近日，一起Java開源工具漏洞事件引發(fā)了一場關(guān)于開源軟件安全性的大討論。

它是Java應(yīng)用程序的開源日志組件工具，被世界各地的組織和企業(yè)廣泛用于業(yè)務(wù)系統(tǒng)開發(fā)。目前，谷歌、微軟、亞馬遜等科技巨頭都在廣泛使用該工具。

最近，該工具暴露了一個嚴重漏洞，黑客可以利用該漏洞在受影響的系統(tǒng)上安裝惡意軟件。該漏洞被認為是近年來最嚴重的軟件安全漏洞之一，已經(jīng)影響了大量系統(tǒng)。

目前，它由非營利性 軟件 基金會的志愿者維護。

軟件 基金會已發(fā)布修復(fù)和指南，說明如果無法使用 下載 補丁，用戶如何修復(fù)漏洞。

盡管如此，在漏洞被披露后的短短幾天內(nèi)，就產(chǎn)生了數(shù)十萬次針對該漏洞的攻擊。

這一事件無疑暴露了開源軟件社區(qū)在安全維護方面的不足。僅靠志愿者來維護如此廣泛使用的開源工具的安全性還不夠嗎？

美國政府再次介入。

據(jù)彭博社報道，白宮國家安全顧問杰克已邀請多家科技公司討論如何提高開源軟件 的網(wǎng)絡(luò)安全。這些科技公司包括“大型軟件 公司和開發(fā)商”以及云服務(wù)提供商。

美國負責(zé)網(wǎng)絡(luò)和新興技術(shù)的國家安全副顧問安妮將于 1 月與受邀科技公司的代表進行為期一天的討論。討論將涉及“負責(zé)開源項目和安全的公司高管”。

根據(jù)致受邀科技公司的一封信中的報道，科技高管和白宮官員之間的討論是必要的。

他表示，開源軟件項目目前非?；鸨?，用戶數(shù)量龐大，但僅由社區(qū)志愿者維護，可能會引發(fā)“國家安全問題，比如Log4j漏洞”。

事實上，美國政府長期以來一直關(guān)注網(wǎng)絡(luò)安全問題。

今年8月軟件科技下載軟件科技下載，拜登與亞馬遜、谷歌、微軟等科技巨頭的高管會面，討論網(wǎng)絡(luò)安全問題。會后發(fā)表的公報將網(wǎng)絡(luò)安全問題稱為“核心國家安全挑戰(zhàn)”。

今年5月，拜登政府發(fā)布了一項行政命令，其中將“加強軟件供應(yīng)鏈安全”作為改善聯(lián)邦政府網(wǎng)絡(luò)安全的明確措施之一，要求政府購買的軟件 軟件 符合最低安全標(biāo)準(zhǔn)。

面對政府的要求，幾家美國科技巨頭已承諾在未來幾年內(nèi)投資數(shù)十億美元用于網(wǎng)絡(luò)安全相關(guān)項目。

開源軟件 生態(tài)系統(tǒng)的主要參與者也在采取措施提高網(wǎng)絡(luò)安全。

Linux 基金會在 10 月宣布，它已從 20 多家科技公司和其他公司籌集了 1000 萬美元，以支持一項名為“開源安全基金會項目”的計劃。這一舉措是一項跨行業(yè)合作，旨在提高開源 軟件 的安全性。

中美“同款”規(guī)定：如發(fā)現(xiàn)漏洞，須向政府報告

12 月，在 Log4j 漏洞曝光后不久，美國政府的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 發(fā)布了處理相關(guān)漏洞的指南。

該文件進一步強化了政府在相關(guān)漏洞報告鏈中的優(yōu)先級，并明確規(guī)定一旦發(fā)現(xiàn)此類網(wǎng)絡(luò)安全威脅，應(yīng)向政府信息安全部門和FBI報告。

該文件由美國與英國、加拿大、澳大利亞和新西蘭等所謂的“五眼”國家共同簽署，其他幾個國家也出臺了類似規(guī)定。

事實上，網(wǎng)絡(luò)安全確實是重中之重，不僅在大洋彼岸的美國，在中國也是如此。

在中華人民共和國工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、國家信息化部聯(lián)合發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》（以下簡稱《規(guī)定》）中公安部，還明確規(guī)定發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞后的報告義務(wù)：向工信部報告。

《規(guī)定》明確規(guī)定，在“立即通知相關(guān)產(chǎn)品提供者”的同時，網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)“在2日內(nèi)向工信部網(wǎng)絡(luò)安全和漏洞信息共享平臺報告相關(guān)漏洞信息”。

此前有報道稱，早在 11 月底，阿里云開發(fā)者就發(fā)現(xiàn)了該漏洞并上報給了軟件提供商，但并未及時上報工信部。

直到12月9日，工信部被安全機構(gòu)上報發(fā)現(xiàn)漏洞，隨后發(fā)布安全風(fēng)險預(yù)警：

阿里云的行為明顯違反了《規(guī)定》，阿里云因此被工信部通報處罰，暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月.

近日，阿里云在發(fā)現(xiàn)()組件存在嚴重安全漏洞后，未能及時向電信主管部門報告，未能有效支持工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究，阿里云現(xiàn)作為上述合作單位暫停6個月。停工期滿后，根據(jù)阿里云整改情況，研究恢復(fù)上述合作單位。

對此，阿里云回應(yīng)：

由于早期沒有意識到漏洞的嚴重性，漏洞信息沒有及時共享。阿里云將加強漏洞管理，增強合規(guī)意識，積極配合各方防范網(wǎng)絡(luò)安全風(fēng)險。

對此，有網(wǎng)友認為，阿里云這次的處罰并沒有錯。在這起事件中，阿里云的處理確實缺乏必要的“合規(guī)意識”。

你怎么看呢？

參考：