Scribble at 2021-12-22 11:54:15 Last modified: unmodified

Log4j の脆弱性に関連して、たまに出てくるのが「Java は悪くない」というメッセージだ。もちろん Java という処理系の問題ではなく、Log4j の 2.x 系統という単独のライブラリに見つかった問題ではあるに違いないが、しかし Java に関連して多くの脆弱性が長年にわたって指摘されたり見つかってきたという〈実績〉があり、それは他の C や C++ あるいは PHP とか Ruby のようなスクリプト言語と比較してすら、多すぎるという印象は拭えない。しかも、これらの lightweight な言語に比べて、処理系のアップデートに大きな負荷と手間がかかる依存関係が複雑であるため、単にライブラリを上書きするような仕方でアップデートすればいいというわけにもいかないのが、更に脆弱性への対応を困難にしてきたという経緯もある。

Java の処理系としての堅牢さや、それなりの処理性能に定評があることは知っているし、脆弱性の話だけでどういう言うつもりはないが、かといって「処理系とライブラリの話は別であり、ライブラリで起きた問題は設計思想という点で敷衍すれば他の処理系やライブラリでもありえる」といった抽象的な話に焦点をぼかした（あるいは本質的な点に近視眼的に着目しすぎた）ところで、現在の状況を好転させることは難しい。