白宫召集科技高管与联邦机构代表共商后Log4j时代的安全防护

资料图（via White House）

上月曝光的 Log4j 漏洞，揭开了热门开源 Java 日志库 Apache Log4j 中的一项巨大安全隐患。若未得到及时修复，网络攻击者可借此在互联网上兴风作浪。

至于周四的白宫讨论，主要集中在如何防止开源软件中的安全漏洞、如何改进发现和修复错误的过程、以及如何加快修补过程。

出席会议的企业高管们发表了很有价值的意见，并承诺与政府合作以提升开源软件的安全性。

（截图 via NIST）

IBM Systems 战略与开发总经理 Jamie Thomas 在会后声明中指出：

各种类型的软件，都面临来自网络犯罪分子和恶意行为者的威胁。且在许多方面，开源软件都具备固有的透明度、较专有软件更加安全。

Google（Alphabet）全球事务总裁兼首席法务官 Kent Walker 强调称：

作为网络世界中的主要连结点，现在是时候开始将数字基础设施，当做道路和桥梁一样的实体来对待了，其值得我们投入同样多的资金和关注度。

最大开源软件企业之一的红帽，更是派出了三位高管出席会议，并发表声明呼吁开源和专有软件制造商保持产品的更大“可见性”，为全生命周期负起责任、并公布相关安全数据。

（截图 via CISA）

网络安全和基础设施安全局（CISA）局长 Jen Easterly 补充道：Log4j 问题的范围之广，已波及数以千万计的联网设备，使之成为其职业生涯中前所未见的一个严重问题。

截止周一，尚未有联邦机构通报因相关漏洞而遭到破坏、美国境内也未披露发生大型网络攻击。据说大多数漏洞利用尝试都围绕较低级的加密货币挖矿、或将设备纳入僵尸网络的侧面。

最后，周四参与会议的白宫高级官员中包括了国家网络主管 Chris Inglis、负责网络和新兴技术的国家安全副顾问 Anne Neuberger，以及国土安全部、CISA 和国防部等联邦机构代表。

其它参会科技企业包括 Akamai、Apache 软件基金会、Cloudflare、Meta（原 Facebook）、GitHub、Linux 基金会、开源安全基金会、甲骨文、RedHat、以及 VMWare 。