俺はJavaプログラマーが本職ではないのであくまでも私見です。

といいつつ年末にちょっとJavaと戯れなきゃならんしな。もちろんお仕事で。

休みの日にプログラム作るとかやりたくない。

経験は薄いですが、今までいくつかの現場(客先のこと)でJavaのアプリケーション保守をしたことがあります。

全然違う会社、違う業種、違う業務のシステムです。

そのすべての現場でLog4jを使ってました。

ただね、それって意識してアプリを追わないとわかんないですよ。保守しててLog4j意識することって基本ないし。そういう空気のような存在です。

ログっていうのはなにかあったときに記録を残す機能で、ビジネスとして作られたものなら大概どんなアプリケーションでも何らかの実装をしています。

たぶんスマホのゲームとかだって実装されてると思いますよ。

課金履歴とかさぁ。当たり前だけど。実装されないのは純粋に趣味で作られたアプリケーションくらいでしょうね。

子の脆弱性で話題になっているのはWebなんですけど、企業の中で多く使われているバッチにも当然ログ取得機能は実装されていますというか実装されてなかったら絶望するｗ

ログを取る仕組みはたぶんいくつかあるんだろうけど、Log4jが事実上の標準になってるんじゃないかなぁ。

今回の脆弱性のチェック範囲はJavaで組まれたアプリケーションすべてってことになります。

Javaでバッチなんてあるのかとおっしゃる方もいらっしゃるでしょうが、俺が年末戯れる予定なのはまさにそのJavaのバッチです。Log4j脆弱性がらみで何か対応があってもその時ついでにテストできるなぁラッキーとか思ってますｗ

Log4jだけを置き換えればいいっていうのはあるけれど、それで本当に今まで通り動作するのかっていうのはクリティカルな業務で使っているアプリケーションではテストしたりするのかもしれないんですよねぇ。やってるところあると思います。

自分たちが作ったモジュールだから責任はない！ときっぱり言い切ったところで、自分たちの業務に影響が出て自分たちがつらい思いをするわけなんでねｗ

この手のニュースで常套句として「早急に対応することが求められている」とかありますが、問題起こすと手のひら返しで「拙速な作業がトラブルを招いた」とか言われちゃいますからねぇ。

多くのIT技術者にとってものすごく巨大なお歳暮、あるいはクリスマスプレゼントになっちゃいました。

対応、年越すところも多いんだろうな……

それ以上に、気が付かなかったり、気が付いてないふりをするところも多いような……

俺だってテレビのニュースで流れたのを見てブチって消しそうになったもんｗ

怖い怖い。