Unsere Unterstützung von Log4j
Von Powen Shiah
In Technologien
Mit großer Begeisterung teilen wir mit, dass der Sovereign Tech Fund die weitere Entwicklung von Apache Log4j, einem Eckpfeiler der Architektur von Java-basierten Softwareanwendungen, unterstützt.
Die zentrale Rolle von Log4j
Log4j ist eine der am weitesten verbreiteten Logging-Bibliotheken und ein integraler Bestandteil der Funktionalität fast aller Java-basierten Softwareanwendungen. Ihre Bedeutung kann nicht hoch genug eingeschätzt werden, da sie das Rückgrat der Logging-Mechanismen für unzählige digitale Systeme weltweit bildet. Im Dezember 2021 geriet Log4j aufgrund von Sicherheitslücken weltweit in die Schlagzeilen – eine Aufdeckung, die nicht nur potenzielle Risiken aufzeigte, sondern auch als Katalysator für die Gründung des Sovereign Tech Fund diente.
Drei Projekt-Maintainer sind bereit, sich auf die Verbesserung der Sicherheit, Stabilität und des Vertrauens in das Java-Logging zu konzentrieren – zwei von ihnen verlassen dafür ihre Vollzeitstellen – Christian Grobmeier, Piotr Karwasz und Volkan Yazıcı. Alle sind Mitglieder des Apache Logging Services Teams und des Project Management Committee (PMC), der Gruppe, die das Projekt Log4j betreut. Bislang hatten keine Maintainer*innen, darunter prominente Entwickler wie Christian Grobmeier, nennenswerte finanzielle Unterstützung für ihre wichtige Open-Source-Arbeit erhalten.
„Ich habe es erst geglaubt, als das Geld auf mein Konto eingegangen ist. Mit dieser Finanzierung können wir Log4j endlich mehr Aufmerksamkeit schenken und es für alle Menschen, die sich auf uns verlassen, sicher machen.“
Bekämpfung von Investitionsrückstau in der digitalen Infrastruktur
Der Fall Log4j steht beispielhaft für die Vernachlässigung, der wesentliche Komponenten unserer digitalen Infrastruktur häufig ausgesetzt sind. Trotz der weit verbreiteten Aufmerksamkeit und Besorgnis über Sicherheitslücken ist es das erste Mal, dass ein wichtiger Mitwirkender, Christian Grobmeier, finanzielle Unterstützung für sein Engagement für kritische Open-Source-Projekte erhalten hat.
Dies unterstreicht die transformative Wirkung, die das Engagement des Sovereign Tech Fund für die Sicherheit grundlegender Open-Source-Softwarekomponenten und die Wartung unserer gemeinsamen digitalen Infrastruktur hat.
„Einige Maintainer*innen von Log4j erhalten begrenzte Unterstützung von Tidelift oder durch GitHub-Sponsoren für ihre Wartungsarbeiten. Die Beträge bewegen sich meist auf einem Niveau, das mehr eine generelle Wertschätzung ausdrückt. Keine der Log4j-Entwickler*innen werden aber bisher in einem Umfang unterstützt, der es ihnen ermöglicht, entweder Vollzeit an dem Projekt zu arbeiten oder die von STF in Auftrag gegebene Arbeiten durchzuführen.“
Erste Ergebnisse
Da das Log4j-Team bereits seit ein paar Monaten an der Arbeit ist, zeigen die ersten Meilensteine bereits Auswirkungen auf die langfristige Nachhaltigkeit von Log4j.
- Das Team hat begonnen, eine Release-Pipeline zu implementieren: eine Infrastruktur, um Software automatisch, schneller und zuverlässiger zu veröffentlichen.
- Sie haben begonnen, die Code Base und die Abhängigkeiten zu modernisieren, sodass alles gepflegt und auf dem neuesten Stand ist.
- Außerdem haben sie eine „Software Bill of Materials“ (SBOM) und einen „Vulnerability Disclosure Report“ (VDR) eingeführt.
Beides sind neue Standards für einen besseren Überblick der Software-Lieferkette, die Unternehmen und Nutzer*innen helfen zu verstehen, ob sie von veröffentlichten Sicherheitslücken betroffen sind. Bei der Apache Software Foundation gehört das Log4j (Logging)-Team nun zu den ersten, die dies in diesem Ausmaß umsetzen, sodass andere Projekte es leichter adaptieren können.
Der Einsatz des Sovereign Tech Fund
Der Sovereign Tech Fund hat dieses engagierte Team von drei Entwicklern mit einem umfassenden Projekt zur Verbesserung von Log4j beauftragt, das sich von September 2023 bis Ende 2024 erstreckt. Dieses Projekt umfasst 30 Meilensteine, die strukturelle Verbesserungen, Sicherheitsinitiativen, Wartung und Dokumentation beinhalten. Die Meilensteine und Ergebnisse werden von den übrigen Mitgliedern des PMC als Maßnahmen zur Behebung gängiger Probleme anerkannt. Das Team erwartet einen Konsens des PMC für die Bereitstellung dieser Funktionen in Form von Releases.
Das Engagement des Sovereign Tech Fund beläuft sich auf insgesamt 596.160 € für dieses wichtige Projekt und spiegelt unser Engagement für die Verbesserung der Sicherheit, Zuverlässigkeit und langfristigen Nachhaltigkeit von Log4j wider. Der Sovereign Tech Fund wird vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) finanziert.
„Indem wir uns auf strukturelle Verbesserungen, Sicherheit und Dokumentation konzentrieren, stellen wir Log4j auf eine solidere Basis für die Zukunft. Es wird einfacher für neue Mitwirkende, dem Projekt beizutreten, und für die derzeitigen Maintainer*innen, effektiver zu arbeiten.“
Der STF lädt die globale Tech-Community ein, sich anzuschließen, um die Menschen zu unterstützen und anzuerkennen, die unsichtbare Arbeit in Open Source leisten, um die Widerstandsfähigkeit und Robustheit der digitalen Infrastruktur zu gewährleisten, auf die wir uns täglich verlassen. Gemeinsam stärken wir die digitalen Grundlagen, die Innovation und Fortschritt ermöglichen.