白宮召集科技高管與聯邦機構代表共商后Log4j時代的安全防護

資料圖（via White House）

上月曝光的 Log4j 漏洞，揭開了熱門開源 Java 日志庫 Apache Log4j 中的一項巨大安全隱患。若未得到及時修復，網絡攻擊者可借此在互聯網上興風作浪。

至于周四的白宮討論，主要集中在如何防止開源軟件中的安全漏洞、如何改進發現和修復錯誤的過程、以及如何加快修補過程。

出席會議的企業高管們發表了很有價值的意見，并承諾與政府合作以提升開源軟件的安全性。

（截圖 via NIST）

IBM Systems 戰略與開發總經理 Jamie Thomas 在會后聲明中指出：

各種類型的軟件，都面臨來自網絡犯罪分子和惡意行為者的威脅。且在許多方面，開源軟件都具備固有的透明度、較專有軟件更加安全。

Google（Alphabet）全球事務總裁兼首席法務官 Kent Walker 強調稱：

作為網絡世界中的主要連結點，現在是時候開始將數字基礎設施，當做道路和橋梁一樣的實體來對待了，其值得我們投入同樣多的資金和關注度。

最大開源軟件企業之一的紅帽，更是派出了三位高管出席會議，并發表聲明呼吁開源和專有軟件制造商保持產品的更大“可見性”，為全生命周期負起責任、并公布相關安全數據。

（截圖 via CISA）

網絡安全和基礎設施安全局（CISA）局長 Jen Easterly 補充道：Log4j 問題的范圍之廣，已波及數以千萬計的聯網設備，使之成為其職業生涯中前所未見的一個嚴重問題。

截止周一，尚未有聯邦機構通報因相關漏洞而遭到破壞、美國境內也未披露發生大型網絡攻擊。據說大多數漏洞利用嘗試都圍繞較低級的加密貨幣挖礦、或將設備納入僵尸網絡的側面。

最后，周四參與會議的白宮高級官員中包括了國家網絡主管 Chris Inglis、負責網絡和新興技術的國家安全副顧問 Anne Neuberger，以及國土安全部、CISA 和國防部等聯邦機構代表。

其它參會科技企業包括 Akamai、Apache 軟件基金會、Cloudflare、Meta（原 Facebook）、GitHub、Linux 基金會、開源安全基金會、甲骨文、RedHat、以及 VMWare 。