De Apache Software Foundation is teleurgesteld over het grote aantal gebruikers van Log4j 1, de eerste versie van de inmiddels wereldwijd bekende loggingsoftware die sinds augustus 2015 niet meer wordt ondersteund. Gebruikers werden opgeroepen om te upgraden naar Log4j 2. Desondanks wordt Log4j 1 nog veel gebruikt.
"Het is teleurstellend om te zien hoeveel gebruikers nog steeds op Log4j 1.x zitten. Het leidt af van de reactie op de Log4j 2.x-problemen", zegt Christian Grobmeier van Apache Software Foundation en onderdeel van het Log4j-team tegenover The Record. Ondanks het gebruik van deze versie heeft alle aandacht voor de kwetsbaarheden in Log4j 2 er wel voor gezorgd dat mensen nu meer aandacht besteden aan hun dependencies en de libraries die ze dagelijks gebruiken, aldus Grobmeier.
Hij is het er niet mee eens dat de Log4j-kwetsbaarheid door sommige mensen als het ergste beveiligingslek ooit wordt genoemd. "Er zijn aardig wat grote beveiligingsproblemen in de industrie geweest." Ook vindt Grobmeier dat de kwetsbaarheid in Log4j 2, die op een schaal van 1 tot en met 10 met een 10 werd beoordeeld, geen "eenvoudige" kwetsbaarheid is en wel zou zijn gevonden wanneer het Log4j-team over meer financiële middelen beschikte.
Een ander veel gehoord kritiekpunt was dat Log4j door een klein aantal mensen wordt onderhouden. Op de vraag of meer "ogen" hadden meegeholpen bij het vinden van meer kwetsbaarheden antwoordt Grobmeier dat meer geld geen magische oplossing is voor het vinden van alle beveiligingsproblemen. Wel staat het Apache-team open voor beveiligingsexperts die willen meezoeken naar kwetsbaarheden in Log4j en andere projecten.
Deze posting is gelocked. Reageren is niet meer mogelijk.