臺灣下載到舊版Log4j的比例持續高達8成，遠高於全球多國

去年底揭露Log4j漏洞，由於於該漏洞幾乎無處不在、影響廣泛而備受關注，但有一情況值得關注，那就是Log4j的下載狀況，根據資安業者Sonatype公布的下載追蹤資料，當中顯示最近4個月來，臺灣下載舊版Log4j的比例持續高達8成，遠高於澳洲、中國、印度、美國、日本與俄羅斯。

Log4Shell漏洞在去年底揭露及修補後，當時，我們就看到Sonatype提供的Log4j下載狀態儀表板上，指出臺灣是全球下載有漏洞Log4j版本比例最高的地區，一度高達85.06％。隨著該漏洞揭露及修補已經過了4個月，我們再來檢視相關變化，但狀況仍然沒有顯著改善。

（圖片擷取時間：2022年5月8日）

根據Sonatype公司公布的Log4j下載追蹤資料，自去年12月10日以來，Log4j已被下載了超過5,000萬次，其次有38%下載到了有漏洞的舊版本。以5月7日來看，過去24小時內從Maven Central套件庫下載Log4j版本將近15萬次，其中有37%仍然存在Log4Shell漏洞。

值得關注的是，在Sonatype提供的Log4j下載狀態儀表板，當中特別提供下載國別的分析，但臺灣下載舊版Log4j的比例，從2021年底至今以來，竟然仍都持續超過80%，而其他國家的舊版下載率，例如澳洲、中國、印度、美國、日本、與俄羅斯等，大約在30%到50%左右，顯然臺灣下載到舊版Log4j的比例，遠遠高出這些國家。在此當中，以澳洲改善最為顯著，由去年底的40%減少到20%。