Minggu ini menandai ulang tahun pertama kerentanan Log4j/Log4Shell yang memengaruhi pustaka logging Java dan seperti yang kami catat baru-baru ini banyak organisasi masih rentan meskipun versi yang ditambal sudah tersedia dengan cepat.
Sonatype telah menghasilkan pusat sumber daya untuk menunjukkan keadaan kerentanan saat ini, bersama dengan alat untuk membantu bisnis memindai kode sumber terbuka mereka untuk melihat apakah itu terpengaruh.
Dasbor menunjukkan persentase unduhan Log4j yang tetap rentan – saat ini berjalan sekitar 34 persen sejak Desember lalu – ini juga menunjukkan bagian dunia yang telah melihat persentase unduhan rentan tertinggi.
Brian Fox, CTO Sonatype berkata:
Log4j adalah pengingat yang gamblang tentang pentingnya mengamankan rantai pasokan perangkat lunak. Itu digunakan di hampir setiap aplikasi modern dan memengaruhi layanan organisasi di seluruh dunia. Satu tahun setelah insiden Log4Shell, situasinya tetap suram. Menurut data kami, 30-40 persen dari semua unduhan Log4j adalah versi yang rentan, meskipun perbaikan dirilis dalam waktu 24 jam sejak pengungkapan prematur kerentanan.
Sangat penting bagi organisasi untuk mengenali sebagian besar risiko yang terlibat dengan open source terletak pada konsumen, yang harus menerapkan praktik terbaik alih-alih menyalahkan kode yang cacat. Log4j bukanlah insiden yang terisolasi — 96 persen unduhan yang rentan dari komponen sumber terbuka memiliki versi tetap yang tersedia.
Organisasi membutuhkan visibilitas yang lebih baik dari setiap komponen yang digunakan dalam rantai pasokan perangkat lunak mereka. Inilah sebabnya mengapa solusi analisis komposisi perangkat lunak yang berkualitas sangat penting saat ini karena dunia merenungkan bagaimana SBOM akan membantu di masa depan. Kebijakan Inggris dan Eropa tentang perangkat lunak harus mewajibkan konsumen komersial open source untuk dapat melakukan hal yang setara dengan penarikan yang ditargetkan, seperti yang kami harapkan dari produsen barang fisik seperti industri otomotif. Visibilitas menyeluruh akan memberikan manfaat tambahan bagi organisasi seperti kemampuan untuk membuat keputusan di seluruh portofolio untuk berinvestasi atau melakukan divestasi pada teknologi tertentu, dan untuk mengurangi cakupan potensi dampak.
Anda dapat mengunjungi pusat sumber daya kerentanan Sonatype di sini.
Kredit gambar: billiondigital/depositphotos.com
