DHSレビュー委員会はLog4jを「固有の」サイバー脅威と見なします from darkreading.com

米国国土安全保障省のCyber​​SafetyReview Board（CSRB）は、2021年12月に開示されたApache Log4jの脆弱性は、今後10年以上にわたって組織にとって重大なリスクであり続けると結論付けています。
もう1つの主要な継続的な問題、およびCSRBがレポートで強調した問題は、コンポーネントが多くの環境にどれほど深く埋め込まれている可能性があるため、脆弱なバージョンのLog4jを簡単に検出できないことが多いという事実です。
理事会は、Log4jチームにコードをレビューするセキュリティスキルを持った人がいた場合、または安全なコーディング方法のトレーニングを受けていた場合、脆弱性が2013年に検出された可能性があると判断しました。
調査員は、Log4jの脆弱性の開示に最も効果的に対応した組織は、効果的な資産およびリスク管理プロセスを実施し、企業全体の規模で迅速な行動を動員するためのリソースを持っている組織でもあることを発見しました。
しかし、そのような対応を行うことができた組織や、この規模の脆弱性に対応するために必要な速度を備えた組織はほとんどありませんでした、とCSRBは発見しました。
「Log4jのような脆弱性の導入の再発を減らすには、公的および民間セクターの利害関係者が、今後のオープンソースコミュニティをサポートできる一元化されたリソースおよびセキュリティ支援構造を作成することが不可欠です」とCSRBは述べています。