Log4Shell war keine Supply Chain Attack und kein Angriff auf Open Source Repositories. Zitat aus dem verlinkten Artikel: "Die Schwachstelle gibt es seit September 2013".
Ich bin auf den Report von Sonatype gespannt. Die arbeiten sorgfältiger als die meisten c't-Redakteure. Man darf aber auch nicht außer acht lassen, dass bei Sonatype geschäftliche Interessen im Spiel sind.