Οι Ηνωμένες Πολιτείες στοιχηματίζουν στη βελτίωση της ποιότητας και της ασφάλειας του ανοιχτού κώδικα
Ο Αμερικανοί γερουσιαστές Gary Peters και Rob Portman, Πρόεδρος και Ανώτερο μέλος της Επιτροπής Εσωτερικής Ασφάλειας και Κυβερνητικών Υποθέσεων, εισήγαγε δικομματική νομοθεσία για να προστασία των ομοσπονδιακών συστημάτων και των ζωτικών υποδομών μέσω ενίσχυση της ασφάλειας του ελεύθερου λογισμικού.
Με το νόμο περί Ασφάλειας του ανοιχτού κώδικα (Νόμος περί ασφάλειας λογισμικού ανοιχτού κώδικα) Η CISA θα κατευθυνθεί να αναπτύξει ένα πλαίσιο κινδύνου για να αξιολογήσει πώς η ομοσπονδιακή κυβέρνηση χρησιμοποιεί λογισμικό ανοιχτού κώδικα, θα αξιολογούσε επίσης πώς το ίδιο πλαίσιο θα μπορούσε να χρησιμοποιηθεί εθελοντικά από ιδιοκτήτες και χειριστές υποδομών ζωτικής σημασίας.
Αυτό θα εντοπίσει τρόπους για τον μετριασμό των κινδύνων σε συστήματα που χρησιμοποιούν λογισμικό ανοιχτού κώδικα. νομοθεσία αναγκάζει επίσης την CISA να προσλαμβάνει επαγγελματίες με εμπειρία στην ανάπτυξη λογισμικού ανοιχτού κώδικα να διασφαλίσει ότι η κυβέρνηση και η κοινότητα συνεργάζονται χέρι-χέρι και είναι έτοιμες να αντιμετωπίσουν περιστατικά όπως η ευπάθεια Log4j. Επιπλέον, η νομοθεσία απαιτεί από το Γραφείο Διαχείρισης και Προϋπολογισμού (OMB) να παρέχει καθοδήγηση στις ομοσπονδιακές υπηρεσίες σχετικά με την ασφαλή χρήση λογισμικού ανοιχτού κώδικα και να ιδρύει μια υποεπιτροπή για την ασφάλεια λογισμικού στη Συμβουλευτική Επιτροπή Κυβερνοασφάλειας της CISA.
Η νομοθεσία ακολουθεί ακρόαση με οικοδεσπότες τους Peters και Portman σχετικά με το περιστατικό Log4j νωρίτερα αυτό το έτος, και θα απαιτούσε από την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) να διασφαλίσει ότι η ομοσπονδιακή κυβέρνηση, οι υποδομές ζωτικής σημασίας και άλλες χρησιμοποιούν το ελεύθερο λογισμικό με ασφάλεια.
Και είναι ότι η ευπάθεια Log4j έχει επηρεάσει εκατομμύρια υπολογιστών σε όλο τον κόσμο, συμπεριλαμβανομένων των υποδομών ζωτικής σημασίας και των ομοσπονδιακών συστημάτων. Αυτό οδήγησε κορυφαίους εμπειρογνώμονες στον κυβερνοχώρο να μιλήσουν για ένα από τα πιο σοβαρά και διαδεδομένα τρωτά σημεία στον κυβερνοχώρο που έχουν παρατηρηθεί ποτέ.
Η ομάδα ανοιχτού κώδικα της Google είπε ότι ανέλυσε το Maven Central, το μεγαλύτερο αποθετήριο πακέτων Java και διαπίστωσε ότι 35,863 πακέτα Java χρησιμοποιούν ευάλωτες εκδόσεις της βιβλιοθήκης Apache Log4j. Αυτό περιλαμβάνει πακέτα Java που χρησιμοποιούν εκδόσεις του Log4j ευάλωτες στην αρχική εκμετάλλευση Log4Shell (CVE-2021-44228) και ένα δεύτερο σφάλμα απομακρυσμένης εκτέλεσης κώδικα που ανακαλύφθηκε στην ενημερωμένη έκδοση κώδικα Log4Shell (CVE-2021-45046). Η ευπάθεια έχει χαρακτηριστεί από τον Tenable ως «η μεγαλύτερη και πιο κρίσιμη ευπάθεια της τελευταίας δεκαετίας».
«Το ελεύθερο λογισμικό είναι το θεμέλιο του ψηφιακού κόσμου και η ευπάθεια Log4j έχει δείξει πόσο εξαρτόμαστε από αυτό. Αυτό το περιστατικό αποτελούσε σοβαρή απειλή για τα ομοσπονδιακά συστήματα και τις επιχειρήσεις υποδομής ζωτικής σημασίας, συμπεριλαμβανομένων τραπεζών, νοσοκομείων και υπηρεσιών κοινής ωφέλειας, από τις οποίες εξαρτώνται καθημερινά οι Αμερικανοί για βασικές υπηρεσίες», δήλωσε ο γερουσιαστής Peters. «Αυτή η δικομματική, κοινής λογικής νομοθεσία θα βοηθήσει στην προστασία του ελεύθερου λογισμικού και θα ενισχύσει περαιτέρω την άμυνά μας στον κυβερνοχώρο έναντι των εγκληματιών του κυβερνοχώρου και των ξένων αντιπάλων που εξαπολύουν ανελέητες επιθέσεις σε δίκτυα σε όλη τη χώρα. »
"Όπως είδαμε με την ευπάθεια log4shell, οι υπολογιστές, τα τηλέφωνα και οι ιστότοποι που χρησιμοποιούμε όλοι καθημερινά περιέχουν λογισμικό ανοιχτού κώδικα που είναι ευάλωτο σε επιθέσεις στον κυβερνοχώρο", δήλωσε ο γερουσιαστής Portman. «Ο δικομματικός Νόμος για την Ασφάλεια Λογισμικού Ανοικτού Κώδικα θα διασφαλίσει ότι η κυβέρνηση των ΗΠΑ προβλέπει και μετριάζει τις ευπάθειες ασφαλείας στο λογισμικό ανοιχτού κώδικα για την προστασία των πιο ευαίσθητων δεδομένων των Αμερικανών. »
Οι γερουσιαστές το αναφέρουν έχει μεγάλο βάρος, αυτό που έχει η συντριπτική πλειοψηφία των υπολογιστών κόσμος με τον ένα ή τον άλλο τρόπο έχουν λογισμικό ανοιχτού κώδικα, επιπλέον ότι αναφέρεται ότι η ομοσπονδιακή κυβέρνηση, η οποία είναι ένας από τους μεγαλύτερους χρήστες ελεύθερου λογισμικού στον κόσμο, πρέπει να είναι σε θέση να διαχειρίζεται τους δικούς της κινδύνους και να συμβάλλει στην ασφάλεια του ελεύθερου λογισμικού στον ιδιωτικό τομέα και στον υπόλοιπο δημόσιο τομέα.
Επιπλέον, η νομοθεσία απαιτεί από το Γραφείο Διαχείρισης και Προϋπολογισμού να εκδώσει κατευθυντήριες γραμμές σε ομοσπονδιακές υπηρεσίες σχετικά με την ασφαλή χρήση του ελεύθερου λογισμικού και να δημιουργήσει μια Υποεπιτροπή Ασφάλειας Λογισμικού εντός της Συμβουλευτικής Επιτροπής Κυβερνοασφάλειας της CISA.
Οι Peters και Portman ηγήθηκαν πολλών προσπαθειών για την ενίσχυση της κυβερνοασφάλειας του έθνους μας. Η ιστορική δικομματική διάταξη που απαιτεί από τους ιδιοκτήτες και τους χειριστές υποδομών ζωτικής σημασίας να αναφέρουν στην CISA εάν υποστούν σημαντική κυβερνοεπίθεση ή πραγματοποιήσουν πληρωμή με λύτρα έχει υπογραφεί στη νομοθεσία.
Η νομοθεσία των γερουσιαστών για την ενίσχυση της ασφάλειας στον κυβερνοχώρο για τις πολιτείες και τις τοπικές κυβερνήσεις υπογράφηκε επίσης σε νόμο. Αξιοσημείωτο είναι επίσης ότι τα νομοσχέδια Peters και Portman για την προστασία των ομοσπονδιακών δικτύων και τη διασφάλιση ότι η κυβέρνηση μπορεί να υιοθετήσει με ασφάλεια την τεχνολογία cloud πέρασαν επίσης ομόφωνα στη Γερουσία.
Τελικά Εάν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στον παρακάτω σύνδεσμο.