cross-posted from: https://szmer.info/post/14010
Mogłoby się wydawać, że projekt tak szeroko stosowany przez Big Tech będzie miał sowity budżet na rozwój, duży zespół pracujących nad nim programistów i regularne, dogłębne audyty bezpieczeństwa. Tymczasem Log4j rozwijane jest przez kilku programistów (tak naprawdę aktywnie zaangażowane są bodaj trzy osoby), w dużej mierze na zasadzie wolontariatu.
(…)
Być może czas więc na regularne audyty bezpieczeństwa kluczowych projektów na wolnych licencjach, i publiczne finansowanie ich rozwoju i utrzymania.
Wolne oprogramowanie jest w końcu ważnym dobrem wspólnym, doceniają to przecież (sądząc po liście organizacji dotkniętych Log4shell) największe nawet firmy z Doliny Krzemowej. Środki mogłyby więc pochodzić ze skutecznego ich opodatkowania.
Oczywiście nie chodzi o to, by każdy projekt miał milionowy budżet i dziesiątki osób w zespole – istnieją projekty dobrze rozwinięte, jak choćby Log4j, które nie wymagają już dużo gwałtownych zmian. Potrzebują jednak, aby ktoś od czasu do czasu przeprowadził systematyczny audyt bezpieczeństwa.
(tak, bezczelna autopromocja; tytuł od redakcji 🤷♀️ )