Sjedinjene Države se klade na poboljšanje kvaliteta i sigurnosti otvorenog koda
u Američki senatori Gary Peters i Rob Portman, predsjedavajući i viši član Odbora za državnu sigurnost i vladine poslove, uveo dvostranačko zakonodavstvo zaštititi federalne sisteme i kritičnu infrastrukturu kroz jačanje sigurnosti slobodnog softvera.
Sa zakonom o sigurnosti otvorenog koda (Zakon o sigurnosti softvera otvorenog koda) CISA bi bila usmjerena na razvoj okvira rizika da bi procijenila kako federalna vlada koristi softver otvorenog koda, također bi procijenila kako bi isti okvir mogli dobrovoljno koristiti vlasnici i operateri kritične infrastrukture.
Ovo će identificirati načine za ublažavanje rizika na sistemima koji koriste softver otvorenog koda. zakonodavstvo takođe primorava CISA da angažuje profesionalce sa iskustvom u razvoju softvera otvorenog koda kako bi se osiguralo da vlada i zajednica rade ruku pod ruku i da su spremni da se pozabave incidentima kao što je ranjivost Log4j. Osim toga, zakon zahtijeva od Ureda za upravljanje i budžet (OMB) da pruži smjernice federalnim agencijama o bezbednom korišćenju softvera otvorenog koda i uspostavlja podkomitet za sigurnost softvera u Savetodavnom komitetu za sajber bezbednost CISA-e.
Zakonodavstvo slijedi saslušanje domaćini su Peters i Portman o incidentu Log4j ranije ove godine, i zahtijevat će od Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) da osigura da savezna vlada, kritična infrastruktura i drugi bezbedno koriste besplatni softver.
A to je da je Log4j ranjivost uticala na milione računara širom svijeta, uključujući kritičnu infrastrukturu i federalne sisteme. To je navelo vodeće stručnjake za kibernetičku sigurnost da progovore o jednoj od najozbiljnijih i najraširenijih ranjivosti kibernetičke sigurnosti ikada viđenih.
Googleov tim otvorenog koda rekao je da je analizirao Maven Central, najveće spremište Java paketa, i otkrio da 35,863 Java paketa koriste ranjive verzije biblioteke Apache Log4j. Ovo uključuje Java pakete koji koriste verzije Log4j ranjive na originalni Log4Shell eksploat (CVE-2021-44228) i drugu grešku u daljinskom izvršavanju koda otkrivenu u zakrpi Log4Shell (CVE-2021-45046). Tenable je tu ranjivost okarakterizirao kao "najveću i najkritičniju ranjivost posljednje decenije".
“Besplatni softver je temelj digitalnog svijeta i ranjivost Log4j je pokazala koliko ovisimo o njemu. Ovaj incident je predstavljao ozbiljnu prijetnju federalnim sistemima i kritičnim infrastrukturnim preduzećima, uključujući banke, bolnice i komunalna preduzeća, od kojih Amerikanci svakodnevno zavise za osnovne usluge”, rekao je senator Peters. “Ovo dvostranačko, zdravorazumsko zakonodavstvo pomoći će zaštiti slobodnog softvera i dodatno ojačati našu cyber sigurnost od cyber kriminalaca i stranih protivnika koji pokreću nemilosrdne napade na mreže širom zemlje. »
“Kao što smo vidjeli sa ranjivosti log4shell, kompjuteri, telefoni i web stranice koje svi koristimo svakodnevno sadrže softver otvorenog koda koji je ranjiv na sajber napade,” rekao je senator Portman. “Dvopartijski zakon o sigurnosti softvera otvorenog koda osigurat će da američka vlada predvidi i ublaži sigurnosne propuste u softveru otvorenog koda kako bi zaštitila najosjetljivije podatke Amerikanaca. »
Senatori to pominju ima veliku težinu, onu koju ima velika većina računara u svijetu na ovaj ili onaj način imaju softver otvorenog koda, pored da se to spominje savezna vlada, koja je jedan od najvećih svjetskih korisnika slobodnog softvera, mora biti u stanju da upravlja sopstvenim rizicima i doprinese bezbednosti slobodnog softvera u privatnom i ostatku javnog sektora.
Osim toga, zakon zahtijeva od Ureda za upravljanje i budžet da izda smjernice federalnim agencijama o bezbednom korišćenju slobodnog softvera i da stvori Podkomitet za bezbednost softvera u okviru Savetodavnog odbora za sajber bezbednost CISA-e.
Peters i Portman su predvodili nekoliko napora da ojačaju sajber sigurnost naše zemlje. Njegova istorijska dvostranačka odredba koja zahtijeva od vlasnika i operatera kritične infrastrukture da prijave CISA-u ako dožive značajan cyber napad ili izvrše plaćanje ransomware-a potpisana je u zakon.
Zakoni senatora o jačanju sajber sigurnosti za državne i lokalne vlasti također su potpisani u zakon. Također je vrijedno napomenuti da su Peters i Portman nacrt zakona o zaštiti federalnih mreža i osiguranju da vlada može bezbedno usvojiti tehnologiju oblaka također jednoglasno usvojen u Senatu.
Konačno Ako ste zainteresirani da saznate više o tome, možete se posavjetovati detalje na sljedećem linku.