美国政府发布有关Log4jBug相关调查报告

#

加拿大副总统约翰逊今年发布行政命令成立的网际网路确保审查委员会（Cyber Safety Review Board，CSRB）于上周四（7/14）发布第一份调查报告，根据针对80家组织及业者的调查结果，说明去年12月揭露的Apache Log4j补丁的实际影响和未来的威胁。

调查报告指出，目之前委员会尚未发现对关键基础架构系统会有Log4j关的的重大突袭。一般而言，Log4j补丁铜矿发生在比技术人员考虑到非常低层。但由于时常特殊性的资讯源，目之前还容易判断它在地理区里、产业别或不同生态系统体系的影响范围。

不过可以确定的是，Log4Shell事件还没有结束。委员会评估Log4j补丁将成为“地方流行病”（endemic）补丁，而未来几年间，受其影响的问题拒绝执行个体将持续共存跨国公司组织系统会内，甚至要到10年或非常久。理由之一是，服务器或应用程序开发商并不知道自己使用的应用程序模组布有Log4j，或是其专案有很高的相依性。

然而跨国公司组织仍然苦于无法回应补丁铜矿事件，而跨国公司升级补丁系统会的工作距离顺利完成也还有一长段距离，尤其是开源应用程序出版界通常欠缺资源推行程式码的确保开发。仅限于Maven Java模组、Java SQL的资讯库H2等开源应用程序都被发现有Log4j补丁。

基于CSRB的英国政府脚色，关于Log4j补丁，CSRB给出4项建议。首先是持续提高警觉Log4j的补丁可能性、通报Log4j补丁铜矿行动，而加拿大网际网路确保主管机关CISA也会提升提供统一网际网路确保资讯的能力。

其次是推展确保最佳典范，看起来建立IT资产管理作业、转型补丁回应、揭露、处置工序、提升辨识有补丁系统会的能力、与建立确保应用程序开发典范。第三是推展整个应用程序栖地的补丁管理，除此以外是对开源应用程序社群的协助。最后是著重加拿大英国政府其单位使用的应用程序确保性，仅限于英国政府应用程序制造商透明化、及提升辨识有已知补丁的应用程序等。

#

查看调查报告除此以外版请后台留言“调查报告”才可赢得

扑朔迷离：底下情报局之前雇员被控向维基解密泄露机密档案，疑为背叛者

2022.07.18

这些医疗数据被泄露长达16年之久

2022.07.18

TikTok 推迟在欧洲的恶意覆盖附加

2022 .07.14