Gå til innhold

DEBATT: Log4j: En enkelthendelse eller en strukturutfordring?


Anbefalte innlegg

Videoannonse
Annonse
Sitat

Når samfunnsviktige tjenester benytter applikasjoner som inneholder åpent tilgjengelig kildekode, utviklet på fritiden av enkeltpersoner med varierende grad av kvalitetssikring og tilnærmet ingen finansiering, så er sannsynligheten stor for at modellen vi snakker om ikke er bærekraftig på lengre sikt.

Mulig, det, men det savnes en begrunnelse for hvorfor det er mer bærekraftig med programvare utviklet av enkeltpersoner i kommersielle firmaer med økonomisk motiv til å holde sårbarheter skjult.

  • Liker 7
  • Innsiktsfullt 1
Lenke til kommentar

Det som er ofte under underkommunisert er at mange av de sårbarhetene som utbedres i store markedsledende produkter levert av Microsoft/VMware/Apple osv kan ha vært liggende i mange år - gjerne feil de selv har oversett i sine egne produkter.

Det er dessverre ingen garanti for at store selskaper med store lommebøker (og lukket kildekode?) kan levere 100% sikker kode.  "IT" og programvareutvikling er håndverk, og dette gjelder uansett om man har milliarder i ryggen eller ikke.

Når det er sagt kan man gjerne legge merke til utbedringstakten i de prosjektene som er blitt berørt av log4j. Mange åpne kildekode-prosjekter ble utbedret på kort tid i løpet av helgen. Dessverre er det mange store virksomheter som kom på banen mye senere og mange av disse venter vi fortsatt på.

Det er kanskje overraskende for mange akkurat hvor mye gratis og fri programvare som er i bruk i verdens største og dyreste systemene....

Takk for artikkelen. Interessant å tenke seg gjennom problemstillingen tidlig på morgenen.

Endret av BNixx
  • Liker 3
Lenke til kommentar

Ein paralell til ein annan handtverksbransje, rørleggere.

Rørleggere i Norge ynska at det skulle bli krav om fagutdanning for å kunne legge røyr i hus i Norge. Kanksje mest eit forbod mot at eigarar av eiebustad skulle gjere noko sjølv.

Dette vart skote ned av forsiringsselkapa. Dei hadde tal som viste at det lakk like mykje frå røyr installert av faglært røyrlegger frå røyrleggerfirma som av røyr installert av andre.

Så kva er statestikken på feil med kommersiell kode relativt gratiskode?

Har dei komersielle programvarehus vist at dei gjer det betre på sikkerheit enn dei som lager "gratisprogram"?

  • Liker 1
Lenke til kommentar

Takk. Viktig artikkel. Det åpenbare svaret er vel at virksomheter som benytter fri programvare setter av ressurser og budsjett til å bidra med forbedring av sikkerheten i software-kjedene/stackene de benytter, og ikke implisitt (og kanskje uten å vite om det) tror at det på magisk vis er i orden. Et naturlig første steg er å starte kartleggingen av avhengigheter allerede nå også inkludere prioritering "upstream"-koding i samme prosess som produktutviklingen.

  • Liker 3
  • Innsiktsfullt 1
Lenke til kommentar

Java. Need I say more?

Neida. Jeg kommer fra .Net leiren. Bare troller Java-folket litt. Problemer her er en myriade av perifere open source biblioteker. Det er ikke lenge siden noe tilsvarende skjedde med et javascript-bibliotek. 

Endret av NiTech
Lenke til kommentar

Dette ble altså oppdaget av CCP-kontrollerte Alibaba Cloud Security Team.  De gikk ut med dette etter at CCP sine operative har fått mulighet til å inflitrere sine mål.  Det er ulovlig i Kina å ikke først rapportere dette til myndighetene.  I tillegg kontrollerer CCP Alibaba direkte.

"Regulations on the Management of Network Product Security Vulnerabilities"

Det som er positivt er at CCP nå tillater at enkelte sikkerhetshull blir publisert offentlig.

Det uheldige er at det er 100% sikkert at CCP har hatt tilgang til denne informasjonen i lang tid før vi har fått den samme informasjonen.

Vi må også forstå at CCP gjennom sine store IT-selskaper finansierer den typen kvalitetsarbeid som forfatteren etterspør.  Problemet er bare at siden det er et korrupt diktatur som gjør jobben så vil de også kjøre APT-angrep mot statlige og kommersielle systemer i Norge.

Det er ikke like bra.

  • Innsiktsfullt 1
Lenke til kommentar
10 hours ago, GitKenneth said:

Med en gang selskaper går inn i slike prosjekter, så endres lisensieringen, top committers går til selskapet som har investert og deretter lukkes hele prosjektet for omverdenen. Er det ønskelig?

Det er ingen som har lov til å bare endre lisensen, da må de kjøpe opp softwaren 100%. Fortsatt forhindrer det ikke utviklere å ta en fork fra før oppkjøp og fortsette programvaren, så sånn sett er det lite poeng i å ta over open source-komponenter.
Har du noe eksempler på at dette forekommer?

Det fins en rekke eksempler på open source der utviklere fra forskjellige firma er inne og sammen forbedrer. Ta feks Linux kjernen og Chromium som opplagte eksempler da.
 

Lenke til kommentar
23 hours ago, oppat said:

Dette ble altså oppdaget av CCP-kontrollerte Alibaba Cloud Security Team.  De gikk ut med dette etter at CCP sine operative har fått mulighet til å inflitrere sine mål.  Det er ulovlig i Kina å ikke først rapportere dette til myndighetene.  I tillegg kontrollerer CCP Alibaba direkte.

"Regulations on the Management of Network Product Security Vulnerabilities"

Det som er positivt er at CCP nå tillater at enkelte sikkerhetshull blir publisert offentlig.

Det uheldige er at det er 100% sikkert at CCP har hatt tilgang til denne informasjonen i lang tid før vi har fått den samme informasjonen.

Vi må også forstå at CCP gjennom sine store IT-selskaper finansierer den typen kvalitetsarbeid som forfatteren etterspør.  Problemet er bare at siden det er et korrupt diktatur som gjør jobben så vil de også kjøre APT-angrep mot statlige og kommersielle systemer i Norge.

Det er ikke like bra.

 

Og ingen andre har tenkt same tanken som kineserne?

Det kan hende at det er andre som har hatt denne og tilsvarande informasjon tilgjengeleg i lang tid også. Motivasjonen for å investere i "open source" kan vere så mangt, både for statlege og kommersielle aktører. Rein bandittverksemd er og å rekne som kommersiell  verksemd. 😉

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...