白宫召集科技高管 与联邦机构代表共商后Log4j时代的安全防护

在曝出 Log4j 重大安全漏洞之后，美国白宫召集了多家科技巨头的高管，以商讨如何提升从消费电子产品、到大型工业系统等一切事物背后的开源软件的安全性。白宫透露，与会者中包括了苹果、谷歌、微软等公司的代表，并与其展开了实质性和富有建设性的讨论。未来几周，双方还将继续开展类似的讨论。

资料图（via White House）

上月曝光的 Log4j 漏洞，揭开了热门开源 Java 日志库 Apache Log4j 中的一项巨大安全隐患。若未得到及时修复，网络攻击者可借此在互联网上兴风作浪。

至于周四的白宫讨论，主要集中在如何防止开源软件中的安全漏洞、如何改进发现和修复错误的过程、以及如何加快修补过程。

出席会议的企业高管们发表了很有价值的意见，并承诺与政府合作以提升开源软件的安全性。

（截图 via NIST）

IBM Systems 战略与开发总经理 Jamie Thomas 在会后声明中指出：

各种类型的软件，都面临来自网络犯罪分子和恶意行为者的威胁。且在许多方面，开源软件都具备固有的透明度、较专有软件更加安全。

Google（Alphabet）全球事务总裁兼首席法务官 Kent Walker 强调称：

作为网络世界中的主要连结点，现在是时候开始将数字基础设施，当做道路和桥梁一样的实体来对待了，其值得我们投入同样多的资金和关注度。

最大开源软件企业之一的红帽，更是派出了三位高管出席会议，并发表声明呼吁开源和专有软件制造商保持产品的更大“可见性”，为全生命周期负起责任、并公布相关安全数据。

（截图 via CISA）

网络安全和基础设施安全局（CISA）局长 Jen Easterly 补充道：Log4j 问题的范围之广，已波及数以千万计的联网设备，使之成为其职业生涯中前所未见的一个严重问题。

截止周一，尚未有联邦机构通报因相关漏洞而遭到破坏、美国境内也未披露发生大型网络攻击。据说大多数漏洞利用尝试都围绕较低级的加密货币挖矿、或将设备纳入僵尸网络的侧面。

最后，周四参与会议的白宫高级官员中包括了国家网络主管 Chris Inglis、负责网络和新兴技术的国家安全副顾问 Anne Neuberger，以及国土安全部、CISA 和国防部等联邦机构代表。

其它参会科技企业包括 Akamai、Apache 软件基金会、Cloudflare、Meta（原 Facebook）、GitHub、Linux 基金会、开源安全基金会、甲骨文、RedHat、以及 VMWare 。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/