Léa-Linux & amis :   LinuxFR   GCU-Squad   GNU  
icon
posté par Lea, le 12 janvier 2022

Commençons par un peu de technique. Log4j est une bibliothèque logicielle libre sous la houlette de la fondation Apache, utilisée dans nombreuses applications web en langage Java pour loguer et enregistrer des données de l’application. Log4Shell (CVE-2021-44228), est une vulnérabilité de Log4j , qui permet à des attaquants d’exécuter du code Java sur un serveur utilisant cette bibliothèque. Log4j étant massivement utilisé dans des projets de toutes tailles (les médias ont cité AWS, Steam, Minecraft, iCloud entre autres) et présent sur une bonne part des services web en Java, la faille a des conséquences importantes.

Heureusement comme souvent dans le logiciel libre, le code ouvert et l’esprit collaboratif a permis d’avoir rapidement une correction et l’absence de licence chère et contraignante permet à tout le monde d’appliquer le correctif. En revanche, se pose le problème du financement de l’écosystème du logiciel. Il est regrettable qu’un projet important et utilisé par la plupart des grandes entreprises ne soit pas davantage supporté par les grands acteurs économiques. Log4j est maintenu par seulement quatre développeurs. Leur compétence n’est pas à remettre en question (personne n’avait détecté la faille et ils ont travaillé d’arrache-pied pour la corriger), toutefois pour un projet utilisé à ce niveau on aurait aimé que les entreprises utilisatrices financent davantage le projet.

Se pose aussi le problème d’embarquer dans ses logiciels plein de bibliothèques sans jamais vraiment de se préoccuper de leur maintenance ou de leur sécurité. Embarquer du code tiers, c’est un peu comme employer un prestataire, cela ne devrait pas exonérer sa propre responsabilité.

La plupart des grandes entreprises et des administrations ont réagi suite à ses failles, mais où sont-ils tous quand il s’agit d’assurer la pérennité du logiciel libre?

Aucun commentaire »
Tags: Étiquettes : , ,

Postez un commentaire !

widget_archive
Identification !
Identifiant  
Mot de passe  


Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons