Log4Shell漏洞惊动白宫国安委--拟议中的开源软件网络安全会议将在明年元月召开

据彭博社(Bloomberg)报道，白宫国家安全顾问杰克·沙利文(Jake Sullivan)已邀请主要科技公司讨论如何改进开源软件的网络安全。这些科技公司包括“主要的软件公司和开发者”。报道称云服务提供商也在受邀公司之列。美国国家安全委员会(National Security Council)发言人拒绝透露哪些公司受到了邀请。邀请信的内容也没有公开。负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)将于明年1月主持与受邀科技公司代表进行为期一天的专题讨论。路透社报道称，讨论将涉及“负责开源项目和安全的公司高管。

（国家安全顾问杰克·沙利文）

据报道，在一封致受邀科技公司的信中，沙利文表示，开源软件项目的流行和它们由志愿者维护的事实是“一个关键的国家安全问题的组合，正如我们所经历的Log4j漏洞那样。”

白宫向科技公司发出邀请的几周前，安全研究人员发现广泛使用的开源工具Log4j存在一个关键漏洞log4shell。

Log4j是一种流行的开源工具，公司使用它来检测和排除Java应用程序中的错误。该工具最近被发现包含一个关键漏洞，黑客可以在受影响的系统上安装恶意软件。该漏洞被认为是近年来最严重的软件安全漏洞之一，因为黑客很容易利用并影响大量系统。

在这个漏洞公诸于众的几天内，网络安全公司检测到数十万次针对Log4j应用的攻击企图。监督Log4j开发的Apache软件基金会发布了一个补丁和一个指南，解释了当无法下载补丁时用户如何修复漏洞。Cloudflare Inc.和其他公司采取了措施，保护客户免受针对该工具的网络攻击。

与伊朗、朝鲜和土耳其政府有关联的勒索软件团伙和黑客已经开始利用该漏洞，科技公司和政府机构也在竞相安装软件补丁。美国网络安全与基础设施安全局(CISA)曾表示，数亿台设备可能暴露于该漏洞之下。12月17日，该机构发布了一项“紧急指令”，要求联邦民用机构更新其系统。此后，NSA、FBI、CISA联合五眼联盟的其它四国网络安全管理机构共同发布了安全咨询警告。

一名机构发言人告诉CNN，没有迹象表明任何机构曾被黑客利用Log4j的漏洞入侵。虽然没有美国机构证实该漏洞被攻破，但比利时国防部12月20日确认遭遇攻击，为了应对利用该漏洞的黑客攻击，比利时已经关闭了部分计算机网络。

沙利文的新信函并不是拜登政府第一次利用白宫的讲坛，敦促科技公司就紧迫的网络安全问题采取行动。

今年8月，美国总统拜登(Joe Biden)在与亚马逊(Amazon.com Inc.)、谷歌、微软(Microsoft Corp.)和其他主要公司的高管开会时，称网络安全是“国家安全的核心挑战”。参与其中的公司承诺在未来几年内为网络安全相关项目投资数十亿美元。

开源软件生态系统的主要参与者也在采取措施提高网络安全。今年10月，Linux基金会(Linux Foundation)宣布，它已经从20多家科技公司和其他公司筹集了1000万美元，用于支持一个名为“开源安全基金会”(Open Source Security Foundation)的项目。这是一个跨行业的合作，旨在提高开源软件的安全性。

知名软件应用安全公司Veracode公司的CTO Chris Wysopal对此做法并不看好。Wysopal应当是受邀请的代表这一。

参考资源 ：

1.https://siliconangle.com/2021/12/24/white-house-invites-tech-firms-discuss-open-source-software-security/

2.https://edition.cnn.com/2021/12/23/politics/white-house-log4j-tech-firms-meeting/index.html