在曝出 Log4j 重大安全漏洞之后，美國白宮召集了多家科技巨頭的高管，以商討如何提升從消費電子產品、到大型工業(yè)系統(tǒng)等一切事物背后的開源軟件的安全性。白宮透露，與會者中包括了蘋果、谷歌、微軟等公司的代表，并與其展開了實質性和富有建設性的討論。未來幾周，雙方還將繼續(xù)開展類似的討論。

上月曝光的 Log4j 漏洞，揭開了熱門開源 Java 日志庫 Apache Log4j 中的一項巨大安全隱患。若未得到及時修復，網絡攻擊者可借此在互聯(lián)網上興風作浪。

至于周四的白宮討論，主要集中在如何防止開源軟件中的安全漏洞、如何改進發(fā)現(xiàn)和修復錯誤的過程、以及如何加快修補過程。

出席會議的企業(yè)高管們發(fā)表了很有價值的意見，并承諾與政府合作以提升開源軟件的安全性。

（截圖 via NIST）

IBM Systems 戰(zhàn)略與開發(fā)總經理 Jamie Thomas 在會后聲明中指出：

各種類型的軟件，都面臨來自網絡犯罪分子和惡意行為者的威脅。且在許多方面，開源軟件都具備固有的透明度、較專有軟件更加安全。

Google（Alphabet）全球事務總裁兼首席法務官 Kent Walker 強調稱：

作為網絡世界中的主要連結點，現(xiàn)在是時候開始將數字基礎設施，當做道路和橋梁一樣的實體來對待了，其值得我們投入同樣多的資金和關注度。

最大開源軟件企業(yè)之一的紅帽，更是派出了三位高管出席會議，并發(fā)表聲明呼吁開源和專有軟件制造商保持產品的更大“可見性”，為全生命周期負起責任、并公布相關安全數據。

（截圖 via CISA）

網絡安全和基礎設施安全局（CISA）局長 Jen Easterly 補充道：Log4j 問題的范圍之廣，已波及數以千萬計的聯(lián)網設備，使之成為其職業(yè)生涯中前所未見的一個嚴重問題。

截止周一，尚未有聯(lián)邦機構通報因相關漏洞而遭到破壞、美國境內也未披露發(fā)生大型網絡攻擊。據說大多數漏洞利用嘗試都圍繞較低級的加密貨幣挖礦、或將設備納入僵尸網絡的側面。

最后，周四參與會議的白宮高級官員中包括了國家網絡主管 Chris Inglis、負責網絡和新興技術的國家安全副顧問 Anne Neuberger，以及國土安全部、CISA 和國防部等聯(lián)邦機構代表。

其它參會科技企業(yè)包括 Akamai、Apache 軟件基金會、Cloudflare、Meta（原 Facebook）、GitHub、Linux 基金會、開源安全基金會、甲骨文、RedHat、以及 VMWare 。

（舉報）