1. Foren
  2. Kommentare
  3. OpenSource-Forum
  4. Alle Kommentare zum Artikel
  5. › Open Source: "Antworten Sie…

Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: wingi1 26.01.22 - 12:59

    Mal zurück zur Ursache. Wenn beide Entwickler von log4j in einem 4 Wochen Urlaub wären und nichts gefixt hätten?

    Zum Glück liegt das Projekt schon organisatorisch bei der Apache Foundation, aber andere Repo sind privat auf github und werden dann durch DEN Maintainer released und verbreitet.

    Hätten betroffene Firmen, welche die OpenSource-Komponente die Entwickler im Urlaub nach Hause geflogen, damit ein Fix erstellt werden kann?

    Das finde ich viel interessanter ...

  2. Re: Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: wingi1 26.01.22 - 13:01

    Ja, eine Umstellung auf andere log-libs geht.

    Aber es geht ja um eine tiefe Abhängigkeit und auch andere OpenSource-Komponenten (z.B. newrelic-sidecar) nutzen diese - also die Abhängigkeitskette und Verfügbarkeit aller Entwickler sinkt dadurch noch!

  3. Re: Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: Fakula 26.01.22 - 13:06

    wingi1 schrieb:
    --------------------------------------------------------------------------------
    > Mal zurück zur Ursache. Wenn beide Entwickler von log4j in einem 4 Wochen
    > Urlaub wären und nichts gefixt hätten?
    >
    > Zum Glück liegt das Projekt schon organisatorisch bei der Apache
    > Foundation, aber andere Repo sind privat auf github und werden dann durch
    > DEN Maintainer released und verbreitet.
    >
    > Hätten betroffene Firmen, welche die OpenSource-Komponente die Entwickler
    > im Urlaub nach Hause geflogen, damit ein Fix erstellt werden kann?
    >
    > Das finde ich viel interessanter ...

    Die einfachste möglichkeit:
    Ne nette Summe Geld bieten, wenn die Lücke schnell gefixt werden sollte

  4. Re: Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: wingi1 26.01.22 - 13:10

    Bitte nochmal lesen:

    - OpenSource wird nicht wegen Geld erstellt.
    - Der Maintainer ist nicht erreichbar / Tod / GitHub account gesperrt
    - der Entwickler hat das Projekt eingestellt und seit 5 Jahren hingewiesen, diese OS nicht mehr zu benutzen.

    Was soll da Geld lösen? Seit wann zahlen Unternehmen Geld für OpenSource? Mit welchem Vertragspartner? Mit welcher Leistung?

  5. Re: Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: Fakula 26.01.22 - 13:21

    wingi1 schrieb:
    --------------------------------------------------------------------------------
    > Bitte nochmal lesen:
    >
    > - OpenSource wird nicht wegen Geld erstellt.
    > - Der Maintainer ist nicht erreichbar / Tod / GitHub account gesperrt
    > - der Entwickler hat das Projekt eingestellt und seit 5 Jahren hingewiesen,
    > diese OS nicht mehr zu benutzen.
    >
    > Was soll da Geld lösen? Seit wann zahlen Unternehmen Geld für OpenSource?
    > Mit welchem Vertragspartner? Mit welcher Leistung?


    Das schöne an OS ist, das man das zur not auch Forken kann, und selbst weiterbasteln kann.
    Und was fixen kann...

    (wenn es die Lizenz hergibt...)

  6. Re: Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: mnementh 26.01.22 - 18:12

    Fakula schrieb:
    --------------------------------------------------------------------------------
    > wingi1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bitte nochmal lesen:
    > >
    > > - OpenSource wird nicht wegen Geld erstellt.
    > > - Der Maintainer ist nicht erreichbar / Tod / GitHub account gesperrt
    > > - der Entwickler hat das Projekt eingestellt und seit 5 Jahren
    > hingewiesen,
    > > diese OS nicht mehr zu benutzen.
    > >
    > > Was soll da Geld lösen? Seit wann zahlen Unternehmen Geld für
    > OpenSource?
    > > Mit welchem Vertragspartner? Mit welcher Leistung?
    >
    > Das schöne an OS ist, das man das zur not auch Forken kann, und selbst
    > weiterbasteln kann.
    > Und was fixen kann...
    >
    > (wenn es die Lizenz hergibt...)

    Wenn die Lizenz das nicht hergibt, dann ist es definitionsgemäß kein Open Source.

  7. Re: Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: t_e_e_k 26.01.22 - 19:24

    wingi1 schrieb:
    --------------------------------------------------------------------------------
    > Mal zurück zur Ursache. Wenn beide Entwickler von log4j in einem 4 Wochen
    > Urlaub wären und nichts gefixt hätten?
    >

    Viel einfacher: sie hätten ihre Umgebung selbst sichern können und müssen. Und das unabhängig ob Open source oder nicht.
    Sprich:
    - Netzwerkregeln etablieren,
    - hinterfragen ob das Tool gerade gebraucht wird,
    - in diesem Fall hätte sogar das Lesen der Dokumentation und abschalten der kritischen Funktion gereicht

    Wer sich nur auf Anbieter verlässt, ist verlassen. Und da ist es egal ob es ein Open source Projekt, eine kleine klitsche mit 15 Leuten oder amazon ist. Zero day killt jeden!

  8. Re: Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: scrumdideldu 26.01.22 - 20:09

    t_e_e_k schrieb:
    --------------------------------------------------------------------------------
    > - hinterfragen ob das Tool gerade gebraucht wird,
    > - in diesem Fall hätte sogar das Lesen der Dokumentation und abschalten der
    > kritischen Funktion gereicht
    >
    > Wer sich nur auf Anbieter verlässt, ist verlassen. Und da ist es egal ob es
    > ein Open source Projekt, eine kleine klitsche mit 15 Leuten oder amazon
    > ist. Zero day killt jeden!

    Da sieht die Realität in so ziemlich jedem Unternehmen für das ich bisher gearbeitet habe völlig anders aus!

    Da ist es sowohl im Java-Umfeld (aber auch bei C#) völlig normal dass ein Entwickler wenn er was von Apache oder oder oder braucht eine Abhängigkeit definiert. Die zieht dann einen Rattenschwanz nach. Hat die letzten 20 Jahre die ich Java mache noch nie in einem Unternehmen gestört und da waren ein paar richtig große Firme dabei.

    Und was glaubst Du wieviel % der Nutzer von log4j haben die Dokumentation komplett durchgelesen?

    Wenn ich in meinem aktuellen Projekt in den Build schaue dann ist die Liste der Fremd-Jars ca. 9 Bildschirmseiten lang. Ich glaube nicht dass irgendjemand aus dem ursprünglichen Entwicklungsteam diese Menge überschaut!

  9. Austauschen

    Autor: BLi8819 26.01.22 - 22:35

    > Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?
    Ein anderes Framework verwenden.

    Heirate niemals ein Framework! Das ist ein Grundprinzip der Softwareentwicklung, dass kaum jemand lebt.
    Und solche Vorfälle zeigen, wie wichtig dies wäre.



    1 mal bearbeitet, zuletzt am 26.01.22 22:36 durch BLi8819.

  10. Re: Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: 43rtgfj5 27.01.22 - 07:01

    Was erwartest du denn als Antwort?
    Es ist OpenSource, und die Entwickler sind nicht da.
    Entweder du erreichst die Entwickler uns bietest ihnen genug, damit sie vorzeitig nach Hause kommen und es fixen. Oder du tust es nicht oder sie gehen nicht drauf an, weil ihnen der Urlaub wichtiger ist als dass sie die Lücke fixen.

    Alternativen:
    Du veröffentlichst ein Angebot an X, um die Lücke im Code zu schließen. Das Framework ist OpenSource, also kannst du dir den Quellcode runterladen (Falls es die Repo / Projektseite nicht mehr gibt hast du hoffentlich noch den Quelltext rumliegen!) und selbst fixen / jemanden dafür bezahlen, es zu tun. Such dir einen Java Entwickler und sag ihm, er soll die Funktion einfach ausbauen, denn benutzen werden die die aller aller aller wenigsten. Oder wenn du sie brauchst, bezahl ihn zum fixen der Funktion. Wie auch immer er das anstellt.

    Ansonsten bleibt dir nur warten bis die Entwickler zurück sind. Oder, wenn die Entwickler es nicht mehr maintainen (oder nicht mehr können, zB weil tot / schlicht nicht erreichbar, ...) pech gehabt und jemanden suchen der es fixt.

    Wenn du die Blbiothek noch nutzt, aber die Projektseite nicht mehr existiert, hast du besser eine eigene Kopie des Quelltextes, damit du jemanden beauftragen kannst.

    Sonst _gibt es keine Alternativen_. Warten, oder jemanden suchen, der es fixt.

  11. Re: Was könnte ein Unternehmen machen, wenn log4j nicht gefixt würde?

    Autor: BLi8819 29.01.22 - 11:51

    > Sonst _gibt es keine Alternativen_.
    Interessant, dass du die Möglichkeit ein alternatives Framework zu nutzen, gar nicht in Erwägung ziehst :D

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Senior Softwareingenieur - Test für Hubschraubersysteme (gn)
    ESG Elektroniksystem- und Logistik-GmbH, Donauwörth
  2. Support Engineer (m/w/d) Kundensupport für die technische Konfiguration einer Software-Lösung
    easySoft. GmbH, Metzingen, Bretten (Home-Office möglich)
  3. Scrum Master - Projektmanager (m/w/d)
    Pixida GmbH, München, Ingolstadt
  4. Informatiker / Elektrotechniker / Naturwissenschaftler (m/w/d) Softwarevalidierung und Softwaretesting
    RICHARD WOLF GMBH, Knittlingen (Raum Pforzheim / Karlsruhe)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (heute: Haushaltsgeräte)
  2. (u. a. Starship Troopers - Terran Command für 16,49€, Cyberpunk 2077 für 15,49€, Destiny 2...
  3. 126,04€ (günstig wie nie, UVP 179,99€)
  4. 18,08€ (günstig wie nie, UVP 37,55€)


Haben wir etwas übersehen?

E-Mail an news@golem.de