USA satser på at forbedre kvaliteten og sikkerheden af open source
masse amerikanske senatorer Gary Peters og Rob Portman, formand og seniormedlem af udvalget for indenrigssikkerhed og statslige anliggender, indført toparti lovgivning til beskytte føderale systemer og kritisk infrastruktur gennem styrkelse af sikkerheden ved fri software.
Med loven om sikkerhed i open source (lov om sikring af open source software) CISA vil blive instrueret til at udvikle en risikoramme for at vurdere, hvordan den føderale regering bruger open source-software, vil den også vurdere, hvordan den samme ramme kan bruges frivilligt af ejere og operatører af kritisk infrastruktur.
Dette vil identificere måder at mindske risici på på systemer, der bruger open source-software. lovgivning det tvinger også CISA til at ansætte fagfolk med erfaring i at udvikle open source-software at sikre, at regeringen og samfundet arbejder hånd i hånd og er parat til at håndtere hændelser som Log4j-sårbarheden. Derudover kræver lovgivningen, at Office of Management and Budget (OMB) yder vejledning til føderale agenturer om sikker brug af open source-software og nedsætter et underudvalg for softwaresikkerhed i Cybersecurity Advisory Committee i CISA.
Lovgivningen følger en høring vært af Peters og Portman om Log4j-hændelsen tidligere i år og ville kræve, at Cybersecurity and Infrastructure Security Agency (CISA) sikrer, at den føderale regering, kritisk infrastruktur og andre bruger gratis software sikkert.
Og det er, at Log4j-sårbarheden har påvirket millioner af computere rundt om i verden, herunder kritisk infrastruktur og føderale systemer. Dette har fået førende cybersikkerhedseksperter til at udtale sig om en af de mest alvorlige og udbredte cybersikkerhedssårbarheder, der nogensinde er set.
Googles open source-team sagde, at det analyserede Maven Central, det største Java-pakkelager, og fandt ud af, at 35,863 Java-pakker bruger sårbare versioner af Apache Log4j-biblioteket. Dette inkluderer Java-pakker, der bruger versioner af Log4j, der er sårbare over for den originale Log4Shell-udnyttelse (CVE-2021-44228) og en anden fejl til fjernudførelse af kode, der er opdaget i Log4Shell-patchen (CVE-2021-45046). Sårbarheden er blevet karakteriseret af Tenable som "den største og mest kritiske sårbarhed i det sidste årti."
“Gratis software er grundlaget for den digitale verden, og Log4j-sårbarheden har vist, hvor meget vi er afhængige af den. Denne hændelse udgjorde en alvorlig trussel mod føderale systemer og kritiske infrastrukturvirksomheder, herunder banker, hospitaler og forsyningsselskaber, som amerikanerne er afhængige af hver dag for at få væsentlige tjenester,” sagde senator Peters. "Denne todelte, sunde fornuftslovgivning vil hjælpe med at beskytte fri software og yderligere styrke vores cybersikkerhedsforsvar mod cyberkriminelle og udenlandske modstandere, der lancerer ubønhørlige angreb på netværk over hele landet. »
"Som vi så med log4shell-sårbarheden, indeholder de computere, telefoner og websteder, som vi alle bruger hver dag, open source-software, der er sårbar over for cyberangreb," sagde senator Portman. "Den todelte Open Source Software Security Act vil sikre, at den amerikanske regering forudser og afbøder sikkerhedssårbarheder i open source-software for at beskytte amerikanernes mest følsomme data. »
Senatorerne nævner det har en stor vægt, den som langt de fleste computere i verden på den ene eller anden måde have open source software, foruden at det er nævnt at den føderale regering, som er en af verdens største brugere af gratis software, skal den kunne styre sine egne risici og bidrage til sikkerheden af fri software i den private sektor og resten af den offentlige sektor.
Derudover kræver lovgivningen, at Office of Management and Budget udsteder retningslinjer til føderale agenturer om sikker brug af gratis software og opretter et Software Security Subcommittee i CISA's Cybersecurity Advisory Committee.
Peters og Portman har ledet adskillige bestræbelser på at styrke vores nations cybersikkerhed. Dens historiske todelte bestemmelse, der kræver, at ejere og operatører af kritisk infrastruktur skal rapportere til CISA, hvis de oplever et betydeligt cyberangreb eller foretager en ransomware-betaling, er blevet underskrevet i loven.
Lovgivning fra senatorerne for at styrke cybersikkerheden for statslige og lokale myndigheder blev også underskrevet i loven. Det er også bemærkelsesværdigt, at Peters og Portmans lovforslag om at beskytte føderale netværk og sikre, at regeringen sikkert kan vedtage cloud-teknologi, også vedtaget enstemmigt i Senatet.
Endelig Hvis du er interesseret i at vide mere om det, du kan konsultere detaljerne i følgende link.