Spojené státy americké sází na zlepšení kvality a zabezpečení open source
L američtí senátoři Gary Peters a Rob Portman, předseda a hlavní člen Výboru pro vnitřní bezpečnost a vládní záležitosti, zavedl dvoustrannou legislativu do chránit federální systémy a kritickou infrastrukturu prostřednictvím posílení bezpečnosti svobodného softwaru.
Se zákonem o bezpečnosti open source (Securing Open Source Software Act) CISA by byla zaměřena na vytvoření rámce rizik k posouzení toho, jak federální vláda používá software s otevřeným zdrojovým kódem, by také posoudila, jak by stejný rámec mohli dobrovolně používat vlastníci a provozovatelé kritické infrastruktury.
To určí způsoby, jak zmírnit rizika na systémech využívajících open source software. legislativa to také nutí CISA najímat profesionály se zkušenostmi s vývojem open source softwaru zajistit, aby vláda a komunita pracovaly ruku v ruce a byly připraveny řešit incidenty, jako je zranitelnost Log4j. Kromě toho legislativa vyžaduje, aby Úřad pro správu a rozpočet (OMB) poskytoval pokyny federálním agenturám ohledně bezpečného používání softwaru s otevřeným zdrojovým kódem a zřizuje podvýbor pro zabezpečení softwaru v Poradním výboru pro kybernetickou bezpečnost CISA.
Legislativa následuje po slyšení pořádané Petersem a Portmanem o incidentu Log4j začátkem tohoto roku a bude vyžadovat, aby Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) zajistila, že federální vláda, kritická infrastruktura a další používají svobodný software bezpečně.
A je to tím, že zranitelnost Log4j zasáhla miliony lidí počítačů po celém světě, včetně kritické infrastruktury a federálních systémů. To vedlo přední odborníky na kybernetickou bezpečnost k tomu, aby hovořili o jedné z nejzávažnějších a nejrozšířenějších zranitelností v oblasti kybernetické bezpečnosti, jaké kdy byly spatřeny.
Open source tým společnosti Google uvedl, že analyzoval Maven Central, největší úložiště balíčků Java, a zjistil, že 35,863 4 balíčků Java používá zranitelné verze knihovny Apache Log4j. To zahrnuje balíčky Java, které používají verze Log4j zranitelné vůči původnímu zneužití Log2021Shell (CVE-44228-4) a druhou chybu vzdáleného spuštění kódu objevenou v opravě Log2021Shell (CVE-45046-XNUMX). Tenable tuto zranitelnost charakterizoval jako „největší a nejkritičtější zranitelnost za poslední desetiletí“.
„Svobodný software je základem digitálního světa a zranitelnost Log4j ukázala, jak moc na něm závisíme. Tento incident představoval vážnou hrozbu pro federální systémy a podniky s kritickou infrastrukturou, včetně bank, nemocnic a veřejných služeb, na kterých jsou Američané každý den závislí, pokud jde o základní služby,“ řekl senátor Peters. „Tato dvoustranná legislativa založená na zdravém rozumu pomůže chránit svobodný software a dále posílí naši obranu v oblasti kybernetické bezpečnosti proti kyberzločincům a zahraničním protivníkům, kteří zahajují vytrvalé útoky na sítě po celé zemi. »
„Jak jsme viděli u zranitelnosti log4shell, počítače, telefony a webové stránky, které všichni denně používáme, obsahují software s otevřeným zdrojovým kódem, který je zranitelný vůči kybernetickým útokům,“ řekl senátor Portman. „Oboustranný zákon o zabezpečení softwaru s otevřeným zdrojovým kódem zajistí, že vláda USA předvídá a zmírňuje bezpečnostní zranitelnosti v softwaru s otevřeným zdrojovým kódem, aby ochránila nejcitlivější data Američanů. »
Zmiňují to senátoři má velkou váhu, takovou, jakou má naprostá většina počítačů svět tak či onak mít navíc software s otevřeným zdrojovým kódem že se to zmiňuje federální vláda, která je jedním z největších světových uživatelů svobodného softwaru, musí být schopen řídit svá vlastní rizika a přispívat k bezpečnosti svobodného softwaru v soukromém sektoru a ve zbytku veřejného sektoru.
Legislativa navíc vyžaduje, aby Úřad pro správu a rozpočet vydal pokyny federálním agenturám o bezpečném používání svobodného softwaru a vytvořil podvýbor pro bezpečnost softwaru v rámci poradního výboru CISA pro kybernetickou bezpečnost.
Peters a Portman vedli několik úsilí o posílení kybernetické bezpečnosti naší země. Jeho historické dvoustranné ustanovení, které vyžaduje, aby vlastníci a provozovatelé kritické infrastruktury hlásili CISA, pokud zažijí významný kybernetický útok nebo provedou platbu za ransomware, bylo podepsáno do zákona.
Podepsána byla i legislativa senátorů k posílení kybernetické bezpečnosti pro státní správu a samosprávu. Za zmínku také stojí, že návrhy zákonů Peterse a Portmana na ochranu federálních sítí a zajištění toho, aby vláda mohla bezpečně přijmout cloudovou technologii, také jednomyslně prošly v Senátu.
Konečně Máte-li zájem o tom vědět více, můžete se poradit podrobnosti v následujícím odkazu.