تراهن الولايات المتحدة على تحسين جودة وأمن المصادر المفتوحة
الكثير أعضاء مجلس الشيوخ الأمريكي جاري بيترز وروب بورتمان ، رئيس مجلس الإدارة والعضو الأول في لجنة الأمن الداخلي والشؤون الحكومية ، قدم تشريع من الحزبين إلى حماية الأنظمة الفيدرالية والبنية التحتية الحيوية من خلال تعزيز أمن البرمجيات الحرة.
مع قانون أمن المصدر المفتوح (قانون تأمين البرمجيات مفتوحة المصدر) سيتم توجيه CISA لتطوير إطار المخاطر لتقييم كيفية استخدام الحكومة الفيدرالية للبرامج مفتوحة المصدر ، فإنه سيقيم أيضًا كيف يمكن استخدام إطار العمل نفسه طواعية من قبل مالكي ومشغلي البنية التحتية الحيوية.
سيحدد هذا طرق التخفيف من المخاطر على الأنظمة التي تستخدم برمجيات مفتوحة المصدر. تشريع كما أنه يجبر CISA على توظيف محترفين من ذوي الخبرة في تطوير البرمجيات مفتوحة المصدر للتأكد من أن الحكومة والمجتمع يعملان جنبًا إلى جنب وأنهما على استعداد لمواجهة حوادث مثل ضعف Log4j. بالإضافة إلى ذلك ، يتطلب التشريع من مكتب الإدارة والميزانية (OMB) تقديم إرشادات للوكالات الفيدرالية بشأن الاستخدام الآمن للبرامج مفتوحة المصدر وإنشاء لجنة فرعية معنية بأمن البرمجيات في اللجنة الاستشارية للأمن السيبراني.
التشريع يتبع جلسة الاستماع استضافته بيترز وبورتمان حول حادثة Log4j في وقت سابق من هذا العام ، وسيتطلب الأمر من وكالة الأمن السيبراني وأمن البنية التحتية (CISA) التأكد من أن الحكومة الفيدرالية والبنية التحتية الحيوية وغيرها تستخدم البرمجيات الحرة بأمان.
وهو أن ثغرة Log4j أثرت على الملايين من أجهزة الكمبيوتر حول العالم ، بما في ذلك البنية التحتية الحيوية والأنظمة الفيدرالية. وقد أدى ذلك إلى قيام خبراء الأمن السيبراني بالتحدث علنًا عن واحدة من أخطر نقاط ضعف الأمن السيبراني وانتشارها على الإطلاق.
قال فريق Google مفتوح المصدر إنه قام بتحليل Maven Central ، أكبر مستودع لحزم Java ، ووجد أن 35,863 حزمة Java تستخدم إصدارات ضعيفة من مكتبة Apache Log4j. يتضمن ذلك حزم Java التي تستخدم إصدارات Log4j المعرضة لاستغلال Log4Shell الأصلي (CVE-2021-44228) وثاني خطأ في تنفيذ التعليمات البرمجية عن بُعد تم اكتشافه في التصحيح Log4Shell (CVE-2021-45046). وقد وصفت Tenable الثغرة بأنها "أكبر نقاط الضعف وأكثرها خطورة في العقد الماضي".
"البرمجيات الحرة هي أساس العالم الرقمي وقد أظهرت ثغرة Log4j مدى اعتمادنا عليها. قال السيناتور بيترز: "لقد شكل هذا الحادث تهديدًا خطيرًا للأنظمة الفيدرالية وشركات البنية التحتية الحيوية ، بما في ذلك البنوك والمستشفيات والمرافق ، التي يعتمد عليها الأمريكيون يوميًا للحصول على الخدمات الأساسية". "سيساعد هذا التشريع المنطقي من الحزبين على حماية البرمجيات الحرة وتعزيز دفاعات الأمن السيبراني لدينا ضد مجرمي الإنترنت والخصوم الأجانب الذين يشنون هجمات لا هوادة فيها على الشبكات في جميع أنحاء البلاد. »
قال السيناتور بورتمان: "كما رأينا مع ثغرة log4shell ، فإن أجهزة الكمبيوتر والهواتف والمواقع التي نستخدمها كل يوم تحتوي على برامج مفتوحة المصدر معرضة للهجمات الإلكترونية". "سيضمن قانون أمن البرمجيات مفتوح المصدر الصادر من الحزبين أن حكومة الولايات المتحدة تتوقع وتقلل من نقاط الضعف الأمنية في البرامج مفتوحة المصدر لحماية البيانات الأكثر حساسية للأمريكيين. »
يذكر أعضاء مجلس الشيوخ ذلك له وزن كبير ، وهو الوزن الذي تتمتع به الغالبية العظمى من أجهزة الكمبيوتر في العالم بطريقة أو بأخرى برامج مفتوحة المصدر ، بالإضافة إلى أنه ذكر أن الحكومة الفيدرالية ، وهي واحدة من أكبر مستخدمي البرمجيات الحرة في العالم، يجب أن تكون قادرة على إدارة المخاطر الخاصة بها والمساهمة في أمن البرمجيات الحرة في القطاع الخاص وبقية القطاع العام.
بالإضافة إلى ذلك ، يتطلب التشريع من مكتب الإدارة والميزانية إصدار إرشادات للوكالات الفيدرالية بشأن الاستخدام الآمن للبرمجيات الحرة وإنشاء لجنة فرعية لأمن البرمجيات داخل اللجنة الاستشارية للأمن السيبراني التابعة لـ CISA.
قاد بيترز وبورتمان العديد من الجهود لتعزيز الأمن السيبراني لبلدنا. تم توقيع قانونها التاريخي المشترك بين الحزبين ، والذي يتطلب من مالكي ومشغلي البنية التحتية الحيوية تقديم تقرير إلى CISA إذا تعرضوا لهجوم إلكتروني كبير أو قاموا بدفع رسوم الفدية.
كما تم التوقيع على تشريعات من قبل أعضاء مجلس الشيوخ لتعزيز الأمن السيبراني لحكومات الولايات والحكومات المحلية لتصبح قانونًا. وتجدر الإشارة أيضًا إلى أن فواتير بيترز وبورتمان لحماية الشبكات الفيدرالية والتأكد من أن الحكومة يمكنها اعتماد التكنولوجيا السحابية بأمان أيضًا تم تمريرها بالإجماع في مجلس الشيوخ.
أخيرا إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك التشاور التفاصيل في الرابط التالي.