Log4j事件突显开源窘境：财富500强企业想“白嫖”技术支持( 二 )

他继续说：
这一封邮件中所表现出的无知和无能程度令人震惊。
虽然他们甚至没有具体说他们使用的是什么产品，但我所参与的或有版权的代码都没有使用log4j ，任何初学者或更好的工程师都可以轻易地验证这一点。
在电子邮件的图片版本中，我修改了姓名栏，以更好地匿名发件人，在下面的文本中，我用NNNN替换了它们。 (是的，他们现在在log4j上发送请求，显然是非常晚了，这是非常奇怪的) 。

文章图片
在电子邮件中，该公司要求DanielStenberg回答如下问题
1.如果你的任何应用程序使用Java日志库，那么运行的Log4j是什么版本？
2.你的公司是否发生过任何经证实的安全事件？
3.如果是这样，哪些应用程序、产品、服务和相关版本受到影响？
4.是否有任何NNNN产品和服务受到影响？
5.NNNN的非公开信息或个人信息是否受到了影响？
6.如果是，请立即提供受影响的NNNN信息的细节。
7.完成更正的时间框架是什么（MM/DD/YYY）？列出步骤NNNN ，包括每个步骤的日期。
8.NNNN需要采取什么行动来完成这一更正？
从这件事情可以看出，目前确实存在大型企业根本不关心底层项目，甚至不了解底层项目如何运转的情况，这些企业在自己不怎么在意的底层项目基础上构建自己的商业项目，并以此赚取了非常可观的利润。
不光如此， Log4j安全漏洞事件已发酵近两个月时间，邮件中列出的不少问题都是公开可查询到的信息，企业安全部门只需随手在搜索引擎里一搜就能获得答案。