Qualche mese fa, la scoperta della vulnerabilità nota come Log4Shell aveva creato un certo scompiglio, dato che utilizzava la libreria Log4j, usata da moltissime applicazioni e servizi online per i sistemi di log allo scopo di massimizzare la sicurezza. Purtroppo, non è l’unico bug di una certa rilevanza individuato recentemente.
Infatti, a Log4Shell si è aggiunta Spring4Shell, altra vulnerabilità molto importante che permette di eseguire codice da remoto (RCE) in Spring, uno dei più popolari framework open source per applicazioni Java. Grazie agli sviluppatori di WhiteSource, come riportato dai colleghi di HelpNetSecurity, sembra che la situazione sia tornata sotto controllo tramite uno strumento, reso disponibile gratuitamente, che individua e risolve il problema.
Rami Sass, CEO di WhiteSource, ha affermato:
Le organizzazioni e i team di sicurezza devono avvicinarsi a Spring4Shell con la stessa attenzione e urgenza che hanno avuto con la recente vulnerabilità Log4j. Questa vulnerabilità evidenzia l'importanza di un approccio proattivo alla sicurezza del software e la necessità di una sicurezza delle applicazioni più automatizzata da inserire nel ciclo di vita dello sviluppo. Assicuratevi di gestire il vostro debito tecnico e aggiornatevi.
Per l’occasione, WhiteSource ha anche offerto alcuni utili consigli alle aziende allo scopo di evitare simili situazioni in futuro. Tra le buone abitudini da seguire troviamo la necessità di aggiornare sempre Spring all’ultima versione, generare una “software bill of materials” (SBOM) per tutte le applicazioni dell’ambiente e altro ancora.
Nel caso foste interessati, WhiteSource Renovate, che aggiorna automaticamente tutte le dipendenze che può contare su oltre cento milioni di download, è scaricabile direttamente da GitHub al seguente indirizzo.