美国网络安全审查委员会认为Log4j漏洞的影响将持续十年以上

7 月 14 日，美国国土安全部（DHS）发布了网络安全审查委员会（CSRB）成立后的第一份报告，该报告指出 Log4j 问题尚未终结，提出了 19 项针对政府和行业的可行建议，并已经由国土安全部部长 Alejandro N. Mayorkas 提交给拜登总统。

美国网络安全审查委员会（CSRB）是一个今年二月在美国总统乔・拜登（Joe Biden）的网络安全行政命令支持下成立的组织，该命令要求对重大网络安全事件做出全国性反应。CSRB 成立后接到的第一项任务就是审查 Java Log4j 日志库中的 Log4Shell 漏洞。

在首次审查期间，CSRB 与近 80 个组织和个人合作，收集调查有关 Log4j 事件的信息，并制定可操作的建议，以防止和更有效地应对未来的事件。该委员会的报告和建议现已在美国国土安全部网络安全和基础设施安全局（CISA）官网上发布。

Log4j 是由 Apache 维护的开源日志记录组件，在 VMware、IBM、Oracle、Cisco、SolarWinds 等产品中都有使用，存在于互联网的数亿台企业设备中。也因此其 Log4Shell 漏洞影响范围甚广，被认为是近些年最重大的网络安全漏洞。

去年漏洞披露后，CISA 迅速命令所有联邦机构尽最大努力修补 Log4J。在进行紧急大规模修补工作后，自漏洞披露以来 CISA 没有观察到任何重大入侵。但 CSRB 在进行审查后得出结论 —— 至少在十年内 Log4Shell 问题的影响不会结束。

CSRB 由来自美国联邦政府和私营部门的权威网络安全领导人组成。CSRB 没有监管权力，也不是执法机构，其目的是确定和分享经验教训，以实现国家网络安全的进步。CSRB 由国土安全部政策副部长 Robert Silvers 担任主席，谷歌安全工程副总裁 Heather Adkins 担任副主席。‍