在曝出 Log4j 重大安全漏洞之後,美國白宮召集了多家科技巨頭的高管,以商讨如何提升從消費電子産品、到大型工業系統等一切事物背後的開源軟體的安全性。白宮透露,與會者中包括了蘋果、谷歌、微軟等公司的代表,并與其展開了實質性和富有建設性的讨論。未來幾周,雙方還将繼續開展類似的讨論。
資料圖(via White House)
上月曝光的 Log4j 漏洞,揭開了熱門開源 Java 日志庫 Apache Log4j 中的一項巨大安全隐患。若未得到及時修複,網絡攻擊者可借此在網際網路上興風作浪。
至于周四的白宮讨論,主要集中在如何防止開源軟體中的安全漏洞、如何改進發現和修複錯誤的過程、以及如何加快修補過程。
出席會議的企業高管們發表了很有價值的意見,并承諾與政府合作以提升開源軟體的安全性。
(截圖 viaNIST)
IBM Systems 戰略與開發總經理 Jamie Thomas 在會後聲明中指出:
各種類型的軟體,都面臨來自網絡犯罪分子和惡意行為者的威脅。且在許多方面,開源軟體都具備固有的透明度、較專有軟體更加安全。
Google(Alphabet)全球事務總裁兼首席法務官 Kent Walker 強調稱:
作為網絡世界中的主要連結點,現在是時候開始将數字基礎設施,當做道路和橋梁一樣的實體來對待了,其值得我們投入同樣多的資金和關注度。
最大開源軟體企業之一的紅帽,更是派出了三位高管出席會議,并發表聲明呼籲開源和專有軟體制造商保持産品的更大“可見性”,為全生命周期負起責任、并公布相關安全資料。
(截圖 viaCISA)
網絡安全和基礎設施安全局(CISA)局長 Jen Easterly 補充道:Log4j 問題的範圍之廣,已波及數以千萬計的聯網裝置,使之成為其職業生涯中前所未見的一個嚴重問題。
截止周一,尚未有聯邦機構通報因相關漏洞而遭到破壞、美國境内也未披露發生大型網絡攻擊。據說大多數漏洞利用嘗試都圍繞較低級的加密貨币挖礦、或将裝置納入僵屍網絡的側面。
最後,周四參與會議的白宮進階官員中包括了國家網絡主管 Chris Inglis、負責網絡和新興技術的國家安全副顧問 Anne Neuberger,以及國土安全部、CISA 和國防部等聯邦機構代表。
其它參會科技企業包括 Akamai、Apache 軟體基金會、Cloudflare、Meta(原 Facebook)、GitHub、Linux 基金會、開源安全基金會、甲骨文、RedHat、以及 VMWare 。