Cette semaine marque le premier anniversaire de la vulnrabilit Log4j/Log4Shell affectant la bibliothque de journalisation Java et, comme indiqu rcemment, de nombreuses organisations sont toujours vulnrables mme si des versions corriges ont t rapidement disponibles.
Sonatype a produit un centre de ressources pour montrer l’tat actuel de la vulnrabilit, ainsi qu’un outil pour aider les entreprises analyser leur code source ouvert pour voir s’il est affect.
Le tableau de bord montre le pourcentage de tlchargements de Log4j qui restent vulnrables — actuellement autour de 34% depuis dcembre dernier — il montre galement les parties du monde qui ont vu le pourcentage le plus lev de tlchargements vulnrables.
Brian Fox, directeur technique de Sonatype, dclare :
Log4j a t un rappel brutal de l’importance cruciale de la scurisation de la chane d’approvisionnement des logiciels. Il tait utilis dans pratiquement toutes les applications modernes et a affect les services des organisations dans le monde entier. Un an aprs l’incident Log4Shell, la situation reste sombre. D’aprs nos donnes, 30 40 % de tous les tlchargements de Log4j concernent la version vulnrable, bien qu’un correctif ait t publi dans les 24 heures suivant la divulgation prmature de la vulnrabilit.
Il est impratif que les organisations reconnaissent que la plupart des risques lis l’open source se situent au niveau des consommateurs, qui doivent adopter les meilleures pratiques au lieu de blmer un code dfectueux. Log4j n’est pas un incident isol : 96 % des tlchargements de composants open source vulnrables disposaient d’une version corrige.
Les organisations ont besoin d’une meilleure visibilit de chaque composant utilis dans leurs chanes d’approvisionnement en logiciels. C’est pourquoi les solutions d’analyse de la composition des logiciels de qualit sont si importantes aujourd’hui, alors que le monde envisage l’utilit des SBOM l’avenir. La politique britannique et europenne en matire de logiciels devrait exiger que les consommateurs commerciaux de logiciels libres soient en mesure d’effectuer l’quivalent d’un rappel cibl, tout comme nous l’attendons des fabricants de biens physiques tels que l’industrie automobile. La visibilit gnrale confrera des avantages supplmentaires aux organisations, comme la possibilit de prendre des dcisions l’chelle du portefeuille pour investir ou dsinvestir dans certaines technologies, et de rduire la porte.
Source : Sonatype
Et vous ?
Qu’en pensez-vous ?
D’aprs vous, pourquoi les entreprises continuent-elles de tlcharger la version vulnrable de Log4j ?
Voir aussi
Une vulnrabilit Log4J extrmement critique met une grande partie d’Internet en danger
Deuxime vulnrabilit Log4j dcouverte : un correctif est dj publi, le correctif de la premire vulnrabilit tant incomplet