Apache, geçen yıl 9 Aralık’ta durumu kamuya açıkladığında Log4Shell için yamaları yayınlamaya hazır olmak için Aralık 2021’in başında mücadele etmek zorunda kaldı. Sonuç olarak, araştırmacılar yamalar için hızlı bir şekilde son durumları ve geçici çözümleri buldular ve Apache, karışıklığı artıran birden çok yineleme yayınlamak zorunda kaldı.
Açık kaynak güvenlik araştırmacısı Jonathan Leitschuh, “Bu şey her yerdeydi, gerçekten her yerdeydi” diyor. “Saldırganlar üzerine atlıyordu, güvenlik topluluğu üzerine atlıyordu, yükler her yere uçuyordu.”
Ancak araştırmacılar, Apache’nin genel yanıtının sağlam olduğunu söylüyor. Nalley, Apache’nin Log4Shell destanına tepki olarak değişiklikler ve iyileştirmeler yaptığını ve açık kaynaklı projelere sunabileceği güvenlik desteğini genişletmek için özel personel kiraladığını ve kod gönderilmeden önce hataları yakalayıp gerektiğinde olaylara müdahale ettiğini ekliyor.
Nalley, “İki hafta gibi kısa bir süre içinde düzeltmeler yaptık ve bu harika,” diyor. “Bazı açılardan bu bizim için yeni bir durum değil ve bunu mükemmel bir şekilde hallettiğimizi söylemek isterim. Ancak gerçek şu ki, Apache Software Foundation’da bile bu, yazılımımızı kullanan herkese karşı ne kadar büyük bir sorumluluğumuz olduğunu vurguladı.”
İleriye dönük olarak, durumun daha endişe verici yönü, bir yıl sonra bile, Apache deposu Maven Central ve diğer depo sunucularından Log4j indirmelerinin kabaca dörtte biri veya daha fazlasının hala Log4j’nin savunmasız sürümleriyle dolu olmasıdır. Başka bir deyişle, yazılım geliştiriciler, yardımcı programın savunmasız sürümlerini çalıştıran sistemlerin bakımını yapmaya ve hatta savunmasız yeni yazılımlar geliştirmeye devam ediyor.
Maven’i işleten yazılım tedarik zinciri firması Sonatype’ın kurucu ortağı ve baş teknoloji sorumlusu Brian Fox, “Gerçek şu ki, insanlar savunmasız bir açık kaynaklı yazılım bileşeni seçerken çoğu zaman zaten bir düzeltme mevcut” diyor. Central ve aynı zamanda üçüncü taraf bir Apache veri havuzu sağlayıcısıdır. “Uzun süredir buralardayım ve yorgunum ama bu gerçekten şok edici. Ve bunun tek açıklaması, insanların yazılımlarının içinde ne olduğunu gerçekten anlamamaları. ”
Fox, Log4Shell’i ele almak için yapılan ilk mücadeleden sonra, Maven Central ve diğer depolardaki sürüm indirmelerinin, indirmelerin kabaca yüzde 60’ının yamalı sürümlerden ve yüzde 40’ının hala savunmasız sürümlerden olduğu bir rafa çarptığını söylüyor. Son üç ay içinde, Fox ve Apache’den Nalley, sayıların ilk kez kabaca yüzde 75/25’e düştüğünü gördüklerini söylüyor. Yine de Fox’un belirttiği gibi, “Bir yıl sonra, indirmelerin dörtte biri hala oldukça korkunç.”
“Bazı insanlar Log4j’nin sektör için büyük bir uyanış, kolektif bir korku ve uyanış olduğunu düşünüyor” diyor. “Ve yazılım tedarik zinciri güvenliği hakkındaki mesajı genişletmemize gerçekten yardımcı oldu, çünkü insanlar artık inkar etmiyordu. Hepimizin bahsettiği şey artık gerçekti’ hepimiz onu yaşıyorduk. Ancak Log4j’nin akran baskısı tek başına herkesi yükseltmeye zorlamalıydı, bu yüzden bunu yüzde 100’e çıkaramazsak, diğerleri ne olacak?”
Güvenlik araştırmacıları için, bir güvenlik açığının uzun kuyruğunun nasıl ele alınacağı sorusu her zaman mevcuttur. Ve sorun sadece açık kaynaklı yazılımlar için değil, aynı zamanda tescilli sistemler için de geçerlidir. Windows kullanıcılarının son yüzde 10’unu XP’den uzaklaştırmanın kaç yıl sürdüğünü bir düşünün.
“Bu en kötü durum senaryolarıyla (açık kaynaktaki siyah kuğu olayları), bunların olmaya devam edeceğini bilirsiniz çünkü topluluk tepki verme konusunda çok daha iyi hale geldi, ancak açık kaynak geliştirmenin hızı daha da hızlı.” ChainGuard’dan Lorenc diyor. “Öyleyse önleme ve hafifletme dengesini bulmalı ve sıklığı mümkün olduğunca azaltmak için çaba sarf etmeye devam etmeliyiz. Gibi Simpsonlar Bart ‘Bu hayatımın en kötü günü’ dediğinde meme. Ve Homer hayır diyor, ‘Hayatının en kötü günü şu ana kadar.’”