Informazioni sulla violazione della sicurezza di Log4j e sull'uso di tecnologie open-source da parte di Caldera
21 dicembre 2021
Il 9 dicembre 2021 è stata segnalata una vulnerabilità per i sistemi che eseguono Apache Log4j versione 2.14.1 o inferiore - la CVE-2021-44228, denominata "Log4Shell". Desideriamo assicurare a tutti i nostri clienti e partner che le soluzioni Caldera non utilizzano Log4j, né nei nostri codici né in quelli di terze parti, pertanto non siamo interessati da questa vulnerabilità. Tuttavia, volevamo cogliere l'occasione per discutere dell'uso di tecnologie open-source nelle nostre soluzioni e di come lavoriamo per migliorare la sicurezza dei nostri utenti.
Che cos'è un software open-source?
Il modello open-source è un modello di sviluppo del software decentralizzato che incoraggia la collaborazione aperta, per favorire l'innovazione e il miglioramento. Open source significa che il codice originale non è criptato in alcuna forma e che ogni utente può modificare il codice in base alle proprie esigenze. I vantaggi dell'open source sono molti, tra cui la riduzione dei costi del software, l'abbondante supporto da parte della comunità, la possibilità di scalare e consolidare, e molti altri ancora.
Tuttavia, è importante tenere presente che i software open-source non sono necessariamente liberi di essere utilizzati e non sono necessariamente compatibili con tutti i sistemi operativi. La definizione di software open-source è "libero" nel senso di dare libertà a chi lo usa.
Le tecnologie open-source sono utilizzate da un'ampia comunità che contribuisce a migliorarle nel tempo, motivo per cui la maggior parte delle vulnerabilità viene individuata e risolta rapidamente, per il bene della maggioranza. Ad esempio, il già citato Apache Log4j è una libreria di log open-source utilizzata in milioni di progetti Java, tra cui una percentuale sostanziale di applicazioni aziendali e servizi cloud.
In sintesi, l'open source è guidato da uno spirito di collaborazione e le aziende che beneficiano delle tecnologie open source dovrebbero anche restituire alla comunità.
Caldera e l'uso di tecnologie open-source
Caldera non si basa sul linguaggio Java, pertanto non siamo interessati dalla violazione della sicurezza di Log4Shell. Tuttavia, ci affidiamo ad altre tecnologie open-source per fornire la migliore esperienza possibile ai nostri utenti e per contribuire alla comunità open-source.
Arnaud Fabre, Product Manager di Caldera, afferma : "L'utilizzo di programmi di qualità già sviluppati, testati e sostenuti dalla comunità o da aziende terze ci permette di concentrarci sull'innovazione e di aggiungere valore ai nostri sistemi. Per esempio, ci affidiamo al motore Ghostscript PDF/PS di Artifex, che è un modo per pagare gli sviluppatori dedicati che lavorano su un progetto open-source".
E prosegue: "All'interno del team di Caldera abbiamo diversi esperti di Linux e open-source che contribuiscono regolarmente alla comunità online. Li incoraggiamo attivamente a stipulare contratti con le università locali per formare gli sviluppatori e i collaboratori open source di domani. Inoltre, sviluppando software per Linux, abbiamo un impatto sulla nostra comunità per quanto riguarda l'utilizzo di tecnologie open-source. Infine, investiamo in diverse tecnologie open-source come GitLab per migliorare i nostri processi interni a Caldera".
Come funziona Caldera per migliorare la vostra sicurezza?
Caldera si impegna a fornire prodotti e servizi che soddisfino le vostre esigenze di produzione, sia in termini di efficienza che di sicurezza.
Alcuni esempi di funzioni di sicurezza:
- Il supporto di piattaforme affidabili (Linux e macOS) per minimizzare i rischi
- Possibilità di bloccare l'utilizzo per gli amministratori (utenti root o sudo)
- Possibilità di bloccare l'utilizzo locale (con password su EasyMedia)
Inoltre, il nostro piano di assistenza e manutenzione CalderaCare aiuta i nostri utenti a rimanere aggiornati su tutti gli ultimi aggiornamenti e miglioramenti, in modo che possiate produrre in tutta tranquillità. Per saperne di più su CalderaCare.