Cette semaine marque le premier anniversaire de la vulnérabilité Log4j/Log4Shell affectant la bibliothèque de journalisation Java et, comme indiqué récemment, de nombreuses organisations sont toujours vulnérables même si des versions corrigées ont été rapidement disponibles.Sonatype a produit un centre de ressources pour montrer l'état actuel de la vulnérabilité, ainsi qu'un outil pour aider les entreprises à analyser leur code source ouvert pour voir s'il est affecté.
Le tableau de bord montre le pourcentage de téléchargements de Log4j qui restent vulnérables -- actuellement autour de 34% depuis décembre dernier -- il montre également les parties du monde qui ont vu le pourcentage le plus élevé de téléchargements vulnérables.
Brian Fox, directeur technique de Sonatype, déclare :
Log4j a été un rappel brutal de l'importance cruciale de la sécurisation de la chaîne d'approvisionnement des logiciels. Il était utilisé dans pratiquement toutes les applications modernes et a affecté les services des organisations dans le monde entier. Un an après l'incident Log4Shell, la situation reste sombre. D'après nos données, 30 à 40 % de tous les téléchargements de Log4j concernent la version vulnérable, bien qu'un correctif ait été publié dans les 24 heures suivant la divulgation prématurée de la vulnérabilité.
Il est impératif que les organisations reconnaissent que la plupart des risques liés à l'open source se situent au niveau des consommateurs, qui doivent adopter les meilleures pratiques au lieu de blâmer un code défectueux. Log4j n'est pas un incident isolé : 96 % des téléchargements de composants open source vulnérables disposaient d'une version corrigée.
Les organisations ont besoin d'une meilleure visibilité de chaque composant utilisé dans leurs chaînes d'approvisionnement en logiciels. C'est pourquoi les solutions d'analyse de la composition des logiciels de qualité sont si importantes aujourd'hui, alors que le monde envisage l'utilité des SBOM à l'avenir. La politique britannique et européenne en matière de logiciels devrait exiger que les consommateurs commerciaux de logiciels libres soient en mesure d'effectuer l'équivalent d'un rappel ciblé, tout comme nous l'attendons des fabricants de biens physiques tels que l'industrie automobile. La visibilité générale conférera des avantages supplémentaires aux organisations, comme la possibilité de prendre des décisions à l'échelle du portefeuille pour investir ou désinvestir dans certaines technologies, et de réduire la portée.
Source : Sonatype
Et vous ?
Qu'en pensez-vous ? D'après vous, pourquoi les entreprises continuent-elles de télécharger la version vulnérable de Log4j ?Voir aussi
Une vulnérabilité Log4J extrêmement critique met une grande partie d'Internet en danger Deuxième vulnérabilité Log4j découverte : un correctif est déjà publié, le correctif de la première vulnérabilité étant « incomplet » 
