Der Sovereign Tech Fund ist jetzt Teil der Sovereign Tech Agency

Logback

Instandhaltung, Verbesserung und Sicherung einer Logging-Bibliothek in Java

Eckdaten

Status:
Laufend
Investition
180.000,00 €
Investitionsjahr(e)
2023, 2024

Logback ist eines der am weitesten verbreiteten Logging-Frameworks in der Java-Community und wird milliardenfach auf Servern, Computern und Smartphones eingesetzt. Logging ist die Aufzeichnung von Ereignissen in Computersystemen. Es hilft Administrator*innen und Entwickler*innen, Fehler in allen Phasen von der Entwicklung bis zum Betrieb des Codes zu identifizieren und zu verfolgen. Im Sicherheitskontext ist die Protokollierung besonders wichtig für die frühzeitige Erkennung und Verfolgung von Systemausfällen, Cyberangriffen oder anderen Ereignissen, die ein Unternehmen, seine Daten oder seine Kunden gefährden können.

Warum ist das wichtig?

Java ist nach wie vor eine international weit verbreitete Programmiersprache, und die Protokollierung ist in den meisten Programmen eine häufig benötigte Funktion. Systemadministrator*innen und Programmierer*innen auf der ganzen Welt betten Protokollierungsbibliotheken in Datenzentren, Unternehmensserver, Netzwerktechnologien und Systemkomponenten ein, was diese Bibliotheken zu einer wichtigen digitalen Infrastruktur in Unternehmen und Verwaltungen macht. Daher kann eine Sicherheitslücke in einer Protokollierungsbibliothek sehr weitreichende Auswirkungen haben. Dies wurde im Jahr 2021 Realität, als eine kritische Sicherheitslücke in der anderen weit verbreiteten Java-Protokollierungsbibliothek Apache Log4j 2, log4shell genannt, entdeckt wurde.

Logback und Log4j 2 sind beides Java-Protokollierungsbibliotheken, die jedoch aufgrund unterschiedlicher architektonischer Entscheidungen in bestimmten Situationen ihre Vor- und Nachteile haben. Um die Wahrscheinlichkeit zu verringern, dass ein ähnliches Szenario wie bei log4shell in der Zukunft eintritt, ist es wichtig, in die Wartbarkeit von Protokollierungsbibliotheken im Allgemeinen zu investieren, eine einfache Anwendung zu gewährleisten und eine Vielzahl von Implementierungen anzubieten, damit Softwareentwickler*innen die richtige Bibliothek für ihre Situation wählen können und dennoch vor Sicherheitslücken geschützt sind.

Was unterstützen wir?

STF beauftragt den Maintainer von logback, Ceki Gülcü, um die Wartungsarbeiten fortzusetzen, wie z. B. das Beheben von Fehlern und Sicherheitslücken und die Arbeit an weiteren Verbesserungen der Bibliotheken logback, SLF4J und reload4j. Darüber hinaus werden einige Arbeiten durchgeführt, um logback an die neueste Version des Java Development Kit und die GraalVM, eine leistungsstarke Java-Virtual-Maschine, anzupassen.

More technologies

Alle Technologien