A GitHub kedden bejelentette, hogy már korább óta üzemelő Dependabot eszközét egy olyan új képességgel bővítette, aminek köszönhetően az alkalmassá vált a napokban ismertté vált, veszélyes Log4j sebezhetőség felderítésére is felhasználói kódbázisában. Az eszköz így képes megállapítani, ha valamelyik könyvtár vagy szoftver a szóban forgó keretrendszer egy veszélyes, sérülékeny változatát használja, és erről riasztást küldeni, mi több: a javításra alkalmas pull request-et is automatikusan generálni a szóban forgó kódtárhoz.

Az újítás ugyanakkor egyelőre csak azon projektek esetében működik, amik a Maven-t használják a függőségek kezelésére - a Gradle és más hasonló célú szoftverek esetében nem. Ezzel kapcsolatban a GitHub azt ígéri, hogy folyamatosan dolgozik annak megoldásán, hogy a szóban forgó további formátumok értelmezésére is képes legyen, így az azokat használó kódbázisok vizsgálatát is el tudja végezni majd a veszélyes sebezhetőség után kutatva.

Ugyanakkor az oldal készített egy, általa kísérletinek nevezett CodeQL lekérdezést is, aminek segítségével a függőségektől függetlenül is fel lehet deríteni a potenciálisan veszélyes kódsorokat a kódbázisokban, és kvázi kézzel is javítani azokat az olyan helyzetekben, amikor a keretrendszer frissítése a legújabb, immár javított kiadásra valamiért nem lehetséges. Ezen kívül megjegyzik, hogy a parancssorból a "-Dlog4j2.formatMsgNoLookups=true" indítóparaméter használatával forráskód hiányában is lehet korlátozni a sebezhetőség kihasználásának lehetőségeit.

A Microsoft szerint eddig már több, mint 175.000 riasztást és pull request-et küldtek ki a Log4j sebezhetőséggel, illetve annak lezárásával kapcsolatban - de azt, hogy ebből hányban zárták le ténylegesen is a biztonsági rést ennek hatására, egyelőre nem lehet tudni.