« La récente révélation de la vulnérabilité Log4Shell nous permet d’en apprendre beaucoup sur la gestion des vulnérabilités des progiciels commerciaux ainsi que sur le développement d’applications sécurisées. La source du problème ne réside pas dans la provenance « open-source » du logiciel géré par un ou plusieurs programmeurs. En effet, on trouve autant de failles zero-day dans les logiciels commerciaux que dans les solutions open-source. Le véritable enjeu, ici, est le manque de sensibilisation à la sécurité - trop fréquent. Cela met en évidence l’utilisation répétée, par les développeurs, de bibliothèques disponibles - sans prendre en compte les alternatives possibles. Un développeur - soucieux de la sécurité - aurait désactivé la requête JNDI si le logiciel n’utilise pas cette fonctionnalité pour réduire la surface d’attaque potentielle.
Je recommande aux organisations de gérer - idéalement - un référentiel de bibliothèques sécurisées dans le cadre d’un processus DevOps, et conformes à la stratégie générale de sécurité informatique de l’entreprise. Grâce à cela, toutes les procédures de développement sont alors standardisées. »