Log4j’s Log4Shell Vulnerability: One Year Later, It’s Still Lurking | WIRED
public.icon
この状況は、ソフトウェアのサプライチェーンに関するより大きな議論と共鳴し、多くの組織がシステムで使用しているすべてのソフトウェアを適切に管理していないため、脆弱なコードを特定しパッチを適用することがより困難になっているという事実があります。しかし、課題の1つは、たとえ組織が購入または導入したすべてのソフトウェアのリストを持っていたとしても、それらのプログラムには、エンドユーザーが特に認識しておらず、意図的に選択したわけでもない他のソフトウェアコンポーネント、特にLog4jなどのオープンソースライブラリやユーティリティが含まれている可能性があるということです。このため、Log4Shell のような脆弱性の波及効果や、パッチ適用のロングテール効果が生じ、組織は脆弱性にさらされていることを認識していないか、アップグレードに投資する緊急性を認識していません。 「ソフトウェアサプライチェーンセキュリティ企業であるChainguard社のCEOであるDan Lorenc氏は、「Log4Shellは、今後10年間、データ漏洩の根本原因の一部として登場し続けるでしょう。「ありがたいことに、昨年はほとんどの消費者がその影響を感じませんでした。なぜなら、その深刻さは非常に高く、人々はあのひどい週末や休暇中、攻撃者と競争するために奔走したからです。しかし、このような事態は経済的な影響を及ぼし、修復のための膨大な労力とコストがかかります。しかし、経済的な影響もありますし、修復のための膨大な労力もかかります。