在曝出 Log4j 重大安全漏洞之后,美国白宫召集了多家科技巨头的高管,以商讨如何提升从消费电子产品、到大型工业系统等一切事物背后的开源软件的安全性。白宫透露,与会者中包括了苹果、谷歌、微软等公司的代表,并与其展开了实质性和富有建设性的讨论。未来几周,双方还将继续开展类似的讨论。

白宫召集科技高管 与联邦机构代表共商后Log4j时代的安全防护-LMLPHP

资料图(via White House)

上月曝光的 Log4j 漏洞,揭开了热门开源 Java 日志库 Apache Log4j 中的一项巨大安全隐患。若未得到及时修复,网络攻击者可借此在互联网上兴风作浪。

至于周四的白宫讨论,主要集中在如何防止开源软件中的安全漏洞、如何改进发现和修复错误的过程、以及如何加快修补过程。

出席会议的企业高管们发表了很有价值的意见,并承诺与政府合作以提升开源软件的安全性。

白宫召集科技高管 与联邦机构代表共商后Log4j时代的安全防护-LMLPHP

(截图 via NIST)

IBM Systems 战略与开发总经理 Jamie Thomas 在会后声明中指出:

Google(Alphabet)全球事务总裁兼首席法务官 Kent Walker 强调称:

最大开源软件企业之一的红帽,更是派出了三位高管出席会议,并发表声明呼吁开源和专有软件制造商保持产品的更大“可见性”,为全生命周期负起责任、并公布相关安全数据。

白宫召集科技高管 与联邦机构代表共商后Log4j时代的安全防护-LMLPHP

(截图 via CISA)

网络安全和基础设施安全局(CISA)局长 Jen Easterly 补充道:Log4j 问题的范围之广,已波及数以千万计的联网设备,使之成为其职业生涯中前所未见的一个严重问题。

截止周一,尚未有联邦机构通报因相关漏洞而遭到破坏、美国境内也未披露发生大型网络攻击。据说大多数漏洞利用尝试都围绕较低级的加密货币挖矿、或将设备纳入僵尸网络的侧面。

最后,周四参与会议的白宫高级官员中包括了国家网络主管 Chris Inglis、负责网络和新兴技术的国家安全副顾问 Anne Neuberger,以及国土安全部、CISA 和国防部等联邦机构代表。

其它参会科技企业包括 Akamai、Apache 软件基金会、Cloudflare、Meta(原 Facebook)、GitHub、Linux 基金会、开源安全基金会、甲骨文、RedHat、以及 VMWare 。

01-15 09:51