Jonathan Greig er en journalist basert i New York City.
Full Bio 13. januar 2022 | Emne: Åpen kildekode
Det hvite hus holder i dag et møte med Apache, Google, Apple, Amazon og andre store teknologiorganisasjoner for å diskutere programvaresikkerhet og åpen kildekode-verktøy. Dette kommer i kjølvannet av Log4j-sårbarheten som har forårsaket sjokkbølger over hele verden siden den ble oppdaget i desember.
Nasjonal sikkerhetsrådgiver i Det hvite hus, Jake Sullivan, ba om møtet i desember, og bemerket i et brev til selskapene at det var et “nasjonalt sikkerhetsproblem” at grunnleggende åpen kildekode-programvare vedlikeholdes av frivillige.
Møtet, ledet av cybersikkerhetsleder Anne Neuberger i Det hvite hus, inkluderer tjenestemenn fra selskaper som IBM, Microsoft Corp, Meta, Linux og Oracle, samt offentlige etater som forsvarsdepartementet og Cybersecurity and Infrastructure Security Agency (CISA).< /p>
Chris Inglis, National Cyber Director, sa torsdag at situasjonen rundt Log4j “har fremhevet behovet for å forbedre programvaresikkerheten vår og åpenheten i programvareforsyningskjeden vår.”
Apache Software Foundation, som administrerer Log4j og drives av frivillige, ga ut en mengde dokumenter i forkant av møtet som forklarer deres holdning og deres innsats for å støtte opp sårbarheten. Noen av dokumentene gir et stilltiende forsvar for organisasjonens respons på krisen, og kaller Log4j “en uheldig kombinasjon av uavhengig utformede funksjoner innenfor Java-plattformen.”
Apache bemerket at de har flere hundre åpen kildekode-prosjekter og overvåke 227 millioner linjer med kode.
Under en pressekonferanse denne uken fortalte CISA-direktør Jen Easterly og CISAs administrerende assisterende direktør for cybersikkerhet Eric Goldstein til journalister at de ikke har sett noen “høyprofilerte brudd eller angrep” relatert til Log4J-sårbarheten utenfor angrepet på det belgiske forsvarsdepartementet .
“Dette kan være tilfelle fordi sofistikerte motstandere allerede har brukt denne sårbarheten til å utnytte mål og bare venter på å utnytte den nye tilgangen sin til nettverksforsvarere er på et lavere varsel. Alle husker Equifax-bruddet som var som ble avslørt i september 2017, var et resultat av en sårbarhet med åpen kildekode som ble oppdaget i mars samme år,” sa Easterly.
Easterly sa at som et resultat av Log4j akselererer CISA sin innsats for å lage en “software bill of materials” (SBOM) og bemerket at de nylig ansatt Allan Friedman, som tidligere ledet cybersikkerhet og SBOM-arbeid på handelsavdelingen. Friedman jobber nå med å koordinere SBOM-innsatsen i og utenfor den amerikanske regjeringen.
Regjeringen – USA | Enterprise Software | Linux | Utvikler | Sikkerhet