Jonathan Greig er journalist baseret i New York City.
Fuld bio den 13. januar 2022 | Emne: Open Source
Det Hvide Hus holder i dag et møde med Apache, Google, Apple, Amazon og andre store teknologiske organisationer for at diskutere softwaresikkerhed og open source-værktøjer. Dette kommer i kølvandet på Log4j-sårbarheden, der har forårsaget chokbølger over hele verden, siden den blev opdaget i december.
Det Hvide Hus nationale sikkerhedsrådgiver Jake Sullivan bad om mødet i december og bemærkede i et brev til virksomhederne, at det var et “nationalt sikkerhedsproblem”, at grundlæggende open source-software vedligeholdes af frivillige.
Mødet, ledet af cybersikkerhedslederen i Det Hvide Hus, Anne Neuberger, omfatter embedsmænd fra virksomheder som IBM, Microsoft Corp, Meta, Linux og Oracle samt regeringsorganer som Forsvarsministeriet og Cybersecurity and Infrastructure Security Agency (CISA).< /p>
Chris Inglis, National Cyber Director, sagde torsdag, at situationen omkring Log4j “har fremhævet behovet for at forbedre vores softwaresikkerhed og gennemsigtigheden af vores softwareforsyningskæde.”
Apache Software Foundation, som administrerer Log4j og drives af frivillige, udgav en række dokumenter forud for mødet, der forklarer deres holdning og deres indsats for at styrke sårbarheden. Nogle af dokumenterne tilbyder et stiltiende forsvar for organisationens reaktion på krisen og kalder Log4j “en uheldig kombination af uafhængigt designede funktioner inden for Java-platformen.”
Apache bemærkede, at de har flere hundrede open source-projekter og overvåge 227 millioner linjer kode.
Under en pressekonference i denne uge fortalte CISA-direktør Jen Easterly og CISAs administrerende assisterende direktør for cybersikkerhed Eric Goldstein journalister, at de ikke har set nogen “højprofilerede brud eller angreb” relateret til Log4J-sårbarheden uden for angrebet på det belgiske forsvarsministerium .
“Dette kan være tilfældet, fordi sofistikerede modstandere allerede har brugt denne sårbarhed til at udnytte mål og bare venter på at udnytte deres nye adgang, indtil netværksforsvarere er i lavere alarmberedskab. Alle husker det Equifax-brud som var afsløret i september 2017 var et resultat af en open source-softwaresårbarhed opdaget i marts samme år,” sagde Easterly.
Easterly sagde, at som et resultat af Log4j fremskynder CISA sine bestræbelser på at skabe en “software bill of materials” (SBOM) og bemærkede, at de for nylig har ansat Allan Friedman, som tidligere har ledet cybersikkerhed og SBOM-indsatsen hos handelsafdelingen. Friedman arbejder nu på at koordinere SBOM-indsatsen i og uden for den amerikanske regering.
Regering – USA | Enterprise Software | Linux | Udvikler | Sikkerhed