Jonathan Greig är en journalist baserad i New York City.
Fullständig bio den 13 januari 2022 | Ämne: Öppen källkod
Vita huset håller idag ett möte med Apache, Google, Apple, Amazon och andra stora tekniska organisationer för att diskutera mjukvarusäkerhet och verktyg med öppen källkod. Detta kommer i kölvattnet av Log4j-sårbarheten som har orsakat chockvågor över hela världen sedan den upptäcktes i december.
Vita husets nationella säkerhetsrådgivare Jake Sullivan bad om mötet i december, och noterade i ett brev till företagen att det var ett “nationellt säkerhetsproblem” att grundläggande programvara med öppen källkod underhålls av frivilliga.
Mötet, som leds av Vita husets cybersäkerhetsledare Anne Neuberger, inkluderar tjänstemän från företag som IBM, Microsoft Corp, Meta, Linux och Oracle samt statliga myndigheter som försvarsdepartementet och Cybersecurity and Infrastructure Security Agency (CISA).< /p>
Chris Inglis, National Cyber Director, sa på torsdagen att situationen kring Log4j “har belyst behovet av att förbättra vår mjukvarusäkerhet och transparensen i vår mjukvaruförsörjningskedja.”
Apache Software Foundation, som förvaltar Log4j och drivs av volontärer, släppte en mängd dokument inför mötet som förklarade deras ståndpunkt och deras ansträngningar för att stötta upp sårbarheten. Vissa av dokumenten erbjuder ett tyst försvar av organisationens svar på krisen och kallar Log4j “en olycklig kombination av oberoende designade funktioner inom Java-plattformen.”
Apache noterade att de har flera hundra projekt med öppen källkod och övervaka 227 miljoner rader kod.
Under en presskonferens den här veckan sa CISA-chefen Jen Easterly och CISAs verkställande biträdande chef för cybersäkerhet Eric Goldstein till reportrar att de inte har sett några “högprofilerade intrång eller attacker” relaterade till Log4J-sårbarheten utanför attacken mot det belgiska försvarsministeriet .
“Detta kan vara fallet eftersom sofistikerade motståndare redan har använt denna sårbarhet för att utnyttja mål och bara väntar på att dra nytta av sin nya åtkomst tills nätverksförsvarare är på lägre beredskap. Alla kommer ihåg Equifax-intrånget som var som avslöjades i september 2017 var ett resultat av en sårbarhet med öppen källkod som upptäcktes i mars samma år,” sa Easterly.
Easterly sa att som ett resultat av Log4j påskyndar CISA sina ansträngningar att skapa en “programvaruförteckning” (SBOM) och noterade att de nyligen anställt Allan Friedman, som tidigare lett cybersäkerhet och SBOM-insatser på handelsdepartementet. Friedman arbetar nu med att samordna SBOM-insatser inom och utanför den amerikanska regeringen.
Regering – USA | Företagsprogramvara | Linux | Utvecklare | säkerhet