在曝出 Log4j 重大安全漏洞之后，美國白宮召集了多家科技巨頭的高管，以商討如何提升從消費電子產(chǎn)品、到大型工業(yè)系統(tǒng)等一切事物背后的開源軟件的安全性。白宮透露，與會者中包括了蘋果、谷歌、微軟等公司的代表，并與其展開了實質(zhì)性和富有建設(shè)性的討論。未來幾周，雙方還將繼續(xù)開展類似的討論。

上月曝光的 Log4j 漏洞，揭開了熱門開源 Java 日志庫 Apache Log4j 中的一項巨大安全隱患。若未得到及時修復(fù)，網(wǎng)絡(luò)攻擊者可借此在互聯(lián)網(wǎng)上興風(fēng)作浪。

至于周四的白宮討論，主要集中在如何防止開源軟件中的安全漏洞、如何改進(jìn)發(fā)現(xiàn)和修復(fù)錯誤的過程、以及如何加快修補過程。

出席會議的企業(yè)高管們發(fā)表了很有價值的意見，并承諾與政府合作以提升開源軟件的安全性。

（截圖 via NIST）

IBM Systems 戰(zhàn)略與開發(fā)總經(jīng)理 Jamie Thomas 在會后聲明中指出：

各種類型的軟件，都面臨來自網(wǎng)絡(luò)犯罪分子和惡意行為者的威脅。且在許多方面，開源軟件都具備固有的透明度、較專有軟件更加安全。

Google（Alphabet）全球事務(wù)總裁兼首席法務(wù)官 Kent Walker 強調(diào)稱：

作為網(wǎng)絡(luò)世界中的主要連結(jié)點，現(xiàn)在是時候開始將數(shù)字基礎(chǔ)設(shè)施，當(dāng)做道路和橋梁一樣的實體來對待了，其值得我們投入同樣多的資金和關(guān)注度。

最大開源軟件企業(yè)之一的紅帽，更是派出了三位高管出席會議，并發(fā)表聲明呼吁開源和專有軟件制造商保持產(chǎn)品的更大“可見性”，為全生命周期負(fù)起責(zé)任、并公布相關(guān)安全數(shù)據(jù)。

（截圖 via CISA）

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）局長 Jen Easterly 補充道：Log4j 問題的范圍之廣，已波及數(shù)以千萬計的聯(lián)網(wǎng)設(shè)備，使之成為其職業(yè)生涯中前所未見的一個嚴(yán)重問題。

截止周一，尚未有聯(lián)邦機構(gòu)通報因相關(guān)漏洞而遭到破壞、美國境內(nèi)也未披露發(fā)生大型網(wǎng)絡(luò)攻擊。據(jù)說大多數(shù)漏洞利用嘗試都圍繞較低級的加密貨幣挖礦、或?qū)⒃O(shè)備納入僵尸網(wǎng)絡(luò)的側(cè)面。

最后，周四參與會議的白宮高級官員中包括了國家網(wǎng)絡(luò)主管 Chris Inglis、負(fù)責(zé)網(wǎng)絡(luò)和新興技術(shù)的國家安全副顧問 Anne Neuberger，以及國土安全部、CISA 和國防部等聯(lián)邦機構(gòu)代表。

其它參會科技企業(yè)包括 Akamai、Apache 軟件基金會、Cloudflare、Meta（原 Facebook）、GitHub、Linux 基金會、開源安全基金會、甲骨文、RedHat、以及 VMWare 。

（舉報）