官员们强调了维护软件材料清单对于标记“Log4j”漏洞的重要性。

网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency，CISA）已将一个常见软件库中发现的严重漏洞添加到其已知漏洞列表中，并将在圣诞节前进行补救。

该漏洞影响到log4j，这是Apache提供的一种日志服务，用于商业和定制软件应用程序。这种漏洞允许攻击者在受影响的设备上远程执行代码，研究人员担心，未经授权的加密挖掘和僵尸网络扩展只是恶意参与者如何使用它的开始。

CISA于周五将该漏洞以及其他12个漏洞添加到其已知漏洞目录中。log4j漏洞在严重性等级上为百分之百，必须在12月24日前根据CISA创建并首次发布目录的约束性操作指令进行补救。

CISA主管延·东利在周六强调log4j漏洞的新闻稿中表示：“我们正在采取紧急行动，推动该漏洞的缓解，并检测任何相关的威胁活动。”。“我们已将此漏洞添加到已知已利用漏洞的目录中，这迫使联邦民事机构，向非联邦合作伙伴发出信号，进行紧急修补或补救此漏洞。我们正在主动联系网络可能易受攻击的实体，并利用我们的扫描和入侵检测功能帮助政府和行业合作伙伴识别漏洞暴露或利用漏洞的工具。”

东利指出，最终用户在某种程度上仍将任由其供应商摆布，并强调该机构通过联合网络防御协作与私营部门合作的努力，其中包括云计算和其他互联网及网络安全服务提供商的参与。

东利说：“最终用户将依赖其供应商，供应商社区必须立即识别、缓解和修补使用此软件的各种产品。供应商还应与其客户沟通，以确保最终用户知道其产品包含此漏洞，并应优先考虑软件更新。”。“联合网络防御协作计划旨在管理此类风险。我们已经成立了一个联合网络防御协作计划高级领导小组，以协调集体行动，确保共同了解这种漏洞和威胁活动的普遍性。”

东利和国家安全局网络安全主管罗布·乔伊斯都利用这种情况强调了维护产品软件材料清单的重要性，无论这些产品是购买的还是内部制造的。

乔伊斯周五在推特上写道：“由于软件框架中广泛存在log4j漏洞，甚至包括NSA的GHIDRA，因此log4j漏洞是一个重大的攻击威胁。”。“这是一个案例研究，说明了为什么软件物料清单（SBOM）概念对于理解风险非常重要。”（国家工业信息安全发展研究中心 张昇）