白宮召集科技高管與聯邦機構代表共商後Log4j時代的安全防護
在曝出Log4j 重大安全漏洞之後,美國白宮召集了多家科技巨頭的高管,以商討如何提升從消費電子產品、到大型工業系統等一切事物背後的開源軟件的安全性。白宮透露,與會者中包括了蘋果、谷歌、微軟等公司的代表,並與其展開了實質性和富有建設性的討論。未來幾週,雙方還將繼續開展類似的討論。
資料圖(via White House)
上月曝光的Log4j 漏洞,揭開了熱門開源Java 日誌庫Apache Log4j 中的一項巨大安全隱患。若未得到及時修復,網絡攻擊者可藉此在互聯網上興風作浪。
至於週四的白宮討論,主要集中在如何防止開源軟件中的安全漏洞、如何改進發現和修復錯誤的過程、以及如何加快修補過程。
出席會議的企業高管們發表了很有價值的意見,並承諾與政府合作以提升開源軟件的安全性。
(截圖via NIST)
IBM Systems 戰略與開發總經理Jamie Thomas 在會後聲明中指出:
各種類型的軟件,都面臨來自網絡犯罪分子和惡意行為者的威脅。且在許多方面,開源軟件都具備固有的透明度、較專有軟件更加安全。
Google(Alphabet)全球事務總裁兼首席法務官Kent Walker 強調稱:
作為網絡世界中的主要連結點,現在是時候開始將數字基礎設施,當做道路和橋樑一樣的實體來對待了,其值得我們投入同樣多的資金和關注度。
最大開源軟件企業之一的紅帽,更是派出了三位高管出席會議,並發表聲明呼籲開源和專有軟件製造商保持產品的更大“可見性”,為全生命週期負起責任、並公佈相關安全數據。
(截圖via CISA)
網絡安全和基礎設施安全局(CISA)局長Jen Easterly 補充道:Log4j 問題的範圍之廣,已波及數以千萬計的聯網設備,使之成為其職業生涯中前所未見的一個嚴重問題。
截止週一,尚未有聯邦機構通報因相關漏洞而遭到破壞、美國境內也未披露發生大型網絡攻擊。據說大多數漏洞利用嘗試都圍繞較低級的加密貨幣挖礦、或將設備納入殭屍網絡的側面。
最後,週四參與會議的白宮高級官員中包括了國家網絡主管Chris Inglis、負責網絡和新興技術的國家安全副顧問Anne Neuberger,以及國土安全部、CISA 和國防部等聯邦機構代表。
其它參會科技企業包括Akamai、Apache 軟件基金會、Cloudflare、Meta(原Facebook)、GitHub、Linux 基金會、開源安全基金會、甲骨文、RedHat、以及VMWare 。