美國網絡安全審查委員會認為Log4j漏洞的影響將持續十年以上

7月14日，美國國土安全部（DHS）發布了網絡安全審查委員會（CSRB）成立后的第一份報告，該報告指出Log4j問題尚未終結，提出了19項針對政府和行業的可行建議，并已經由國土安全部部長Alejandro N. Mayorkas提交給拜登總統。

美國網絡安全審查委員會（CSRB）是一個今年二月在美國總統喬·拜登（Joe Biden）的網絡安全行政命令支持下成立的組織，該命令要求對重大網絡安全事件做出全國性反應。CSRB成立后接到的第一項任務就是審查Java Log4j日志庫中的Log4Shell漏洞。

在首次審查期間，CSRB與近80個組織和個人合作，收集調查有關Log4j事件的信息，并制定可操作的建議，以防止和更有效地應對未來的事件。該委員會的報告和建議現已在美國國土安全部網絡安全和基礎設施安全局（CISA）官網上發布。

Log4j是由Apache維護的開源日志記錄組件，在VMware、IBM、Oracle、Cisco、SolarWinds等產品中都有使用，存在于互聯網的數億臺企業設備中。也因此其Log4Shell漏洞影響范圍甚廣，被認為是近些年最重大的網絡安全漏洞。

去年漏洞披露后，CISA迅速命令所有聯邦機構盡最大努力修補Log4J。在進行緊急大規模修補工作后，自漏洞披露以來CISA沒有觀察到任何重大入侵。但CSRB在進行審查后得出結論——至少在十年內Log4Shell問題的影響不會結束。

CSRB由來自美國聯邦政府和私營部門的權威網絡安全領導人組成。CSRB沒有監管權力，也不是執法機構，其目的是確定和分享經驗教訓，以實現國家網絡安全的進步。CSRB由國土安全部政策副部長Robert Silvers擔任主席，谷歌安全工程副總裁Heather Adkins擔任副主席。?