一系列漏洞的披露在log4j导致许多疯狂的周网络安全研究人员和后卫试图阻止攻击。摘要斜方建议的行动来解决的挑战我们称之为“流行漏洞。”
最近披露的一系列漏洞在log4j,及其随后的广泛开发,导致许多疯狂的周网络安全研究人员利用这个漏洞和后卫试图阻止攻击。一个因素导致的大小利用log4j库的影响程度已被纳入许多软件产品和项目,这意味着许多软件产品是脆弱的。影响产品的数量,加上在应用补丁的挑战,意味着log4j脆弱性(称为log4shell)仍将在全球软件生态系统很长一段时间。
我们使用“流行脆弱性”来描述这种情况,一个漏洞不断被发现和利用全球互联网后新旧软件产品长时间内识别和补丁可用。在软件开发社区利益相关者,科技行业,政府必须采取行动处理和操作在互联网特有的风险。
开源软件背后许多日常技术产品,我们依靠和理所当然的,经常是一种微妙的方式或无形的给用户。开源软件图书馆是用在许多地方:以营利为目的的企业商业销售硬件组件,软件和服务,以及内部,定制开发的软件由政府和企业使用。虽然这加速创新,这些库中的任何漏洞创造条件为流行的漏洞造成的长期风险。
摘要斜方推荐以下行动解决特有的挑战弱点:
- 美国政府应该识别和提供资源来改善至关重要的开源软件技术通过授予访问程序,关注安全与开源软件项目的协作和合作。
- 软件行业和公司采购基于软件的解决方案应采取软件材料清单等技术提高透明度的软件库他们的产品使用和依赖。这允许开发人员和用户更快速识别和应对漏洞
在潜在的软件组件。 - 它的企业应该加强他们的网络分层防御,并采用一种“假设违约”的心态。这些行动应该包括海外网络过滤、微营销策略来源于零信任体系结构,提高监控和锻炼的脆弱性和事件响应程序。
虽然这些步骤不会消除特有的存在漏洞的软件生态系统,他们将有助于减少这种漏洞,帮助企业在他们面前更安全地运行。