Logback

Java ist nach wie vor eine international weit verbreitete Programmiersprache, und die Protokollierung ist in den meisten Programmen eine häufig benötigte Funktion. Systemadministrator:innen und Programmierer:innen auf der ganzen Welt betten Protokollierungsbibliotheken in Datenzentren, Unternehmensserver, Netzwerktechnologien und Systemkomponenten ein, was diese Bibliotheken zu einer wichtigen digitalen Infrastruktur in Unternehmen und Verwaltungen macht. Daher kann eine Sicherheitslücke in einer Protokollierungsbibliothek sehr weitreichende Auswirkungen haben. Dies wurde im Jahr 2021 Realität, als eine kritische Sicherheitslücke in der anderen weit verbreiteten Java-Protokollierungsbibliothek Apache Log4j 2, log4shell genannt, entdeckt wurde.

Logback und Log4j 2 sind beides Java-Protokollierungsbibliotheken, die jedoch aufgrund unterschiedlicher architektonischer Entscheidungen in bestimmten Situationen ihre Vor- und Nachteile haben. Um die Wahrscheinlichkeit zu verringern, dass ein ähnliches Szenario wie bei log4shell in der Zukunft eintritt, ist es wichtig, in die Wartbarkeit von Protokollierungsbibliotheken im Allgemeinen zu investieren, eine einfache Anwendung zu gewährleisten und eine Vielzahl von Implementierungen anzubieten, damit Softwareentwickler:innen die richtige Bibliothek für ihre Situation wählen können und dennoch vor Sicherheitslücken geschützt sind.

STF beauftragt den Maintainer von logback, Ceki Gülcü, um die Wartungsarbeiten fortzusetzen, wie z. B. das Beheben von Fehlern und Sicherheitslücken und die Arbeit an weiteren Verbesserungen der Bibliotheken logback, SLF4J und reload4j. Darüber hinaus werden einige Arbeiten durchgeführt, um logback an die neueste Version des Java Development Kit und die GraalVM, eine leistungsstarke Java-Virtual-Maschine, anzupassen.