The Untold Story of Log4j and Log4Shell | Christian Grobmeier | GitHub (Рубрика #Security)

С большим интересом посмотрел историю про один из самых крупных факапов в истории безопасности, которую рассказывал непосредственный участник событий - Кристиан Гробмайер, мейнтейнер Apache Log4j, участник Apache Software Foundation. Человек, который в декабре 2021 внезапно оказался ответственным за "половину интернета".

Интересно, что я помню масштаб той истории и ее стремительное развитие - это было эпично. Но что же произошло?
В 2021 в библиотеке Log4j нашли уязвимость максимального уровня 10 из 10 Log4Shell (CVE-2021-44228) - возможность удалённого выполнения кода через обычную строку логирования (${jndi:…}). Эксплуатация была элементарной, а Log4j был буквально везде: enterprise-системы, облака, гос-сервисы, игры. Например, в процессе работы над инцидентом Кристиана позвал его сын и показал, что даже его Minecraft сервер пал жертвой этой уязвимости ...
А дальше был кризис
- Несколько волонтёров, что поддерживали библиотеку на энтузиазме
- Ноль сна и куча давления в стиле "чините быстрее"
- Давление со стороны компаний и СМИ,
- При этом мало поддержки и ноль вопросов о том, а как ребята себя чувствуют и нужна ли помощь

В общем, этот инцидент показал не баг в одной библиотеке, а системную проблему всей open-source-экосистемы. Если говорить про инсайты в общем, то они примерно такие и актуальны до сих пор

1️⃣ Open source ≠ безопасно по умолчанию
Открытый код не означает автоматически защищённый код. Безопасность - это люди, процессы и поддержка, а не лицензия.
2️⃣ Масштаб библиотеки = масштаб риска
Маленькая зависимость → тысячи продуктов → глобальный инцидент. Большинство компаний даже не знали, что у них есть Log4j, пока не стало поздно. Отсюда резкий интерес к SBOM (Software Bill of Materials) и прозрачности цепочки поставок.
3️⃣ Самая опасная уязвимость - незнание
Мейнтейнеры часто не security-эксперты. Без обучения secure coding разработчики часто становятся точками отказа
4️⃣ Один-два мейнтейнера - это single point of failure (если докапываться, то два - это уже не single)
Критичные библиотеки не могут держаться на энтузиазме пары людей. Деньги важны, но ещё важнее - участие компаний-потребителей.
5️⃣ Культура важнее технологий
Агрессия, давление и обвинения делают экосистему слабее. Поддержка и сотрудничество - наоборот.

🌝 Что это значит для инженеров
- Минимизируйте зависимости. Каждая библиотека - потенциальная атака.
- Автоматизируйте обновления и CVE-алерты (Dependabot, SCA).
- Не доверяйте входным данным никогда, даже "внутренним".
- Отключайте опасные фичи по умолчанию (типа jdni)
- Используйте defense-in-depth.
- Генерируйте SBOM - знайте, из чего вы собрали продукт.
- Нашли проблему в OSS - помогите, а не просто «репортните и забудьте».

🔥 Что это значит для тимлидов и CTO
- Безопасность зависимостей = бизнес-риск, а не "техническая деталь"
- У вас должен быть ответственный за OSS-цепочку и реакцию на CVE
- SBOM - must-have, а не nice-to-have
- Закладывайте время инженеров на вклад в критичные open-source-проекты.
- Инвестируйте в обучение secure development
- Планируйте регулярные апдейты зависимостей как часть roadmap
- Готовьтесь к 0-day заранее, а не в Slack-панике

Итого, Log4Shell показал простую вещь - наш софт настолько безопасен, насколько безопасны его самые маленькие зависимости. А для того, чтобы они были лучше стоит не только использовать эти библиотеки, но и поддерживать их самим.

#Security #Engineering #Software #Management #OpenSource

TypeScript Origins: The Documentary (Рубрика #Software)

На днях я посмотрел документальный фильм TypeScript Origins от OfferZen. В нём выступают создатель TypeScript Андерс Хейлсберг и другие ключевые участники сообщества: от инженеров Microsoft до разработчиков JetBrains, Bloomberg, Deno и др. Фильм рассказывает, как и зачем в Microsoft создали TypeScript и как язык и его экосистема развивались с момента первого релиза. Ниже я расскажу про свои основные инсайты из этого фильма, а также поделюсь мыслями о том, что это значит для нас как инженеров и технических лидеров.

1️⃣ TypeScript родился из необходимости на больших проектах
В начале 2010-х команда во главе с Андерсом Хейлсбергом увидела, что JavaScript плохо масштабируется в больших кодовых базах - не хватает типизации и инструментов для поддержки крупных приложений. В Microsoft запустили внутренний проект (кодовое имя Strata), чтобы "навести порядок" в мире JS, не ломая его основы. Один из героев фильма метко заметил: "Вопрос не в том, сломан ли JavaScript, а в том, достаточно ли он сломан". TypeScript стал ответом - надстройкой над JS, которая решает реальные боли разработчиков.

2️⃣ Ставка на совместимость и постепенное внедрение
Создатели TypeScript с самого начала решили: любой код на JavaScript должен оставаться валидным кодом на TypeScript. Статическая типизация - опциональна. Такой подход позволил командам внедрять язык постепенно, без переписывания всего с нуля. Фильм подчёркивает, с каким пониманием авторы отнеслись к сообществу JavaScript - они максимально сохранили его привычки и свободу. Благодаря этому TypeScript легко "встраивался" в существующие проекты.

3️⃣ Открытость и сообщество сыграли решающую роль
TypeScript был открыт миру (open source) с первого релиза в 2012 году, и это во многом предопределило его успех. В фильме показано, как вокруг языка сформировалось активное сообщество и экосистема: поддержку выразили разработчики инструментов (JetBrains, VS Code), крупные пользователи (например, инженеры Bloomberg) и даже создатели новых платформ вроде Deno. Изначально скепсиса хватало - даже Дэниел Розенвассер (менеджер команды TypeScript) признаётся, что поначалу боялся, "как бы Microsoft всё не загубила". Однако открытая разработка и вовлечение сообщества помогли этого избежать: внешние контрибьюторы улучшали язык, а компании охотно внедряли его у себя.

4️⃣ Внутренние препятствия и поддержка руководства
Документальный фильм приоткрывает и закулисье создания языка внутри Microsoft. Продвижение новой технологии в корпорации оказалось непростым делом: команде TypeScript пришлось доказывать ценность своего подхода и конкурировать за ресурсы. Лишь благодаря поддержке дальновидных лидеров и энтузиазму самих разработчиков проект выжил и вырос. Для успеха понадобилось сочетание технического визионерства и умения "продать" идею внутри компании.

🧐 Что это означает для разработчиков и технических руководителей?
- Решайте реальные проблемы. История TypeScript подчёркивает: инструмент выстреливает, когда снимает настоящую боль.
- Внедряйте эволюционно, а не революционно. Нововведения лучше приживаются, если не требуют ломать всё сразу.
- Сила open source и сообщества. Открытость к сообществу ускоряет развитие технологии. Если вы разрабатываете библиотеку или внутренний инструмент, подумайте об открытом коде и обратной связи от внешних разработчиков.
- Поддерживайте культуру новаторства. Для технических руководителей урок в том, чтобы прислушиваться к инициативам снизу. TypeScript вырос из маленькой команды энтузиастов - дайте своим инженерам пространство экспериментировать и предлагать улучшения.

P.S.
Если интересно больше деталей и живых историй, то я рекомендую посмотреть TypeScript Origins целиком - там много интересных моментов и тонких моментов, которые не поместились в это саммари.

#AI #Engineering #Software #Management #Leadership #Startup #LLM #ML #Architecture #RnD