白宫在 Log4j 攻击后召开开源安全峰会

2023-06-05 19:51:06 兴义之窗


【资料图】

随着最近披露的Log4j 漏洞的影响,白宫将与美国科技巨头会面,讨论开源软件的安全性。

除了苹果、谷歌、亚马逊、Meta、IBM 和微软之外,拥有和维护 Log4j 库的 Apache 软件基金会、甲骨文、GitHub 和 Linux 开源基金会也将出席与拜登政府的会议。

出席会议的所有科技公司的高管还将与包括商务部、国防部、能源部和国土安全部在内的多个美国政府机构的代表会面。不过,网络安全和基础设施安全局 ( CISA )、美国国家标准与技术研究院和美国国家科学基金会等其他机构也将参加会议。

在给 GitHub 首席安全官TechRadar Pro的一封电子邮件中,Mike Hanely 解释了开源软件对我们日常使用的商业软件和在线服务的重要性,他说:

“开源软件是我们日常使用的绝大多数软件的基础——仅仅一两行易受攻击的代码就可以对依赖它的数十亿开发人员和服务产生全球连锁反应。作为全球最大的开发者平台,GitHub 认真对待这些风险,并理解其支持我们平台上数百万开发者保护开源的责任。解决软件供应链安全问题是一项团队运动。通过与政府、学术界、开发人员和其他组织的合作,我们可以共同对软件安全的未来产生重大影响,而今天的讨论是共同保护世界代码的重要一步。”

一个关键的国家安全问题

早在去年 12 月,白宫国家安全顾问 Jake Sullivan 就在 Apache 流行的 Java 日志框架 Log4j 中发现了Log4Shell漏洞后,致信美国科技公司的 CEO。

沙利文在信中说,开源软件的安全性是一个“关键的国家安全问题”,因为它被广泛使用并由志愿者维护。因此,开源软件中的漏洞可能会影响其他产品和项目的负载,正如 2014 年 OpenSSL 中的Heartbleed 缺陷所证明的那样,当时人们认为每三台服务器中就有两台使用了该漏洞。

最近,一位心怀不满的开发人员破坏了 GitHub 上两个广泛使用的开源库,从而取消了数千个开源项目。开发人员引用了这样一个事实,即他不再想为赚取数百万美元的商业公司创建免费代码作为他采取行动的原因。

在接下来的几天里,我们可能会从参加会议的每一家公司以及白宫那里听到更多关于其提高开源项目和软件安全性的计划。

上一篇 : 天天看点:高考期间,青岛公交出行指南来了!考生请查收

下一篇 : 最后一页

x

相关推荐

精彩推送