Log4Shell漏洞驚動白宮國安委--擬議中的開源軟件網絡安全會議將在明年元月召開

據彭博社(Bloomberg)報道，白宮國家安全顧問杰克·沙利文(Jake Sullivan)已邀請主要科技公司討論如何改進開源軟件的網絡安全。這些科技公司包括“主要的軟件公司和開發者”。報道稱云服務提供商也在受邀公司之列。美國國家安全委員會(National Security Council)發言人拒絕透露哪些公司受到了邀請。邀請信的內容也沒有公開。負責網絡和新興技術的副國家安全顧問安妮·紐伯格(Anne Neuberger)將于明年1月主持與受邀科技公司代表進行為期一天的專題討論。路透社報道稱，討論將涉及“負責開源項目和安全的公司高管。

（國家安全顧問杰克·沙利文）

據報道，在一封致受邀科技公司的信中，沙利文表示，開源軟件項目的流行和它們由志愿者維護的事實是“一個關鍵的國家安全問題的組合，正如我們所經歷的Log4j漏洞那樣。”

白宮向科技公司發出邀請的幾周前，安全研究人員發現廣泛使用的開源工具Log4j存在一個關鍵漏洞log4shell。

Log4j是一種流行的開源工具，公司使用它來檢測和排除Java應用程序中的錯誤。該工具最近被發現包含一個關鍵漏洞，黑客可以在受影響的系統上安裝惡意軟件。該漏洞被認為是近年來最嚴重的軟件安全漏洞之一，因為黑客很容易利用并影響大量系統。

在這個漏洞公諸于眾的幾天內，網絡安全公司檢測到數十萬次針對Log4j應用的攻擊企圖。監督Log4j開發的Apache軟件基金會發布了一個補丁和一個指南，解釋了當無法下載補丁時用戶如何修復漏洞。Cloudflare Inc.和其他公司采取了措施，保護客戶免受針對該工具的網絡攻擊。

與伊朗、朝鮮和土耳其政府有關聯的勒索軟件團伙和黑客已經開始利用該漏洞，科技公司和政府機構也在競相安裝軟件補丁。美國網絡安全與基礎設施安全局(CISA)曾表示，數億臺設備可能暴露于該漏洞之下。12月17日，該機構發布了一項“緊急指令”，要求聯邦民用機構更新其系統。此后，NSA、FBI、CISA聯合五眼聯盟的其它四國網絡安全管理機構共同發布了安全咨詢警告。

一名機構發言人告訴CNN，沒有跡象表明任何機構曾被黑客利用Log4j的漏洞入侵。雖然沒有美國機構證實該漏洞被攻破，但比利時國防部12月20日確認遭遇攻擊，為了應對利用該漏洞的黑客攻擊，比利時已經關閉了部分計算機網絡。

沙利文的新信函并不是拜登政府第一次利用白宮的講壇，敦促科技公司就緊迫的網絡安全問題采取行動。

今年8月，美國總統拜登(Joe Biden)在與亞馬遜(Amazon.com Inc.)、谷歌、微軟(Microsoft Corp.)和其他主要公司的高管開會時，稱網絡安全是“國家安全的核心挑戰”。參與其中的公司承諾在未來幾年內為網絡安全相關項目投資數十億美元。

開源軟件生態系統的主要參與者也在采取措施提高網絡安全。今年10月，Linux基金會(Linux Foundation)宣布，它已經從20多家科技公司和其他公司籌集了1000萬美元，用于支持一個名為“開源安全基金會”(Open Source Security Foundation)的項目。這是一個跨行業的合作，旨在提高開源軟件的安全性。

知名軟件應用安全公司Veracode公司的CTO Chris Wysopal對此做法并不看好。Wysopal應當是受邀請的代表這一。

參考資源 ：

1.https://siliconangle.com/2021/12/24/white-house-invites-tech-firms-discuss-open-source-software-security/

2.https://edition.cnn.com/2021/12/23/politics/white-house-log4j-tech-firms-meeting/index.html