log4j2漏洞闹大了！白宫欲召科技巨头开会，确保开源软件安全

---

  新智元报道  

编辑：David

【新智元导读】log4j2漏洞事件沸沸扬扬，美国政府坐不住了。白宫准备邀请科技企业讨论开源软件的安全问题，将其上升为「国家安全」高度，并出台规定：发现漏洞后必须向政府报告。事实上，大洋彼岸的中国也出台了类似规定。

最近，一款Java开源工具log4j2漏洞事件，引发了人们对开源软件安全性的大讨论。

 

Log4j2是面向Java应用的开源日志组件工具，被世界各组织和企业广泛用于业务系统开发。目前，谷歌、微软、亚马逊等科技巨头都在广泛使用这一工具。

 

 

最近，这款工具被曝出严重漏洞，黑客可以利用漏洞在受影响的系统上安装恶意软件。该漏洞被认为是近年来最严重的软件安全漏洞之一，已经对大量系统造成影响。

 

目前，Log4j2 由非营利组织 Apache 软件基金会的志愿者维护。

 

 

Apache 软件基金会已经发布了修复补丁和指南，解释了如果无法下载补丁，用户如何修复漏洞。

 

尽管如此，在漏洞被披露后仅仅几天时间里，就产生了数十万次针对该漏洞的攻击。

 

这次事件无疑暴露出开源软件社区在安全维护方面的力量不足。被如此广泛使用的开源工具，其安全性仅靠志愿者维护，是不是远远不够？

 

美国政府再次出手干预。

 

 

据彭博社报道，美国白宫国家安全顾问 Jake Sullivan 已邀请数家科技企业讨论如何改善开源软件的网络安全问题。这些科技公司包括「主要大型软件公司和开发商」，也包括云服务商。

 

 

负责网络和新兴技术的美国副国家安全顾问 Anne Neuberger 将于明年 1 月与受邀科技公司的代表举行为期一天的讨论。这次讨论将涉及「负责开源项目和安全的公司高管」 。

 

据报道，Sullivan在给受邀科技公司的一封信中表示，科技高管和白宫官员之间的讨论是必要的。

他表示，目前开源软件项目非常流行，用户量巨大，但仅由社区志愿者维护，这可能会造成「国家安全问题，就像Log4j漏洞一样」。

 

实际上，美国政府在网络安全问题的重视由来已久。

 

 

今年 8 月，拜登就与亚马逊、谷歌、微软等科技巨头高管会面，专门讨论网络安全问题。会后发表的公报称，网络安全问题属于「核心国家安全挑战」。

  

 

今年 5 月，拜登政府发布行政命令，将「加强软件供应链安全」作为提升联邦政府网络安全的明确措施之一，要求政府购买的软件满足最低安全标准。

 

面对政府的要求，几家美国科技巨头承诺，在未来几年内向网络安全相关项目投资数十亿美元。

 

开源软件生态系统中的主要参与者也在采取措施改善网络安全。

Linux 基金会在10月宣布，已从二十多家科技公司和其他公司筹集了 1000 万美元，以支持一项名为开源安全基金会项目的计划。该计划是一项跨行业合作，旨在提高开源软件的安全性。

中美「同款」规定：发现漏洞，要上报政府

12月，就在Log4j漏洞曝出后不久，美国政府网络安全与基础设施安全局（CISA）出台了处理相关漏洞的指导原则。

 

 

这份文件进一步强化了政府在相关漏洞汇报链条上的优先级，明确规定，一旦发现这类网络安全威胁，应向政府信息安全主管部门和FBI报告。

 

 

这份文件是美国与英国、加拿大、澳大利亚和新西兰，即所谓「五眼联盟」国家联署的，其他几个国家也出台了类似的规定。

 

实际上，网络安全确实是重中之重，不仅是在大洋彼岸的美国，在中国同样如此。

 

在国家工业和信息化部、网信办、公安部联合下发的《网络产品安全漏洞管理规定》（以下简称《规定》）中，也明确规定了在网络安全漏洞发现之后的报告义务：要向工信部报告。

 

 

《规定》明确指出，网络产品提供者在「立即通知相关产品提供者」的同时，应当「在2日内向工业和信息化部网络安全和漏洞信息共享平台报送相关漏洞信息。」

 

此前据报道，早在11月底，阿里云开发人员就发现了Log4j2漏洞，并报告给了软件提供者Apache，但并未及时向工信部报告。

直到12月9日，工信部由安全机构报告发现漏洞，随后发布安全风险提示：

 

 

阿里云此行为明显违反了《规定》，阿里云也因此被工信部通报并处罚，被暂停工信部网络安全威胁信息共享平台合作单位6个月。

近日，阿里云公司发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。经研究，现暂停阿里云公司作为上述合作单位6个月。暂停期满后，根据阿里云公司整改情况，研究恢复其上述合作单位。

对此，阿里云回应称：

因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

对此有网友认为，阿里云此次受罚并不冤。此次事件中，阿里云的处理确实缺少了必要的「合规意识」。

对此，你怎么看？

参考资料：

https://www.zhihu.com/question/507698803

http://www.gov.cn/gongbao/content/2021/content_5641351.htm

https://siliconangle.com/2021/08/25/white-house-holds-summit-discuss-national-cybersecurity-strategy/

https://www.bloomberg.com/news/articles/2021-12-23/white-house-extends-invitation-to-improve-open-source-security