.
O Apache teve que se esforçar no início de dezembro de 2021 para estar pronto para lançar patches para o Log4Shell quando divulgou publicamente a situação em 9 de dezembro do ano passado. Como resultado, os pesquisadores rapidamente encontraram casos extremos e soluções alternativas para os patches, e o Apache foi forçado a lançar várias iterações, o que aumentou a confusão.
“Essa coisa estava em toda parte, realmente em toda parte”, diz Jonathan Leitschuh, um pesquisador de segurança de código aberto. “Os invasores estavam pulando nele, a comunidade de segurança estava pulando nele, as cargas voavam por toda parte.”
Os pesquisadores dizem, porém, que a resposta geral do Apache foi sólida. Nalley acrescenta que o Apache fez alterações e melhorias em reação à saga Log4Shell e contratou uma equipe dedicada para expandir o suporte de segurança que pode oferecer a projetos de código aberto para detectar bugs antes que eles sejam enviados no código e responder a incidentes quando necessário.
“Em um curto período de tempo, duas semanas, resolvemos os problemas, o que é ótimo”, diz Nalley. “De certa forma, esta não é uma situação nova para nós, e eu adoraria dizer que lidamos com isso perfeitamente. Mas a realidade é que, mesmo na Apache Software Foundation, isso destacou a responsabilidade que temos para com todos que consomem nosso software.”
No futuro, o aspecto mais preocupante da situação é que, mesmo um ano depois, cerca de um quarto ou mais dos downloads do Log4j do repositório Apache Maven Central e outros servidores de repositório ainda estão cheios de versões vulneráveis do Log4j. Em outras palavras, os desenvolvedores de software ainda estão mantendo ativamente os sistemas que executam versões vulneráveis do utilitário ou até mesmo criando novos softwares vulneráveis.
“A realidade é que, na maioria das vezes, quando as pessoas estão escolhendo um componente vulnerável de software de código aberto, já existe uma correção disponível”, diz Brian Fox, cofundador e diretor de tecnologia da empresa de cadeia de suprimentos de software Sonatype, que opera o Maven Central e também é um provedor terceirizado de repositórios Apache. “Já estou no mercado há muito tempo e estou cansado, mas isso realmente é chocante. E a única explicação é que as pessoas realmente não entendem o que está dentro de seu software .”
Fox diz que, após a luta inicial para abordar o Log4Shell, os downloads de versões no Maven Central e em outros repositórios atingiram uma prateleira onde aproximadamente 60% dos downloads eram de versões corrigidas e 40% ainda eram de versões vulneráveis. Nos últimos três meses, a Fox e Nalley, da Apache, dizem que viram os números caírem pela primeira vez para aproximadamente uma divisão de 75/25 por cento. Como diz a Fox, “depois de um ano, um quarto dos downloads ainda é terrível”.
“Algumas pessoas acham que o Log4j foi um grande despertar para a indústria, um surto e despertar coletivo”, diz ele. “E isso realmente nos ajudou a expandir a mensagem sobre a segurança da cadeia de suprimentos de software, porque as pessoas não estavam mais em negação. A coisa sobre a qual estávamos falando era real agora, estávamos todos vivendo isso. Mas apenas a pressão dos pares do Log4j deveria ter forçado todos a atualizar, então, se não conseguirmos fazer este 100%, o que acontecerá com todos os outros?”
Para os pesquisadores de segurança, a questão de como abordar a cauda longa de uma vulnerabilidade está sempre presente. E a questão se aplica não apenas ao software de código aberto, mas também aos sistemas proprietários. Pense em quantos anos foram necessários para tirar os últimos 10% dos usuários do Windows do XP.
“Com esses cenários de pior caso – eventos de cisnes negros em código aberto – você simplesmente sabe que eles continuarão acontecendo, porque a comunidade melhorou muito em reagir, mas o ritmo do desenvolvimento de código aberto é ainda mais rápido,” diz Lorenc da ChainGuard. “Portanto, temos que encontrar o equilíbrio entre prevenção e mitigação e continuar trabalhando para reduzir a frequência o máximo possível. É como Os Simpsons meme quando Bart diz, ‘Este é o pior dia da minha vida.’ E Homer diz não, ‘O pior dia da sua vida até aqui.’”
.
