Log4j 高危缝隙再次引发了开源软件安全的评论,许多人认为开源软件主要是保护者在业余时间保护,他们严峻缺少赞助。但开源软件安全基金会总经理指出缺少赞助不是开源软件安全的仅有问题。他概述了下降安全危险的七个关键,包含安全扫描、外部审计、依赖性盯梢、结构测验、整个安排范围内的安全团队,要求项目删去旧的、有缝隙的代码。他指出太多的安排未能使用筹措到的资金或设定规范流程去改进安全实践,不明智的热衷于添加代码行数而不是改进代码质量。他说没有议论资金并不是钱不重要,开源开发者及其支持者应该得到更多报酬和更多的赞许,但假如你说给开源保护者更多钱他们就能写出更安全的代码,这事实上是一种凌辱。公地悲惨剧的产生是因为下流用户觉得上游开发者已在安全方面做到位了,认为报酬由别人付出他们可以搭便车。
