https://www.networkworld.com/article/3649003/log4j-hearing-open-source-is-not-the-problem.html#tk.rss_security
ハイテクコミュニティは、昨年末にオープンソースのApache Log4jソフトウェアで見つかった深刻な脆弱性の長期的な影響を解明しようとしています。
「12文字を入力するだけで悪用されるLog4jの弱点は、オープンソースコード、または個人が自由に利用および開発できるコードに見られるものを含む、広範なソフトウェアの脆弱性がどのように存在する可能性があるかの一例にすぎません。国家および経済の安全に対する深刻な脅威」と委員長のゲイリー・ピーターズ上院議員(D-MI)は述べた。
「一部の人が示唆しているように、オープンソースソフトウェアは失敗しなかったと私は考えています。また、Log4jの脆弱性が、オープンソースソフトウェアに固有の欠陥またはリスクの増加の証拠であると示唆するのは誤解されます」とCiscoのBradArkin氏は述べています。
「この組織の鍵であり、オープンソースのセキュリティを改善するための連邦政府の取り組みの合言葉は、ソフトウェア供給のセキュリティの構造的改善を推進するために、業界がそうではない、または世間の注目が薄れる場所にリソースを提供するというありふれた資金を提供することです。すべての開発者とメンテナにまたがるチェーン。ソフトウェアサプライチェーンとオープンソースコードのセキュリティを強化することはインフラストラクチャの問題であり、同じ長期投資モデルが適用されます。」
CiscoのArkinは、脆弱性の影響を制限し、迅速な回復と回復力を実現するために、システム内に必要な分離を作成するために、安全なアーキテクチャを実装することが重要であると述べました。
Arkinらは、Log4Shellの脆弱性を防いだかどうかに関係なく、昨年大統領命令で発行された安全なソフトウェア開発とゼロトラストネットワーク要件が従うべき重要なステップであると述べました。
Log4jヒアリング:「オープンソースは問題ではありません」、Michael Cooney
security summary
コメント