在曝出 Log4j 重大安全漏洞之后,美国白宫召集了多家科技巨头的高管,以商讨如何提升从消费电子产品、到大型工业系统等一切事物背后的开源软件的安全性。白宫透露,与会者中包括了苹果、谷歌、微软等公司的代表,并与其展开了实质性和富有建设性的讨论。未来几周,双方还将继续开展类似的讨论。
上月曝光的 Log4j 漏洞,揭开了热门开源 Java 日志库 Apache Log4j 中的一项巨大安全隐患。若未得到及时修复,网络攻击者可借此在互联网上兴风作浪。
至于周四的白宫讨论,主要集中在如何防止开源软件中的安全漏洞、如何改进发现和修复错误的过程、以及如何加快修补过程。
出席会议的企业高管们发表了很有价值的意见,并承诺与政府合作以提升开源软件的安全性。
(截图 via NIST)
IBM Systems 战略与开发总经理 Jamie Thomas 在会后声明中指出:
各种类型的软件,都面临来自网络犯罪分子和恶意行为者的威胁。且在许多方面,开源软件都具备固有的透明度、较专有软件更加安全。
Google(Alphabet)全球事务总裁兼首席法务官 Kent Walker 强调称:
作为网络世界中的主要连结点,现在是时候开始将数字基础设施,当做道路和桥梁一样的实体来对待了,其值得我们投入同样多的资金和关注度。
最大开源软件企业之一的红帽,更是派出了三位高管出席会议,并发表声明呼吁开源和专有软件制造商保持产品的更大“可见性”,为全生命周期负起责任、并公布相关安全数据。
(截图 via CISA)
网络安全和基础设施安全局(CISA)局长 Jen Easterly 补充道:Log4j 问题的范围之广,已波及数以千万计的联网设备,使之成为其职业生涯中前所未见的一个严重问题。
截止周一,尚未有联邦机构通报因相关漏洞而遭到破坏、美国境内也未披露发生大型网络攻击。据说大多数漏洞利用尝试都围绕较低级的加密货币挖矿、或将设备纳入僵尸网络的侧面。
最后,周四参与会议的白宫高级官员中包括了国家网络主管 Chris Inglis、负责网络和新兴技术的国家安全副顾问 Anne Neuberger,以及国土安全部、CISA 和国防部等联邦机构代表。
其它参会科技企业包括 Akamai、Apache 软件基金会、Cloudflare、Meta(原 Facebook)、GitHub、Linux 基金会、开源安全基金会、甲骨文、RedHat、以及 VMWare 。
(举报)