重磅消息：Apache软件基金会关于Log4Shell漏洞问题的官方说明与反思

vlambda
2022-02-22

重磅消息：Apache软件基金会关于Log4Shell漏洞问题的官方说明与反思

| 转载自：开源雨林

| 编辑：王玥敏

| 设计：王福政

基金会在2022年2月8日参议院委员会关于国土安全和政府事务的听证会上发表的声明

Apache 软件基金会执行长David Nalley致开幕词

Peters主席、波特曼高级成员和尊敬的委员会成员：感谢你们邀请我出席今天上午的会议。

我是David Nalley，现任Apache软件基金会（ASF）执行长。ASF成立于1999年，是一个非营利性公益慈善机构，旨在促进开源软件的开发。由于其独创性和我们程序员社区的相互协作，ASF已发展成为世界上最大的开源组织之一。如今，全球有超过650，000名贡献者为ASF旗下的350多个项目做出了贡献，这些项目包含超过2.37亿行代码。

开源不仅仅是软件行业的重要组成部分，也是现代全球经济的基础之一。无论人们是否意识到这一点，大多数企业，个人，非营利组织或政府机构都依赖于开源;它是美国数字基础设施不可或缺的一部分。

开源开发的项目，如Log4j，倾向于解决许多人遇到的问题，本质上是解决这些问题的可重用构建块。这可以实现更快的创新，因为它解决了每个公司或开发人员为已经解决的问题重新实现软件的重复劳动问题。这种效率使程序员能够站在巨人的肩膀上。ASF提供了一个供应商中立的环境，让感兴趣的程序员（经常属于相互直接竞争的对手公司）能够以透明，开放的合作方式共同完成这些共同的工作。

这就是开源软件的本质：杰出的个人贡献他们的时间和专业知识来做解决问题的平凡工作 --许多人的目的是将结果纳入雇主的产品中。这就是为什么我把我的职业生涯奉献给了开源。

Log4j 是由Apache于2001年首次发布，它就是开源合作的产物。它执行一组特定的功能，例如记录计算机的操作事件，因此它被用于存储管理软件、软件开发工具、虚拟化软件和（最著名的）Minecraft视频游戏等各种产品中。随着Log4j多年来不断成长，其功能列表也随之增长。log4shell 漏洞的代码是在log 4j的2013年版本发布的，内嵌到java的程序的函数库，以这种组合的方式暴露了这个安全缺陷。

该漏洞在潜伏多年之后，于2021年11月下旬报告给Apache的Log4j团队。Apache Logging项目和Apache的安全团队立即开始着手解决代码中的漏洞。完整的解决方案在大约两周后发布。鉴于Log4j的使用几乎无处不在，可能需要数月甚至数年才能消除此漏洞的所有已部署实例。作为一名软件专业人士，我为日志记录项目和 ASF 的安全团队（以及 ASF 项目中的许多其他团队）在去年秋天的响应和补救措施感到自豪。我们迅速采取行动，并按照多年来响应与支持各类开源项目的做法。我们将继续开发我们的项目，以应对和预防安全漏洞。

此外，软件行业的每个利益相关者（包括联邦政府等最大的客户）都应该投资于软件供应链安全。虽然像“软件物料清单”（SBOM）这样的想法不能防止漏洞出现，但它们可以通过加速识别潜在易受攻击的软件来减轻影响。但是，如何快速更新到最安全、最新版本仍然是软件行业的一个重大问题。

现实情况是，只要人类编写软件，就会继续存在错误，尽管尽了最大努力，其中一些仍将包含安全漏洞。随着我们变得更加互联和数字化，漏洞和潜在后果的数量可能还会增加。没有简单的软件安全解决方案，它需要纵深防御，将上游开发纳入开源项目，整合这些项目的供应商以及在自定义应用程序中使用该软件的开发人员，甚至部署这些应用程序以提供对其用户重要的服务的组织。

我认为，软件开发人员、开源社区和联邦政策制定者不应该回避这种风险，而应该以高度的决心和警惕性来共同直面这一风险。

再次感谢你们，我期待着回答你们可能提出来的任何问题。