log4j2漏洞鬧大了！白宮欲召科技巨頭開會，確定開源軟體安全

新智元報道

編輯：David

【新智元導讀】log4j2漏洞事件沸沸揚揚，美國政府坐不住了。白宮準備邀請科技企業讨論開源軟體的安全問題，将其上升為「國家安全」高度，并出台規定：發現漏洞後必須向政府報告。事實上，大洋彼岸的中國也出台了類似規定。

最近，一款Java開源工具log4j2漏洞事件，引發了人們對開源軟體安全性的大讨論。

Log4j2是面向Java應用的開源日志元件工具，被世界各組織和企業廣泛用于業務系統開發。目前，谷歌、微軟、亞馬遜等科技巨頭都在廣泛使用這一工具。

最近，這款工具被曝出嚴重漏洞，黑客可以利用漏洞在受影響的系統上安裝惡意軟體。該漏洞被認為是近年來最嚴重的軟體安全漏洞之一，已經對大量系統造成影響。

目前，Log4j2 由非營利組織 Apache 軟體基金會的志願者維護。

Apache 軟體基金會已經釋出了修複更新檔和指南，解釋了如果無法下載下傳更新檔，使用者如何修複漏洞。

盡管如此，在漏洞被披露後僅僅幾天時間裡，就産生了數十萬次針對該漏洞的攻擊。

這次事件無疑暴露出開源軟體社群在安全維護方面的力量不足。被如此廣泛使用的開源工具，其安全性僅靠志願者維護，是不是遠遠不夠？

美國政府再次出手幹預。

據彭博社報道，美國白宮國家安全顧問 Jake Sullivan 已邀請數家科技企業讨論如何改善開源軟體的網絡安全問題。這些科技公司包括「主要大型軟體公司和開發商」，也包括雲服務商。

負責網絡和新興技術的美國副國家安全顧問 Anne Neuberger 将于明年 1 月與受邀科技公司的代表舉行為期一天的讨論。這次讨論将涉及「負責開源項目和安全的公司高管」 。

據報道，Sullivan在給受邀科技公司的一封信中表示，科技高管和白宮官員之間的讨論是必要的。

他表示，目前開源軟體項目非常流行，使用者量巨大，但僅由社群志願者維護，這可能會造成「國家安全問題，就像Log4j漏洞一樣」。

實際上，美國政府在網絡安全問題的重視由來已久。

今年 8 月，拜登就與亞馬遜、谷歌、微軟等科技巨頭高管會面，專門讨論網絡安全問題。會後發表的公報稱，網絡安全問題屬于「核心國家安全挑戰」。

今年 5 月，拜登政府釋出行政指令，将「加強軟體供應鍊安全」作為提升聯邦政府網絡安全的明确措施之一，要求政府購買的軟體滿足最低安全标準。

面對政府的要求，幾家美國科技巨頭承諾，在未來幾年内向網絡安全相關項目投資數十億美元。

開源軟體生态系統中的主要參與者也在采取措施改善網絡安全。

Linux 基金會在10月宣布，已從二十多家科技公司和其他公司籌集了 1000 萬美元，以支援一項名為開源安全基金會項目的計劃。該計劃是一項跨行業合作，旨在提高開源軟體的安全性。

中美「同款」規定：發現漏洞，要上報政府

12月，就在Log4j漏洞曝出後不久，美國政府網絡安全與基礎設施安全局（CISA）出台了處理相關漏洞的指導原則。

這份檔案進一步強化了政府在相關漏洞彙報鍊條上的優先級，明确規定，一旦發現這類網絡安全威脅，應向政府資訊安全主管部門和FBI報告。

這份檔案是美國與英國、加拿大、澳洲和紐西蘭，即所謂「五眼聯盟」國家聯署的，其他幾個國家也出台了類似的規定。

實際上，網絡安全确實是重中之重，不僅是在大洋彼岸的美國，在中國同樣如此。

在國家工業和資訊化部、網信辦、公安部聯合下發的《網絡産品安全漏洞管理規定》（以下簡稱《規定》）中，也明确規定了在網絡安全漏洞發現之後的報告義務：要向工信部報告。

《規定》明确指出，網絡産品提供者在「立即通知相關産品提供者」的同時，應當「在2日内向工業和資訊化部網絡安全和漏洞資訊共享平台報送相關漏洞資訊。」

此前據報道，早在11月底，阿裡雲開發人員就發現了Log4j2漏洞，并報告給了軟體提供者Apache，但并未及時向工信部報告。

直到12月9日，工信部由安全機構報告發現漏洞，随後釋出安全風險提示：

阿裡雲此行為明顯違反了《規定》，阿裡雲也是以被工信部通報并處罰，被暫停工信部網絡安全威脅資訊共享平台合作機關6個月。

近日，阿裡雲公司發現阿帕奇（Apache）Log4j2元件嚴重安全漏洞隐患後，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。經研究，現暫停阿裡雲公司作為上述合作機關6個月。暫停期滿後，根據阿裡雲公司整改情況，研究恢複其上述合作機關。

對此，阿裡雲回應稱：

因在早期未意識到該漏洞的嚴重性，未及時共享漏洞資訊。阿裡雲将強化漏洞管理、提升合規意識，積極協同各方做好網絡安全風險防範工作。

對此有網友認為，阿裡雲此次受罰并不冤。此次事件中，阿裡雲的處理确實缺少了必要的「合規意識」。

對此，你怎麼看？

參考資料：

https://www.zhihu.com/question/507698803

http://www.gov.cn/gongbao/content/2021/content_5641351.htm

https://siliconangle.com/2021/08/25/white-house-holds-summit-discuss-national-cybersecurity-strategy/

https://www.bloomberg.com/news/articles/2021-12-23/white-house-extends-invitation-to-improve-open-source-security