Apache は、昨年 12 月 9 日に状況を公開したとき、Log4Shell のパッチをリリースする準備を整えるために 2021 年 12 月の初めに慌てなければなりませんでした。 その結果、研究者はパッチのエッジ ケースと回避策をすぐに発見し、Apache は複数のイテレーションをリリースすることを余儀なくされ、これが混乱を助長しました。
オープンソース セキュリティ研究者のジョナサン レイチュは、「これはどこにでもありました。本当にどこにでもありました」と述べています。 「攻撃者がそれに飛びつき、セキュリティ コミュニティが飛びつき、ペイロードがいたるところに飛び交っていました。」
しかし、研究者たちは、Apache の全体的な反応は堅実だったと言っています。 Nalley 氏は、Apache が Log4Shell サガに対応して変更と改善を行い、専任スタッフを雇ってオープンソース プロジェクトに提供できるセキュリティ サポートを拡大し、コードで出荷する前にバグをキャッチし、必要に応じてインシデントに対応したと付け加えています。
「2 週間という短い期間で問題を解決できました。これは素晴らしいことです」と Nalley 氏は言います。 「ある意味では、これは私たちにとって新しい状況ではなく、私たちは完璧に対処したと言いたいです。 しかし現実には、Apache Software Foundation でさえ、私たちのソフトウェアを使用するすべての人に対する私たちの責任を浮き彫りにしました。」
今後、状況のより懸念される側面は、1 年後でも、Apache リポジトリ Maven Central およびその他のリポジトリ サーバーからの Log4j ダウンロードの約 4 分の 1 またはそれ以上が、脆弱なバージョンの Log4j でいっぱいになっていることです。 つまり、ソフトウェア開発者は依然として脆弱なバージョンのユーティリティを実行しているシステムを積極的に保守しているか、脆弱な新しいソフトウェアを構築しています。
Maven を運営するソフトウェア サプライ チェーン企業 Sonatype の共同設立者兼最高技術責任者である Brian Fox 氏は次のように述べています。 Central であり、サードパーティの Apache リポジトリ プロバイダーでもあります.「私は長い間使用してきましたが、うんざりしていますが、それは本当に衝撃的です.そして唯一の説明は、人々が自分のソフトウェアの中身を本当に理解していないということです. 」
Fox によると、Log4Shell に対処するための最初のスクランブルの後、Maven Central およびその他のリポジトリでのバージョンのダウンロードは、ダウンロードの約 60% がパッチが適用されたバージョンであり、40% が依然として脆弱なバージョンであるという棚に達しました。 Fox と Apache の Nalley 氏によると、過去 3 か月ほどの間に、この数字が初めて減少し、およそ 75/25% の割合になったという。 ただし、Fox が言うように、「1 年経っても、ダウンロードの 4 分の 1 は依然としてかなりひどいものです。」
「Log4j は業界の大きな目覚めであり、集合的な驚きと目覚めだったと感じる人もいます」と彼は言います。 「そして、ソフトウェア サプライ チェーンのセキュリティに関するメッセージを拡大するのに本当に役立ちました。もはや人々が否定することはなくなったからです。 私たちが話していたことは今では現実のものでした」私たちは皆それを生きていました。 しかし、Log4j の仲間からのプレッシャーだけで、誰もがアップグレードを余儀なくされたはずなので、これを 100% にできなければ、他のすべてのものはどうなるでしょうか?」
セキュリティ研究者にとって、脆弱性のロングテールにどう対処するかという問題は常に存在します。 また、この問題はオープンソース ソフトウェアだけでなく、プロプライエタリ システムにも当てはまります。 Windows ユーザーの最後の 10% が XP から離れるのに何年かかったか考えてみてください。
「これらの最悪のシナリオ、つまりオープン ソースでのブラック スワン イベントが発生し続けることは明らかです。なぜなら、コミュニティの反応ははるかに良くなっていますが、オープンソース開発のペースはさらに速くなっているからです。」 ChainGuard の Lorenc は言います。 「そのため、予防と緩和のバランスを見つけ、可能な限り頻度を減らす努力を続けなければなりません。 みたいな シンプソンズ バートが「これは私の人生で最悪の日だ」と言ったときのミーム。 そしてホーマーはノーと言います「あなたの人生で最悪の日」 これまでのところ.」