Els Estats Units estan apostant per millorar la qualitat i seguretat de l'open source
Els senadors nord-americans Gary Peters i Rob Portman, president i membre sènior del Comitè de Seguretat Nacional i Assumptes Governamentals, van presentar una legislació bipartidista per protegir els sistemes federals i la infraestructura crítica mitjançant l'enfortiment de la seguretat del programari lliure.
Amb la llei de Seguretat de l'open source (Securing Open Source Software Act) s'ordenaria a CISA desenvolupar un marc de risc per avaluar com el govern federal utilitza el programari de codi obert, a més avaluaria com el mateix marc podria ser utilitzat voluntàriament pels propietaris i operadors d'infraestructures crítiques.
Això identificarà formes de mitigar els riscos en els sistemes que utilitzen programari de codi obert. La legislació també obliga CISA a contractar professionals amb experiència en el desenvolupament de programari de codi obert per garantir que el govern i la comunitat treballin de la mà i estiguin preparats per abordar incidents com la vulnerabilitat Log4j. A més, la legislació requereix que l'Oficina d'Administració i Pressupost (OMB, per les sigles en anglès) brindi orientació a les agències federals sobre l'ús segur de programari de codi obert i estableix un subcomitè de seguretat de programari al Comitè Assessor de Ciberseguretat de CISA.
La legislació segueix una audiència organitzada per Peters i Portman sobre l'incident de Log4j a principis d'aquest any, i requeriria que l'Agència de Seguretat d'Infraestructura i Ciberseguretat (CISA) s'asseguri que el govern federal, la infraestructura crítica i d'altres utilitzin el programari lliure de manera segura.
I és que la vulnerabilitat de Log4j, ha afectat milions dordinadors a tot el món, inclosa la infraestructura crítica i els sistemes federals. Això ha portat els principals experts en ciberseguretat a parlar sobre una de les vulnerabilitats de ciberseguretat més greus i generalitzades mai vistes.
L'equip de codi obert de Google va dir que va analitzar Maven Central, el dipòsit de paquets de Java més gran, i va trobar que 35,863 paquets de Java usen versions vulnerables de la biblioteca Apache Log4j. Això inclou paquets de Java que utilitzen versions de Log4j vulnerables a l'exploit original de Log4Shell (CVE-2021-44228) i un segon error d'execució de codi remot descobert al pegat de Log4Shell (CVE-2021-45046). La vulnerabilitat ha estat caracteritzada per Tenable com «la vulnerabilitat més gran i crítica de la darrera dècada».
“El programari lliure és la base del món digital i la vulnerabilitat de Log4j ha demostrat quant en depenem. Aquest incident va representar una seriosa amenaça per als sistemes federals i les empreses d'infraestructura crítica, inclosos bancs, hospitals i serveis públics, en què els nord-americans depenen cada dia per obtenir serveis essencials”, va dir el Senador Peters. “Aquesta legislació bipartidista de sentit comú ajudarà a protegir el programari gratuït i enfortirà encara més les nostres defenses de seguretat cibernètica contra els ciberdelinqüents i els adversaris estrangers que llancen atacs implacables a les xarxes de tot el país. »
“Com vam veure amb la vulnerabilitat log4shell, els ordinadors, telèfons i llocs web que tots fem servir cada dia contenen programari de codi obert que és vulnerable als atacs cibernètics”, va dir el Senador Portman. “La Llei bipartidista de seguretat de programari de codi obert garantirà que el govern dels EUA anticipi i mitigui les vulnerabilitats de seguretat en el programari de codi obert per protegir les dades més confidencials dels nord-americans. »
Els senadors esmenten que té un gran pes, el que la gran majoria dels ordinadors en el món d'una manera o altra compten amb programari de codi obert, a més de que s'esmenta que el govern federal, que és un dels majors usuaris de programari lliure del món, ha de ser capaç de gestionar els seus propis riscos i contribuir a la seguretat del programari lliure al sector privat i la resta del sector públic.
A més, la legislació requereix que l'Oficina d'Administració i Pressupost emeti lineaments per a les agències federals sobre l'ús segur de programari lliure i creï un Subcomitè de Seguretat de Programari dins del Comitè Assessor sobre Ciberseguretat de CISA.
Peters i Portman han liderat diversos esforços per reforçar la seguretat cibernètica de la nostra nació. La seva històrica disposició bipartidista d'exigir als propietaris i operadors d'infraestructura crítica que informin CISA si experimenten un ciberatac significatiu o fan un pagament de ransomware es va convertir en llei.
La legislació dels senadors per reforçar la seguretat cibernètica dels governs estatals i locals també es va convertir en llei. A més cal esmentar que els projectes de llei de Peters i Portman per protegir les xarxes federals i garantir que el govern pugui adoptar la tecnologia del núvol de manera segura també van ser aprovats per unanimitat al Senat.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.