Unsere Unterstützung von Log4j

Log4j ist eine der am weitesten verbreiteten Logging-Bibliotheken und ein integraler Bestandteil der Funktionalität fast aller Java-basierten Softwareanwendungen. Ihre Bedeutung kann nicht hoch genug eingeschätzt werden, da sie das Rückgrat der Logging-Mechanismen für unzählige digitale Systeme weltweit bildet. Im Dezember 2021 geriet Log4j aufgrund von Sicherheitslücken weltweit in die Schlagzeilen – eine Aufdeckung, die nicht nur potenzielle Risiken aufzeigte, sondern auch als Katalysator für die Gründung des Sovereign Tech Fund diente.

Drei Projekt-Maintainer sind bereit, sich auf die Verbesserung der Sicherheit, Stabilität und des Vertrauens in das Java-Logging zu konzentrieren – zwei von ihnen verlassen dafür ihre Vollzeitstellen – Christian Grobmeier, Piotr Karwasz und Volkan Yazıcı. Alle sind Mitglieder des Apache Logging Services Teams und des Project Management Committee (PMC), der Gruppe, die das Projekt Log4j betreut. Bislang hatten keine Maintainer*innen, darunter prominente Entwickler wie Christian Grobmeier, nennenswerte finanzielle Unterstützung für ihre wichtige Open-Source-Arbeit erhalten.

Mehr zu STF und Log4j

Der Fall Log4j steht beispielhaft für die Vernachlässigung, der wesentliche Komponenten unserer digitalen Infrastruktur häufig ausgesetzt sind. Trotz der weit verbreiteten Aufmerksamkeit und Besorgnis über Sicherheitslücken ist es das erste Mal, dass ein wichtiger Mitwirkender, Christian Grobmeier, finanzielle Unterstützung für sein Engagement für kritische Open-Source-Projekte erhalten hat.

Dies unterstreicht die transformative Wirkung, die das Engagement des Sovereign Tech Fund für die Sicherheit grundlegender Open-Source-Softwarekomponenten und die Wartung unserer gemeinsamen digitalen Infrastruktur hat.

Da das Log4j-Team bereits seit ein paar Monaten an der Arbeit ist, zeigen die ersten Meilensteine bereits Auswirkungen auf die langfristige Nachhaltigkeit von Log4j.

1. Das Team hat begonnen, eine Release-Pipeline zu implementieren: eine Infrastruktur, um Software automatisch, schneller und zuverlässiger zu veröffentlichen.
2. Sie haben begonnen, die Code Base und die Abhängigkeiten zu modernisieren, sodass alles gepflegt und auf dem neuesten Stand ist.
3. Außerdem haben sie eine „Software Bill of Materials“ (SBOM) und einen „Vulnerability Disclosure Report“ (VDR) eingeführt.

Beides sind neue Standards für einen besseren Überblick der Software-Lieferkette, die Unternehmen und Nutzer*innen helfen zu verstehen, ob sie von veröffentlichten Sicherheitslücken betroffen sind. Bei der Apache Software Foundation gehört das Log4j (Logging)-Team nun zu den ersten, die dies in diesem Ausmaß umsetzen, sodass andere Projekte es leichter adaptieren können.

Der Sovereign Tech Fund hat dieses engagierte Team von drei Entwicklern mit einem umfassenden Projekt zur Verbesserung von Log4j beauftragt, das sich von September 2023 bis Ende 2024 erstreckt. Dieses Projekt umfasst 30 Meilensteine, die strukturelle Verbesserungen, Sicherheitsinitiativen, Wartung und Dokumentation beinhalten. Die Meilensteine und Ergebnisse werden von den übrigen Mitgliedern des PMC als Maßnahmen zur Behebung gängiger Probleme anerkannt. Das Team erwartet einen Konsens des PMC für die Bereitstellung dieser Funktionen in Form von Releases.

Das Engagement des Sovereign Tech Fund beläuft sich auf insgesamt 596.160 € für dieses wichtige Projekt und spiegelt unser Engagement für die Verbesserung der Sicherheit, Zuverlässigkeit und langfristigen Nachhaltigkeit von Log4j wider. Der Sovereign Tech Fund wird vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) finanziert.