co. gibi lisanslar, sadece hakları kabul etmekle kalmaz, aynı zamanda gerektiren görevler de neredeyse tüm şirketler tarafından hariç tutma kriteri olarak kabul edilir ve bunun yerine & co ile rahat alternatifler kullanmak daha iyidir. Ve neden?
Çünkü en azından kısa vadede daha az maliyetli: daha az zaman ve her şeyden önce daha az para. Ancak bu sadece kısa vadeli başarılı bir stratejidir. Uzun vadede, bu yaklaşım yanlış gidecek ve Log4Shell ile tam olarak etkileyici olan şey budur. Ancak şimdi bile, açık kaynağı ve arkasındaki geliştiricileri, açık kaynağı sadece kullanıcılar için değil, aynı zamanda açık kaynak geliştiren insanlar için de ilgili tüm konular için bir avantaj sağlayan sürdürülebilir bir model için proaktif olarak azarlamak daha kolaydır.
Açık kaynak için bir iş modeli
Bu şikayette bir şeyler acilen değişmelidir. BT sektörü olarak ihtiyacımız olan şey, sürdürülebilir açık kaynaklı yazılım için sürdürülebilir bir iş modelidir. Ve açık kaynak geliştiricileri olarak, hiçbir şey değmemiş gibi zamanımızı vermeyi bırakmalıyız.
Ancak o zaman açık kaynağın uzun vadeli bir başarı modeli haline gelme ve aynı zamanda açık kaynağın başarısına izin veren sınırlı bir şekilde kirlenmeyen adil bir model haline gelme olasılığı var.
()
Log4J, Java'ya erişim için pratik olarak fiili standardıdır. Bununla birlikte, çerçeve sadece kayıt için bir araçtır, bu da muhteşem olmayan ve çok heyecan verici olmayan bir konudur. Ancak yine de (veya belki de bunun için), detayları CVE 2021-44228'de daha ayrıntılı bir şekilde açıklanan modülde açık bir güvenlik boşluğu.
Son haftalarda, güvenlik açığı, saldırı senaryosu ve boşluğu doldurma stratejileri hakkında birçok şey bildirilmiştir, bu yüzden her şeyi tekrarlamak çok az mantıklıdır.
Önerilen editoryal içerik
Rızanızla, burada harici bir YouTube videosu (Google Ireland Limited) burada davet edilir.
YouTube videosu her zaman yüklenir
YouTube videosu artık yüklüyor
Log4j – çünkü açık kaynak bozuldu
Ancak şimdiye kadar çok az tartışan sorular da var, ancak daha fazla ilgiyi hak ettiler. Bir yandan, bu sorunun nedenlerini ve nedenlerini, tüm durumun nasıl ortaya çıkabileceğini ve desteklediği. Bu “neden” sorusudur. Öte yandan, ondan ne öğrenilebileceğine dair soru ortaya çıkıyor: gelecekte böyle bir şişe nasıl önlenebilir?
Kültürel ve sosyal nedenler
Teknik nedenler var, ama her şeyden önce bunun için. Kültürel sebep, Java'nın karmaşıklığın kendisini desteklemesidir. Basit çözümler tercih edilmez, ancak karmaşıklık üzerine inşa edilmiştir ve Log4shell teması, artık ihmal edilemeyen ve hatta ustalaşamayan aşırı bir karmaşıklığın sonucudur. Kristian Köhntopp da birkaç hafta önce Log4J hakkındaki mükemmel yorumunda çalıştı: belirtildiği gibi çalışıyor.
Sosyal isim, tüm şirketlerin açık kaynak kullanmasına ve buna bağlı olmasına rağmen, neredeyse hiçbir şirketin bir şeye katkıda bulunmaya veya iade etmeye istekli olmamasıdır. Aslında çok daha dürüst açık kaynak lisansları olan Agpl & Co. gibi lisanslar, sadece hakları kabul etmekle kalmaz, aynı zamanda gerektiren görevler de neredeyse tüm şirketler tarafından hariç tutma kriteri olarak kabul edilir ve bunun yerine & co ile rahat alternatifler kullanmak daha iyidir. Ve neden?
Çünkü en azından kısa vadede daha az maliyetli: daha az zaman ve her şeyden önce daha az para. Ancak bu sadece kısa vadeli başarılı bir stratejidir. Uzun vadede, bu yaklaşım yanlış gidecek ve Log4Shell ile tam olarak etkileyici olan şey budur. Ancak şimdi bile, açık kaynağı ve arkasındaki geliştiricileri, açık kaynağı sadece kullanıcılar için değil, aynı zamanda açık kaynak geliştiren insanlar için de ilgili tüm konular için bir avantaj sağlayan sürdürülebilir bir model için proaktif olarak azarlamak daha kolaydır.
Açık kaynak için bir iş modeli
Bu şikayette bir şeyler acilen değişmelidir. BT sektörü olarak ihtiyacımız olan şey, sürdürülebilir açık kaynaklı yazılım için sürdürülebilir bir iş modelidir. Ve açık kaynak geliştiricileri olarak, hiçbir şey değmemiş gibi zamanımızı vermeyi bırakmalıyız.
Ancak o zaman açık kaynağın uzun vadeli bir başarı modeli haline gelme ve aynı zamanda açık kaynağın başarısına izin veren sınırlı bir şekilde kirlenmeyen adil bir model haline gelme olasılığı var.
()