САЩ залагат на подобряване на качеството и сигурността на отворения код
Лос американски сенатори Гари Питърс и Роб Портман, председател и старши член на комисията по вътрешна сигурност и правителствени въпроси, въведе двупартийно законодателство за защита на федералните системи и критичната инфраструктура чрез укрепване на сигурността на безплатния софтуер.
Със закона за сигурността на отворения код (Закон за защита на софтуера с отворен код) CISA ще бъде насочено към разработване на рамка за риска за да оцени как федералното правителство използва софтуер с отворен код, то също така ще оцени как същата рамка може да се използва доброволно от собствениците и операторите на критична инфраструктура.
Това ще идентифицира начини за намаляване на рисковете на системи, използващи софтуер с отворен код. законодателство също така принуждава CISA да наема професионалисти с опит в разработването на софтуер с отворен код за да се гарантира, че правителството и общността работят ръка за ръка и са готови да се справят с инциденти като уязвимостта на Log4j. Освен това законодателството изисква Службата за управление и бюджет (OMB) да предоставя насоки на федералните агенции относно безопасното използване на софтуер с отворен код и създава подкомитет по сигурността на софтуера в Консултативния комитет по киберсигурност на CISA.
Законодателството следва изслушване с домакин Питърс и Портман относно инцидента с Log4j по-рано тази година и ще изисква Агенцията за киберсигурност и сигурност на инфраструктурата (CISA) да гарантира, че федералното правителство, критичната инфраструктура и други използват безопасно безплатния софтуер.
И това е, че уязвимостта на Log4j е засегнала милиони на компютри по света, включително критична инфраструктура и федерални системи. Това накара водещи експерти по киберсигурност да говорят за една от най-сериозните и широко разпространени уязвимости в киберсигурността, виждани някога.
Екипът с отворен код на Google заяви, че е анализирал Maven Central, най-голямото хранилище на Java пакети, и е открил, че 35,863 4 Java пакета използват уязвими версии на библиотеката Apache Log4j. Това включва Java пакети, които използват версии на Log4j, уязвими към оригиналния експлойт на Log2021Shell (CVE-44228-4) и втори бъг при дистанционно изпълнение на код, открит в корекцията на Log2021Shell (CVE-45046-XNUMX). Уязвимостта е характеризирана от Tenable като „най-голямата и най-критична уязвимост за последното десетилетие“.
„Свободният софтуер е основата на цифровия свят и уязвимостта на Log4j показа колко много зависим от нея. Този инцидент представлява сериозна заплаха за федералните системи и критичните инфраструктурни предприятия, включително банки, болници и комунални услуги, от които американците зависят всеки ден за основни услуги“, каза сенатор Питърс. „Това двупартийно, здравомислещо законодателство ще помогне за защитата на безплатния софтуер и допълнително ще укрепи защитата ни за киберсигурност срещу киберпрестъпници и чуждестранни противници, извършващи безмилостни атаки срещу мрежи в цялата страна. »
„Както видяхме с уязвимостта на log4shell, компютрите, телефоните и уебсайтовете, които всички използваме всеки ден, съдържат софтуер с отворен код, който е уязвим на кибератаки“, каза сенатор Портман. „Двупартийният Закон за сигурността на софтуера с отворен код ще гарантира, че правителството на САЩ предвижда и смекчава уязвимостите в сигурността на софтуера с отворен код, за да защити най-чувствителните данни на американците. »
Сенаторите споменават това има голяма тежест, тази, която по-голямата част от компютрите в света по един или друг начин имат софтуер с отворен код, в допълнение към че се споменава, че федералното правителство, което е един от най-големите потребители на безплатен софтуер в света, трябва да може да управлява собствените си рискове и да допринася за сигурността на свободния софтуер в частния сектор и останалата част от публичния сектор.
Освен това законодателството изисква Службата за управление и бюджет да издаде насоки на федералните агенции относно безопасното използване на безплатен софтуер и да създаде подкомитет за софтуерна сигурност в рамките на Консултативния комитет по киберсигурност на CISA.
Питърс и Портман ръководиха няколко усилия за укрепване на киберсигурността на нашата нация. Неговата историческа двупартийна разпоредба, изискваща собствениците и операторите на критична инфраструктура да докладват на CISA, ако претърпят значителна кибератака или извършат плащане за рансъмуер, беше подписана в закон.
Законодателство от сенаторите за укрепване на киберсигурността за държавните и местните власти също беше подписано като закон. Също така трябва да се отбележи, че законопроектите на Питърс и Портман за защита на федералните мрежи и гарантиране, че правителството може безопасно да приеме облачна технология, също бяха приети единодушно в Сената.
Накрая Ако се интересувате да научите повече за това, можете да се консултирате подробностите в следната връзка.