近日，一起Java开源工具漏洞事件引发了一场关于开源软件安全性的大讨论。

它是Java应用程序的开源日志组件工具，被世界各地的组织和企业广泛用于业务系统开发。目前，谷歌、微软、亚马逊等科技巨头都在广泛使用该工具。

最近，该工具暴露了一个严重漏洞，黑客可以利用该漏洞在受影响的系统上安装恶意软件。该漏洞被认为是近年来最严重的软件安全漏洞之一，已经影响了大量系统。

目前，它由非营利性 软件 基金会的志愿者维护。

软件 基金会已发布修复和指南，说明如果无法使用 下载 补丁，用户如何修复漏洞。

尽管如此，在漏洞被披露后的短短几天内，就产生了数十万次针对该漏洞的攻击。

这一事件无疑暴露了开源软件社区在安全维护方面的不足。仅靠志愿者来维护如此广泛使用的开源工具的安全性还不够吗？

美国政府再次介入。

据彭博社报道，白宫国家安全顾问杰克已邀请多家科技公司讨论如何提高开源软件 的网络安全。这些科技公司包括“大型软件 公司和开发商”以及云服务提供商。

美国负责网络和新兴技术的国家安全副顾问安妮将于 1 月与受邀科技公司的代表进行为期一天的讨论。讨论将涉及“负责开源项目和安全的公司高管”。

根据致受邀科技公司的一封信中的报道，科技高管和白宫官员之间的讨论是必要的。

他表示，开源软件项目目前非常火爆，用户数量庞大，但仅由社区志愿者维护，可能会引发“国家安全问题，比如Log4j漏洞”。

事实上，美国政府长期以来一直关注网络安全问题。

今年8月软件科技下载软件科技下载，拜登与亚马逊、谷歌、微软等科技巨头的高管会面，讨论网络安全问题。会后发表的公报将网络安全问题称为“核心国家安全挑战”。

今年5月，拜登政府发布了一项行政命令，其中将“加强软件供应链安全”作为改善联邦政府网络安全的明确措施之一，要求政府购买的软件 软件 符合最低安全标准。

面对政府的要求，几家美国科技巨头已承诺在未来几年内投资数十亿美元用于网络安全相关项目。

开源软件 生态系统的主要参与者也在采取措施提高网络安全。

Linux 基金会在 10 月宣布，它已从 20 多家科技公司和其他公司筹集了 1000 万美元，以支持一项名为“开源安全基金会项目”的计划。这一举措是一项跨行业合作，旨在提高开源 软件 的安全性。

中美“同款”规定：如发现漏洞，须向政府报告

12 月，在 Log4j 漏洞曝光后不久，美国政府的网络安全和基础设施安全局 (CISA) 发布了处理相关漏洞的指南。

该文件进一步强化了政府在相关漏洞报告链中的优先级，并明确规定一旦发现此类网络安全威胁，应向政府信息安全部门和FBI报告。

该文件由美国与英国、加拿大、澳大利亚和新西兰等所谓的“五眼”国家共同签署，其他几个国家也出台了类似规定。

事实上，网络安全确实是重中之重，不仅在大洋彼岸的美国，在中国也是如此。

在中华人民共和国工业和信息化部、国家互联网信息办公室、国家信息化部联合发布的《网络产品安全漏洞管理规定》（以下简称《规定》）中公安部，还明确规定发现网络安全漏洞后的报告义务：向工信部报告。

《规定》明确规定，在“立即通知相关产品提供者”的同时，网络产品提供者应当“在2日内向工信部网络安全和漏洞信息共享平台报告相关漏洞信息”。

此前有报道称，早在 11 月底，阿里云开发者就发现了该漏洞并上报给了软件提供商，但并未及时上报工信部。

直到12月9日，工信部被安全机构上报发现漏洞，随后发布安全风险预警：

阿里云的行为明显违反了《规定》，阿里云因此被工信部通报处罚，暂停工信部网络安全威胁信息共享平台合作单位6个月.

近日，阿里云在发现()组件存在严重安全漏洞后，未能及时向电信主管部门报告，未能有效支持工信部开展网络安全威胁和漏洞管理。经研究，阿里云现作为上述合作单位暂停6个月。停工期满后，根据阿里云整改情况，研究恢复上述合作单位。

对此，阿里云回应：

由于早期没有意识到漏洞的严重性，漏洞信息没有及时共享。阿里云将加强漏洞管理，增强合规意识，积极配合各方防范网络安全风险。

对此，有网友认为，阿里云这次的处罚并没有错。在这起事件中，阿里云的处理确实缺乏必要的“合规意识”。

你怎么看呢？

参考：