Door Anoniem: [
Afgaande wat ik op andere fora aan commentaren over de situatie heb gelezen is het versie 2 van Log4j dat het soort toeters en bellen is gaan bevatten die nu voor problemen zorgen. Versie 1 lijkt meer recht voor zijn raap te zijn. Dan ligt het heel erg voor de hand dat heel wat software die Log4j gebruikt dat al is gaan doen toen er een versie zonder die problemen was, en vervolgens de op zich natuurlijk heel verstandige benadering heeft toegepast dat je mee gaat met upgrades en niet op verouderde versies blijft hangen.
Dat klopt, een en ander vele jaren gevolgd. Er waren andere alternatieven via IBM HP meer als opvolger van SMF.
Wat ik zag gebeuren dat iedereen iedereen gaan napraten dat open source en goedkoper en veiliger zou zijn met het argument dat jij framing noemt. Uit kostenbesparing wat kopieren van andere zonder zelf een gesegmenteerde aanpak (DMZ) te overwegen is sneller in het opleveren van een resultaat. Ik heb het niet over open source ja/nee als argument maar om het kosten baten gebeuren waarbij veiligheid als iets voor anderen neergezet is.
Dit is iets dat niet alleen bij open source misgaat, ook bij commerciële software gebeuren dit soort dingen. Ik heb meer dan eens pakketten die mooi begonnen in bloatware zien ontsporen.
Ik ook, er blijft gewoon een afweging wat verantwoord is en wat niet met technisch inzicht. De besllissers ziiten op posities zonder technisch inzicht meer geleid door commerciële zaken.
Zorg dat je voldoende blijft overzien hoe je systemen eigenlijk werken, met andere woorden. Daar ben ik het mee eens.
Kijk daar hebben we een gelijkgestemd inzicht. Blijft lastig dat vanuit techniek geen beslissingen doorgezet kunnen worden.
Bij zoiets als logging moet dat erg meevallen. Om te beginnen bestaat er, ook open source, SLF4J, een logging-interface met afzonderlijke implementaties voor verschillende backends, waaronder Log4j en java.util.logging uit de standaardlibrary van Java.
Technisch zijn die er wel, ik gaf ook een voorbeeld. Nu moet je dat tot een geheel zien te krijgen met een aansluiting op een Siem. Er zijn vele monitor tools zoals nagios nmon prometheus ook die worden te vaak weer nagebouwd in een pakket. De reden het ontbreken van interfaces of de noodzaak van een shell.
Ten tweede is logging voor de meeste toepassingen niet iets dat vreselijk veel toeters en bellen nodig heeft, het is in wezen gewoon tekst met een logging-level (debug, info, warning, error etc.). ..... Dit zou elke programmeur moeten kunnen bedenken en implementeren.
Klopt, het is vaak sneller en eenvoudiger om zoiets er naast te zetten. Je loopt meteen tegen de weerstand aan (managers beslissers) dat ze standaard oplossingen van buiten willen.
Probeer eens buite Cef te komen
https://community.microfocus.com/cfs-file/__key/communityserver-wikis-components-files/00-00-00-00-23/3731.CommonEventFormatV25.pdf Een systeem wil men monitoren als security eis.
Dat heet standaardisatie. Een standaard levert geen monocultuur op, het helpt die juist voorkomen. Het staat namelijk meerdere compatibele implementaties toe waaruit je kan kiezen. Een monocultuur heb je als iedereen gebonden is aan dezelfde implementatie.
Helaas wordt uit kostenbesparing met standaardisatie door beslissers dezelfde implementatie geëist. Gevolg monocultuur
Ik zou (jij ook) voor een eenvoudige controleerbare interface gaan en de implementatie variabel laten.
Dat kan korte termijnvoordelen opleveren, maar de prijs die je daarvoor betaalt is supplier lock-in.
Klopt en we zitten weer op kosten baten als je dat wilt vermijden.