Open Source: "Antworten Sie innerhalb von 24 Stunden"

Die E-Mail eines großen Konzerns an den Entwickler von Curl zeigt wohl eher aus Versehen, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

Artikel veröffentlicht am ,
Mit Curl hat Daniel Stenberg eine der am häufigsten verwendeten Open-Source-Bibliotheken entwickelt.
Mit Curl hat Daniel Stenberg eine der am häufigsten verwendeten Open-Source-Bibliotheken entwickelt. (Bild: Daniel Stenberg/Wikimedia Commons/CC-BY-SA 4.0)

Der Entwickler der Download-Bibliothek Curl, Daniel Stenberg, hat eine Mail eines großen Unternehmens zur Log4j-Sicherheitslücke erhalten. Darin wird er aufgefordert, zahlreiche Fragen zur Betroffenheit und zum Umgang mit der Lücke zu beantworten.

Stellenmarkt
  1. Mitarbeiter im Bereich Customer Care / Kundensupport (m/w/d)
    tangro software components GmbH, Heidelberg
  2. Außendienst-Techniker*in / Regionale*r Betreuer*in
    VITRONIC Dr.-Ing. Stein Bildverarbeitungssysteme GmbH, Baden-Württemberg
Detailsuche

Der Absender ist laut Stenberg eine Fortune-500-Firma, gehört also zu den besonders umsatzstarken Firmen in den USA. Die Absender waren sich dabei offenbar nicht im Klaren, dass sie es mit einem Entwickler von Open-Source-Software zu tun haben - die außerdem relativ offensichtlich nichts mit Log4j zu tun hat.

In der Mail wird Stenberg gefragt, ob seine Applikation Java-Logging verwendet und welche Version von Log4j darin verwendet wird. Weiterhin wird er gefragt, ob es Sicherheitsvorfälle in seinem Unternehmen gab und welche Produkte und Software davon betroffen waren.

Open-Source-Entwickler soll innerhalb von 24 Stunden antworten

Eilig sei es zudem: "Wir erwarten, dass Sie diese E-Mail innerhalb von 24 Stunden bearbeiten und beantworten."

Golem Akademie
  1. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    18.-20.07.2022, Virtuell
  2. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    19./20.05.2022, virtuell
Weitere IT-Trainings

Die Curl-Bibliothek wird in einer Vielzahl von Produkten eingesetzt und ist vermutlich eines der am häufigsten verwendeten Open-Source-Projekte. Allerdings ist sie in C geschrieben und hat daher mit der Java-Bibliothek Log4j nichts zu tun. Stenberg schreibt auch, dass keine Software, an der er mitentwickelt, Log4j verwendet und dass man das auch schnell hätte selbst herausfinden können.

Linux: Das umfassende Handbuch von Michael Kofler. Für alle aktuellen Distributionen (Desktop und Server) (Deutsch)

So kurios die E-Mail ist, sie zeigt offenbar eines: Der Absender verstand offenbar nicht, dass er hier mit dem Entwickler eines Open-Source-Projekts kommuniziert. Nachdem Stenberg ihm antwortete, dass er die Fragen gerne beantwortet, sobald die Firma mit ihm einen Supportvertrag abschließt, erhielt er die überraschte Frage zurück: "Wollen Sie damit sagen, dass wir kein Kunde Ihrer Organisation sind?"

Es handelte sich vermutlich um eine Massenmail, die hier ein Großkonzern an die Entwickler sämtlicher Software geschickt hat, die dort zum Einsatz kommt. Auf kuriose Weise zeigt sie aber, wie problematisch das Verhältnis vieler Firmen zu Open-Source-Software ist.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


BLi8819 29. Jan 2022

Interessant, dass du die Möglichkeit ein alternatives Framework zu nutzen, gar nicht in...

43rtgfj5 27. Jan 2022

Dann hast du aber kein Vertragsverhältnis und die Lizenz nicht gelesen, wenn du dem...

43rtgfj5 27. Jan 2022

Wir haben einige Verträge mit Reaktionszeiten - ganz einfaches Beispiel ist da IBM. Wenn...

berritorre 26. Jan 2022

Wer hat Wochen eine Vertragsstrafe gezahlt? Du oder der Kunde. Und warum?



Aktuell auf der Startseite von Golem.de
Geleaktes One Outlook ausprobiert
Wie Outlook Web, nur besser

Endlich wird das schreckliche Mail-Programm in Windows 10 und 11 ersetzt. One Outlook ist zudem mehr, als nur Outlook im Browser.
Ein Hands-on von Oliver Nickel

Geleaktes One Outlook ausprobiert: Wie Outlook Web, nur besser
Artikel
  1. Recht auf Verschlüsselung: Wissing beunruhigt über Pläne zur Chatkontrolle
    Recht auf Verschlüsselung
    Wissing beunruhigt über Pläne zur Chatkontrolle

    In einem ausführlichen Statement hat sich Digitalminister Wissing zu Wort gemeldet. Die Pläne zur Chatkontrolle gehen ihm zu weit.

  2. Was man aus realen Cyberattacken lernen kann
     
    Was man aus realen Cyberattacken lernen kann

    "Hätte ich das mal vorher gewusst!" Die Threat Hunter von Sophos haben ihre Erfahrungen im täglichen Kampf gegen Cyberkriminelle in einem Kompendium zusammengefasst. Jedes Kapitel enthält praxisorientierte IT-Sicherheitsempfehlungen für Unternehmen.
    Sponsored Post von Sophos

  3. Vizio: GPL-Durchsetzung darf als Verbraucherklage verhandelt werden
    Vizio
    GPL-Durchsetzung darf als Verbraucherklage verhandelt werden

    Erstmals erkennt ein US-Gericht an, dass aus der GPL auch Verbraucherrechte folgen könnten. Die Kläger bezeichnen das als "Wendepunkt".

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /