白宫召集科技高管 与联邦机构代表共商后Log4j时代的安全防护
资料图(via White House)
上月曝光的 Log4j 漏洞,揭开了热门开源 Java 日志库 Apache Log4j 中的一项巨大安全隐患。若未得到及时修复,网络攻击者可借此在互联网上兴风作浪。
至于周四的白宫讨论,主要集中在如何防止开源软件中的安全漏洞、如何改进发现和修复错误的过程、以及如何加快修补过程。
出席会议的企业高管们发表了很有价值的意见,并承诺与政府合作以提升开源软件的安全性。
(截图 via NIST)
IBM Systems 战略与开发总经理 Jamie Thomas 在会后声明中指出:
各种类型的软件,都面临来自网络犯罪分子和恶意行为者的威胁。且在许多方面,开源软件都具备固有的透明度、较专有软件更加安全。
Google(Alphabet)全球事务总裁兼首席法务官 Kent Walker 强调称:
作为网络世界中的主要连结点,现在是时候开始将数字基础设施,当做道路和桥梁一样的实体来对待了,其值得我们投入同样多的资金和关注度。
最大开源软件企业之一的红帽,更是派出了三位高管出席会议,并发表声明呼吁开源和专有软件制造商保持产品的更大“可见性”,为全生命周期负起责任、并公布相关安全数据。
(截图 via CISA)
网络安全和基础设施安全局(CISA)局长 Jen Easterly 补充道:Log4j 问题的范围之广,已波及数以千万计的联网设备,使之成为其职业生涯中前所未见的一个严重问题。
截止周一,尚未有联邦机构通报因相关漏洞而遭到破坏、美国境内也未披露发生大型网络攻击。据说大多数漏洞利用尝试都围绕较低级的加密货币挖矿、或将设备纳入僵尸网络的侧面。
最后,周四参与会议的白宫高级官员中包括了国家网络主管 Chris Inglis、负责网络和新兴技术的国家安全副顾问 Anne Neuberger,以及国土安全部、CISA 和国防部等联邦机构代表。
其它参会科技企业包括 Akamai、Apache 软件基金会、Cloudflare、Meta(原 Facebook)、GitHub、Linux 基金会、开源安全基金会、甲骨文、RedHat、以及 VMWare 。