在曝出 Log4j 重大安全漏洞之後,美國白宮召集了多家科技巨頭的高管,以商討如何提升從消費電子產品、到大型工業系統等一切事物背後的開源軟件的安全性。白宮透露,與會者中包括了蘋果、谷歌、微軟等公司的代表,並與其展開了實質性和富有建設性的討論。未來幾周,雙方還將繼續開展類似的討論。
資料圖(via White House)
上月曝光的 Log4j 漏洞,揭開了熱門開源 Java 日誌庫 Apache Log4j 中的一項巨大安全隱患。若未得到及時修復,網絡攻擊者可藉此在互聯網上興風作浪。
至於周四的白宮討論,主要集中在如何防止開源軟件中的安全漏洞、如何改進發現和修復錯誤的過程、以及如何加快修補過程。
出席會議的企業高管們發表了很有價值的意見,並承諾與政府合作以提升開源軟件的安全性。
(截圖 via NIST)
IBM Systems 戰略與開發總經理 Jamie Thomas 在會後聲明中指出:
各種類型的軟件,都面臨來自網絡犯罪分子和惡意行為者的威脅。且在許多方面,開源軟件都具備固有的透明度、較專有軟件更加安全。
Google(Alphabet)全球事務總裁兼首席法務官 Kent Walker 強調稱:
作為網絡世界中的主要連結點,現在是時候開始將數字基礎設施,當做道路和橋樑一樣的實體來對待了,其值得我們投入同樣多的資金和關注度。
最大開源軟件企業之一的紅帽,更是派出了三位高管出席會議,並發表聲明呼籲開源和專有軟件製造商保持產品的更大“可見性”,為全生命周期負起責任、並公布相關安全數據。
(截圖 via CISA)
網絡安全和基礎設施安全局(CISA)局長 Jen Easterly 補充道:Log4j 問題的範圍之廣,已波及數以千萬計的聯網設備,使之成為其職業生涯中前所未見的一個嚴重問題。
截止周一,尚未有聯邦機構通報因相關漏洞而遭到破壞、美國境內也未披露發生大型網絡攻擊。據說大多數漏洞利用嘗試都圍繞較低級的加密貨幣挖礦、或將設備納入殭屍網絡的側面。
最後,周四參與會議的白宮高級官員中包括了國家網絡主管 Chris Inglis、負責網絡和新興技術的國家安全副顧問 Anne Neuberger,以及國土安全部、CISA 和國防部等聯邦機構代表。
其它參會科技企業包括 Akamai、Apache 軟件基金會、Cloudflare、Meta(原 Facebook)、GitHub、Linux 基金會、開源安全基金會、甲骨文、RedHat、以及 VMWare 。