Comment les développeurs réagissent aux vulnérabilités
Une analyse des réponses des développeurs à la vulnérabilité Log4j et de leurs pratiques.
― 6 min lire
Table des matières
Dans le monde des logiciels d'aujourd'hui, plein de Développeurs utilisent des bibliothèques tierces pour construire leurs applis. Cependant, quand ces bibliothèques ont des problèmes ou des failles, ça peut être galère pour les devs de les régler. Parfois, ça prend trop de temps pour faire les mises à jour parce qu'ils ont d'autres tâches à gérer. La plupart des gens pensent que quand un gros problème est détecté, les développeurs devraient tout laisser de côté et se concentrer sur la réparation tout de suite. Cet article examine comment les développeurs réagissent face à une vulnérabilité sérieuse, en particulier un problème bien connu dans une bibliothèque de log Java appelée Log4j.
La vulnérabilité Log4j
En décembre 2021, une vulnérabilité sérieuse nommée CVE-2021-44228 a été révélée. Ce défaut affectait la bibliothèque Apache Log4j, qui est un outil super utilisé dans plein d'applis Java. Le problème permet aux attaquants d'exécuter du code malveillant sur des machines utilisant la bibliothèque sans avoir besoin d'accès spécial. Ça pourrait mener à des gros soucis, comme des hackers qui prennent le contrôle de serveurs.
Quand l'info sur cette vulnérabilité a circulé sur les réseaux sociaux et divers plateformes, beaucoup de gens ont pris conscience des risques. La manière dont ce problème a été médiatisé a rendu les développeurs et leurs équipes plus vigilants face à la menace, qu'ils ne ressentaient peut-être pas avant.
Réaction des développeurs face aux Vulnérabilités
Notre étude a examiné la rapidité avec laquelle les développeurs ont réagi à la vulnérabilité Log4j. On a analysé des données de plusieurs sources, en examinant 219 mises à jour soumises sur GitHub et 354 problèmes trouvés dans 53 projets utilisant Log4j. On voulait déterminer combien de temps il a fallu aux développeurs pour réagir une fois la vulnérabilité rendue publique et si leur rythme de travail a changé.
Étonnamment, au lieu de tout laisser tomber pour corriger la vulnérabilité, on a constaté que les développeurs travaillaient souvent encore plus dur sur d'autres tâches. Ils ne se concentraient pas seulement sur le problème Log4j ; leurs activités ont augmenté dans tous les domaines. Beaucoup de discussions avaient lieu, où les devs échangeaient des infos sur la vulnérabilité et cherchaient des détails les uns auprès des autres.
Réponses rapides
Quand l'info sur Log4j a été révélée le 10 décembre 2021, il a fallu en moyenne environ cinq jours aux développeurs pour commencer à traiter le problème. Après avoir démarré, ça leur prenait en général juste un jour de plus pour finaliser le correctif. En gros, ça voulait dire que les développeurs pouvaient répondre à la vulnérabilité en environ cinq à six jours.
Fait intéressant, notre recherche a montré qu'après la révélation de la vulnérabilité, les développeurs finissaient leurs autres tâches en cours plus rapidement aussi. Ils semblaient plus concentrés pour terminer ce qu'ils avaient déjà sur le feu tout en bossant sur le nouveau problème.
Discussions entre développeurs
Pour comprendre de quoi les développeurs parlaient en travaillant sur la vulnérabilité Log4j, on a examiné de plus près les commentaires et discussions autour des Pull Requests liées au problème. On a constaté que beaucoup de commentaires avaient pour but de fournir des infos ou de demander de l'aide. Beaucoup de développeurs voulaient faire savoir à leur équipe la gravité du problème ou cherchaient du soutien et des conseils auprès des autres.
On a noté que les commentaires concernant la découverte de bugs ou de problèmes inattendus étaient moins fréquents. Ça indique que les développeurs étaient surtout préoccupés par le partage de connaissances et la recherche d'aide plutôt que par le signalement de nouveaux problèmes. En gros, environ 61% des discussions portaient sur le partage ou la recherche d'infos concernant la vulnérabilité.
Stratégies d'Atténuation
Pour gérer la vulnérabilité Log4j, plusieurs stratégies ont été proposées. L'approche la plus efficace était de mettre à jour la bibliothèque Log4j vers la dernière version, qui était la 2.17.0. D'autres méthodes incluaient la désactivation de certaines fonctionnalités exploitables, la suppression complète du code problématique, ou la mise en place de règles strictes sur la communication réseau pour limiter l'accès.
Bien que toutes ces méthodes aient été utiles, mettre à jour la bibliothèque était considéré comme le meilleur et le moyen le plus simple d'assurer la sécurité.
Importance de l'information
Un point majeur de notre recherche est que les développeurs ont besoin d'un accès facile à des Informations sur les vulnérabilités. Bien qu'il existe de nombreuses ressources en ligne, comme des bases de données de vulnérabilités et des blogs, ce n'est pas toujours suffisant. Les développeurs devraient avoir des outils qui les aident à comprendre les problèmes passés et à rassembler des insights qui pourraient les aider à corriger de nouvelles vulnérabilités de manière plus efficace.
Étant donné la sensibilisation croissante aux problèmes de sécurité, les développeurs ne devraient pas se concentrer uniquement sur des vulnérabilités individuelles, mais aussi considérer comment leurs réponses affectent d'autres tâches liées. Il est important qu'ils aient une vue d'ensemble en gérant des projets.
Conclusion
Face à une vulnérabilité sérieuse, les développeurs montrent une réponse mixte. Plutôt que d'arrêter tout le travail, ils accélèrent souvent leurs activités pour résoudre d'autres problèmes en attente. Cela révèle un modèle de comportement unique qui souligne l'importance de ne pas seulement résoudre le problème immédiat, mais aussi de s'occuper des tâches en cours.
De plus, favoriser une meilleure communication et un accès à l'information pour les développeurs peut améliorer leur capacité à gérer efficacement les vulnérabilités. Les développeurs devraient être encouragés à partager leurs insights et à s'entraider pour construire un environnement logiciel plus sûr.
Avec les bons outils et un cadre de soutien, les développeurs peuvent équilibrer leur charge de travail tout en restant vigilants face aux menaces. La leçon est claire : comprendre les besoins et les réponses des développeurs face aux vulnérabilités est essentiel pour créer un paysage logiciel plus sécurisé.
Titre: Drop it All or Pick it Up? How Developers Responded to the Log4JShell Vulnerability
Résumé: Although using third-party libraries has become prevalent in contemporary software development, developers often struggle to update their dependencies. Prior works acknowledge that due to the migration effort, priority and other issues cause lags in the migration process. The common assumption is that developers should drop all other activities and prioritize fixing the vulnerability. Our objective is to understand developer behavior when facing high-risk vulnerabilities in their code. We explore the prolific, and possibly one of the cases of the Log4JShell, a vulnerability that has the highest severity rating ever, which received widespread media attention. Using a mixed-method approach, we analyze 219 GitHub Pull Requests (PR) and 354 issues belonging to 53 Maven projects affected by the Log4JShell vulnerability. Our study confirms that developers show a quick response taking from 5 to 6 days. However, instead of dropping everything, surprisingly developer activities tend to increase for all pending issues and PRs. Developer discussions involved either giving information (29.3\%) and seeking information (20.6\%), which is missing in existing support tools. Leveraging this possibly-one of a kind event, insights opens up a new line of research, causing us to rethink best practices and what developers need in order to efficiently fix vulnerabilities.
Auteurs: Vittunyuta Maeprasart, Ali Ouni, Raula Gaikovina Kula
Dernière mise à jour: 2024-07-05 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2407.04263
Source PDF: https://arxiv.org/pdf/2407.04263
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.
Liens de référence
- https://github.com/dependabot
- https://greenkeeper.io/
- https://github.com/renovatebot/renovate
- https://logging.apache.org/log4j/2.x/
- https://www.oracle.com/java/technologies/naming-and-directory-interface.html
- https://libraries.io/
- https://docs.github.com/en/graphql
- https://doi.org/10.5281/zenodo.6030472
- https://github.com/neilernst/cliffsDelta