美國網路安全審查委員會(Cyber Safety Review Board, CSRB)由國防與情報單位、Google、Microsoft及多家資安廠商之代表組成，7月14日發布長達40頁之報告，說明Log4j漏洞已成為「流行性感冒」，對於企業與組織之影響可能會超過10年以上。

該報告重點為Log4j漏洞已遍布於全世界網路，且無法完全抑制。Log4j為2012年以來常用之Java日誌記錄軟體工具，並內嵌於數百萬個套件內，其漏洞首次發現於2021年12月，雖已透過簡單更新進行修補，惟無法更新所有已安裝之軟體，一旦駭客發現漏洞，即可發送簡易之程式碼進行攻擊。好消息為至目前為止，尚未有利用Log4j漏洞成功攻擊關鍵基礎設施之案例。

網路安全審查委員會於報告提出4大建議，首先是解決Log4j漏洞之持續性風險，提高警覺並隨時通報漏洞；其次為推動資安最佳實作，如採用業界最新標準、建立IT資產管理及完善漏洞回報機制等；第三為建立更好之軟體生態系，如培訓開發人員進行安全軟體開發，或維護開源軟體與增加其安全性等；最後建議未來設立網路安全通報系統或軟體安全評估風險中心，甚至由政府統籌工作小組負責加強已知漏洞之確認。
 

https://www.cpomagazine.com/cyber-security/new-cyber-safety-review-board-report-log4j-vulnerability-is-endemic-expect-it-to-be-exploited-into-the-2030s/
https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf