Un altro articolo su Log4J? Sì e no.
Se lavorate nel campo dell’informatica o questa è la vostra passione, a meno che non abbiate passato l’ultimo mese ben distanti da un qualsivoglia dispositivo tecnologico, avrete sentito parlare decine e decine di volte delle vulnerabilità che hanno coinvolto la celebre libreria di logging java, sviluppata dalla Apache Logging Services.
Vulnerabilità particolarmente nefasta data la sua applicabilità e diffusione, la prima CVE si è aggiudicata il tanto infausto (quanto informale) titolo di peggior vulnerabilità (CVSS 3.0 pari a 10/10) dell’ultimo decennio: perché?
Sostanzialmente per un paio di motivi: in primis, perché Java è un linguaggio di programmazione particolarmente diffuso e, dunque, presente in moltissimi dispositivi (anche quelli in cui non si penserebbe); in secundis perché la facilità d’exploit è decisamente elevata. Ci si aspetta di rinvenire questa vulnerabilità per molto tempo.
Ma cosa dovrebbe insegnarci questa vulnerabilità (oltre alla sempre attuale necessità d’aggiornare i nostri sistemi)?
- A rispettare il paradigma SOLID e, in particolare, il principio del Singol-Responsability;
- A tenere a mente che il codice sviluppato deve essere mantenuto: non basta scrivere del codice funzionante una volta sola. Questo deve essere mantenibile nel corso del tempo e, sempre in tale ottica, un “pezzo” (una libreria, un modulo, etc.) non devono reggere l’intera o buona parte dell’infrastruttura.