Log4j : une entreprise du Fortune 500 exige des réponses rapides et gratuites du créateur de cURL, qui leur a indiqué qu’il le ferait « dès que nous aurons signé un contrat de support »
Log4j : une entreprise du Fortune 500 exige des réponses rapides et gratuites du créateur de cURL, qui leur a indiqué qu’il le ferait « dès que nous aurons signé un contrat de support »
15 comments
Prochaine étape : trainer en justice les dev open source pour les contraindre à patcher les vulnérabilités, ou dédommager les entreprises du fortune 500 à cause du préjudice causé par ces dernières.
Bah c’est rien ça. A une époque je bossais dans une boite qui développait un logiciel de compta/paie, chaque fin d’année au moment de la clôture comptable on recevait des demandes de support de la part d’entreprises qui utilisaient une version *piratée*.
>Salut David
>
>Salut Goliath
J’espère que c’est vrai.
Une petite pensée pour ces experts en sécurité dont la compétence principale est de remplir des feuilles excel pour produire du reporting.
Bah même avec un contrat de support à une couille annuelle, j’ai encore des “nous sommes en train d’évaluer les impacts, nous reviendrons vers vous lorsque nous aurons un état des lieux complets”
[L’article d’origine de Daniel Stenberg](https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquiry-response-required/) pour ceux que ça intéresse.
J’espère qu’il a effectivement envoyé un devis de contrat de support expertise garantissant une réponse en moins de 24h. Il y a de quoi prendre sa retraite.
Et une fois le contrat annuel de support signé, réponde du dev de curl : “ah mais en fait nous on n’utilise pas log4j, voilà, question réglée, bisous”
Bof, en lisant les e-mail c’est un peu osef, une indélicatesse de la part de quelqu’un dans l’entreprise à qui on a probablement demander de contacter tout les fournisseurs logiciels pour s’assurer qu’il n’y a pas de problème de cybersécurité, et qui a fait un publi-postage (ou équivalent), avec possiblement quelqu’un en amont n’ayant pas correctement saisi le logiciel dans leur base de donnée.
Allez vous faire foutre, cordialement.
[removed]
>Non, vous n’avez aucun contrat établi avec moi ou toute autre personne chez Haxx à qui vous avez adressé cet e-mail, demandant beaucoup d’informations. Vous n’êtes pas notre client, nous ne sommes pas votre client. De plus, vous n’avez pas précisé de quel produit il s’agissait.
Ainsi, nous pouvons soit établir une telle relation, soit vous êtes libre de chercher vous-même des réponses à vos questions.
Je ne peux que présumer que vous avez intégré notre adresse e-mail et nos coordonnées dans vos systèmes, car nous produisons de nombreux logiciels open source largement utilisés.
Réponse parfaite dans ce contexte. Si l’entreprise exige des réponses, elle n’a qu’à établir une relation avec la société derrière ce projet open source pour avoir ces réponses. Rien n’est gratuit et encore moins quand cela vient de la part d’une société Fortune 500.
Aja qu’on prononce “see URL” et par “curl” (comme dans _curly_).
*Sign the contract Big boy! Sign the contract!*
Ahah énorme