A8号

白宫召集技术主管和联邦机构代表讨论后Log4j时代的安全保护。

暨瑰玮237

Log4j重大安全漏洞暴露后,美国白宫召集了几家科技巨头的高管,讨论如何提高从消费电子到大型工业系统等一切背后的开源软件的安全性。白宫透露,与会者包括苹果、谷歌、微软等公司的代表,并与他们进行了实质性和建设性的讨论。未来几周,双方将继续举行类似的讨论。

上个月暴露的Log4j漏洞暴露了流行的开源Java日志库Apache Log4j的巨大安全隐患。如果不及时修复,网络攻击者可以在互联网上兴风作浪。

至于白宫周四的讨论,主要集中在如何防范开源软件中的安全漏洞,如何改进发现和修复错误的过程,以及如何加快修复过程。

参加会议的企业高管发表了宝贵的意见,并承诺与政府合作,提高开源软件的安全性。

(经NIST截图)

IBM系统公司战略与发展总经理杰米·托马斯在会后的声明中指出:

各种软件都面临着来自网络罪犯和恶意行为者的威胁。在许多方面,开源软件天生透明,比专有软件更安全。

谷歌(Alphabet)全球事务总裁兼首席法律官肯特·沃克强调:

作为网络世界的主要连接点,是时候开始将数字基础设施视为道路和桥梁一样的实体,这值得同样多的资金和关注。

最大的开源软件公司之一Red Hat派出三名高管参加会议,并发表声明,呼吁开源和专有软件制造商保持其产品的更大“知名度”,对整个生命周期负责,并公布相关安全数据。

(经CISA截图)

网络和基础设施安全局(CISA)局长Jen Easterly补充道:Log4j问题的范围已经影响了数千万台联网设备,这是他职业生涯中从未见过的严重问题。

截至周一,没有联邦机构报告它们因相关漏洞而受损,美国也没有披露重大网络攻击。据说,大多数利用尝试集中在围绕低级加密货币的挖掘,或者将设备放入僵尸网络。

最后,周四出席会议的白宫高级官员包括国家网络主任克里斯·英格尔斯(Chris Inglis)、负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger),以及国土安全部、CISA和国防部等联邦机构的代表。

其他参与的技术公司包括Akamai、Apache软件基金会、Cloudflare、Meta(原脸书)、GitHub、Linux基金会、开源安全基金会、甲骨文、红帽和VMWare。

您可能还会对下面的文章感兴趣: