O destino dos programadores que trabalharam de graça para economizar perdas de milhões de dólares

,

Há dois anos, ocorreu a disseminação de uma vulnerabilidade de’dia zero’que potencialmente afetou milhões de usuários de todos os tipos de plataformas online (do Steam ao Cloudflare, do iCloud ao Minecraft, etc.): o chamado vulnerabilidade ‘Log4Shell’ , assim chamada porque afetou uma biblioteca de código aberto quase desconhecida chamada Apache Log4J.

mais

Mas, embora pouco conhecido, a verdade é que Foi (e continua a ser) uma peça fundamental entre as aplicações (gratuitas e proprietárias) do ecossistema Java , tendo a função de facilitar que mantenham um registo das atividades realizadas durante o período de distribuição.

Esta peça foi tão fundamental que rapidamente A vulnerabilidade recebeu uma pontuação de 10/10 no CVSS (Common Scoring System). Felizmente, apenas 24 horas depois Depois que a existência da vulnerabilidade se tornou conhecida, os mantenedores do projeto Log4J foram capazes de lançar a versão corrigida.

Um olhar sobre… A carreira do programador em 2017 e no futuro (com Javier Santana)

O escândalo dos voluntários trabalhando contra o relógio pelo Vale do Silício

O que, como logo foi revelado, foi uma enorme conquista, já que a equipa de responsáveis ​​por este software (utilizado, insistimos, por milhares de grandes plataformas) era tão apenas 10 pessoas… das quais apenas 3 podiam contribuir naquela altura para criar o patch. A razão? Eles eram todos desenvolvedores voluntários que trabalham no Log4J"em seu tempo livre". Alguns deles só conseguiram dormir duas horas naquela noite estressante.

Neste site Um desenvolvedor sabota seus projetos de código aberto de sucesso no GitHub para irritar grandes empresas que usam seu trabalho gratuitamente

Quando isso se tornou conhecido, muitos usuários denunciaram a situação precária de um projeto tão crítico. Foi criticado que a Fundação Apache tenha uma grande página detalhando as responsabilidades dos programadores de seus projetos, quando são pessoas que trabalham por amor à arte… e, sobretudo, as críticas contra as empresas multimilionárias se intensificaram. que se beneficiam do software que essas pessoas desenvolvem sem se preocupar em fazer nenhuma doação.

Tanto que, apenas um mês depois, a própria Casa Branca convocou uma cúpula de organizações de código aberto, grandes empresas de tecnologia e agências federais dos EUA para evitar novos casos de vulnerabilidades graves em projetos críticos de código aberto. Falou-se em estabelecer mecanismos que permitam a sua sustentabilidade e diminuam o seu tempo de resposta..

Mas como estão as coisas doze meses depois?

Foi assim que Log4J e Log4Shell ficaram um ano depois…

Doze meses depois de tudo o que aconteceu, o criador e principal responsável pelo Log4J, Ralph Goers, Ainda tinha dois empregos “em tempo integral”, dos quais o Log4J é justamente o não remunerado.. O número total de colaboradores (repetimos, todos voluntários) só aumentou um (1, sim).

Os frequentadores, pelo menos, viram seu número de patrocinadores no GitHub Sponsors multiplicado dos três (3, sim) que ele tinha quando o problema do Log4Shell explodiu para 31 (outros 90 vieram patrociná-lo em algum momento após a polêmica , mas eles já haviam’caído’até então).

Enquanto isso, entre 30% e 40% das instalações do Log4J não se preocuparam em instalar as versões corrigidas dele. Nove meses após a descoberta do problema, as agências de segurança cibernética dos Estados Unidos, Reino Unido, Austrália e Canadá emitiram um alerta: os cibercriminosos supostamente financiados pelo regime iraniano Eles continuaram a explorar as vulnerabilidades do Log4j para executar campanhas de ransomware.

Neste site Se você possui uma impressora HP é hora de atualizar, a maioria está exposta a três falhas críticas de segurança

E agora, dois anos depois?

Uma investigação realizada pela empresa de segurança cibernética Veracode revelou que a grande maioria dos aplicativos vulneráveis ​​podem nunca ter atualizado a biblioteca Log4j depois que os desenvolvedores a implementaram em seus projetos, já que **32% estavam executando versões não suportadas dela, ou seja, antes de 2015 **.

0

Felizmente, a vulnerabilidade do Log4Shell afetou apenas as versões 2.0-beta9 a 2.15.0 do Log4j, portanto a porcentagem de aplicativos que permanecem vulneráveis ​​à vulnerabilidade é teoricamente reduzida para apenas 2,8%…

1

…sim, ok outros 3,8% Ele ainda está rodando a versão 2.17, uma versão posterior ao famoso patch, portanto não está exposto a ataques Log4Shell, mas é vulnerável a outra vulnerabilidade de execução remota de código.

2

Mas, No que diz respeito ao apoio humano e económico para o desenvolvimento do projecto, as coisas mudaram (finalmente) para melhor. R: Há menos de um mês, o Sovereign Tech Fund (uma organização financiada precisamente pelo governo alemão como resultado da controvérsia em torno do Log4Shell) anunciam o seu apoio financeiro (€596.160) ao desenvolvimento do Apache Log4J.

3

Assim, anunciaram que garantiriam apoio a três mantenedores do projeto (“dois deles deixarão seus cargos de tempo integral para fazê-lo”):

4

Até este momento, especificamente em setembro de 2023, não era prática comum fornecer uma compensação monetária significativa aos principais indivíduos responsáveis ​​pela supervisão e gestão de projetos cruciais de código aberto.

Apesar da extensa notoriedade e apreensão em torno das questões de segurança da Log4J, é digno de nota que este marca o primeiro caso em que um contribuidor proeminente, Christian Grobmeier, recebeu uma compensação monetária em reconhecimento ao seu compromisso inabalável com iniciativas essenciais de código aberto.

Nesta plataforma, os desenvolvedores proficientes em Linux são conhecidos por solucionar problemas de software em um ritmo mais rápido em comparação com seus equivalentes que utilizam sistemas operacionais como o macOS da Apple, o Android do Google ou o Microsoft Windows.

5

*️⃣ Link da fonte:

Apache Log4J , patrocinadores no GitHub Patrocinadores , Nove meses , revelado , anúncio ,