Jean-Baptiste Onofré

Jean-Baptiste Onofré

Je suis membre de l'Apache Software Foundation et je participe à une vingtaine de projets Apache: Apache Karaf, Beam, Camel, ActiveMQ, etc. Je suis notamment VP/PMC Chair pour Apache Karaf.

Twitter : @jbonofre

Blog: http://blog.nanthrax.net

archisec

Track : Architecture, Performance et Securité

Type de présentation : Conference

Log4shell, c'est la faute à la fondation Apache ?

Emmanuel LÉCHARNY Emmanuel LÉCHARNY
Hervé BOUTEMY Hervé BOUTEMY

Le coeur du problème :

  • Un historique de Log4J et Log4Shell
  • Les causes du problème
  • La (les) solution(s) retenues
  • Les impacts sur les projets internes et externes
  • Le post-mortem

Et pour élargir:

  • La gestion des CVEs chez Apache
  • La raison pour laquelle ça a pu arriver (code review et les manques, nombre de committers, etc)
  • Comment essayer d'éviter le problème à l'avenir
  • Les solutions: plus d'argent ? Une meilleur organisation ? Des audits obligatoires ?
  • La réaction des sociétés impactées, et des gouvernements