据了解,受影响的Java包数量占Maven中心存储库(最重要的Java包存储库)的8%.。谷歌发布陈述表明,介于log4j缝隙近来对软件职业产生了广泛影响,8%的份额对整个职业生态的影响仍然巨大。
谷歌专家使用了Open Source Insights(一个用于确认开源依靠项的项目)来评价Maven 中心存储库中一切的一切软件版别。有经历的人指出,受影响的直接依靠项软件包大约有7000个,大多数受影响的为直接依靠项。
缝隙在依靠联系链中的方位越深,修正它需求的进程就越多。下图显现了受影响的log4j包(中心或api)初次出现在消费的人依靠联系图中的深度柱状图,关于超越80%的软件包来说,缝隙的深度超越了一级,大多数受影响的程度为五级(有些乃至多达九级),对这些软件包做修正,需从最深的依靠联系开端。
自Log4j缝隙发表以来,一切受其影响的软件包中已有13%被修正,那要在整个软件ECO中修正此缝隙需求多长时刻?专家觉得,虽然最近几天职业内急于修正log4j,但整一个完好的进程在大多数情况下要数年时刻。
谷歌表明,他们鼓舞开源社区继续加强这些软件包的安全性,启用主动依靠更新并增加安全缓解办法。
