Estados Unidos está apostando en mejorar la calidad y seguridad del open source
Los senadores estadounidenses Gary Peters y Rob Portman, presidente y miembro sénior del Comité de Seguridad Nacional y Asuntos Gubernamentales, presentaron una legislación bipartidista para proteger los sistemas federales y la infraestructura crítica mediante el fortalecimiento de la seguridad del software libre.
Con la ley de Seguridad del open source (Securing Open Source Software Act) se ordenaría a CISA desarrollar un marco de riesgo para evaluar cómo el gobierno federal utiliza el software de codigo abierto, ademas evaluaría cómo el mismo marco podría ser utilizado voluntariamente por los propietarios y operadores de infraestructuras críticas.
Esto identificará formas de mitigar los riesgos en los sistemas que utilizan software de código abierto. La legislación también obliga a CISA a contratar profesionales con experiencia en el desarrollo de software de código abierto para garantizar que el gobierno y la comunidad trabajen de la mano y estén preparados para abordar incidentes como la vulnerabilidad Log4j. Además, la legislación requiere que la Oficina de Administración y Presupuesto (OMB, por sus siglas en inglés) brinde orientación a las agencias federales sobre el uso seguro de software de código abierto y establece un subcomité de seguridad de software en el Comité Asesor de Ciberseguridad de CISA.
La legislación sigue a una audiencia organizada por Peters y Portman sobre el incidente de Log4j a principios de este año, y requeriría que la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) se asegure de que el gobierno federal, la infraestructura crítica y otros utilicen el software libre de manera segura.
Y es que la vulnerabilidad de Log4j, ha afectado a millones de computadoras en todo el mundo, incluida la infraestructura crítica y los sistemas federales. Esto ha llevado a los principales expertos en ciberseguridad a hablar sobre una de las vulnerabilidades de ciberseguridad más graves y generalizadas jamás vistas.
El equipo de código abierto de Google dijo que analizó Maven Central, el repositorio de paquetes de Java más grande, y encontró que 35,863 paquetes de Java usan versiones vulnerables de la biblioteca Apache Log4j. Esto incluye paquetes de Java que usan versiones de Log4j vulnerables al exploit original de Log4Shell (CVE-2021-44228) y un segundo error de ejecución de código remoto descubierto en el parche de Log4Shell (CVE-2021-45046). La vulnerabilidad ha sido caracterizada por Tenable como «la vulnerabilidad más grande y crítica de la última década».
“El software libre es la base del mundo digital y la vulnerabilidad de Log4j ha demostrado cuánto dependemos de él. Este incidente representó una seria amenaza para los sistemas federales y las empresas de infraestructura crítica, incluidos bancos, hospitales y servicios públicos, en los que los estadounidenses dependen todos los días para obtener servicios esenciales”, dijo el Senador Peters. “Esta legislación bipartidista de sentido común ayudará a proteger el software gratuito y fortalecerá aún más nuestras defensas de seguridad cibernética contra los ciberdelincuentes y los adversarios extranjeros que lanzan ataques implacables en las redes de todo el país. »
“Como vimos con la vulnerabilidad log4shell, las computadoras, teléfonos y sitios web que todos usamos todos los días contienen software de código abierto que es vulnerable a los ataques cibernéticos”, dijo el Senador Portman. “La Ley bipartidista de seguridad de software de código abierto garantizará que el gobierno de EE. UU. anticipe y mitigue las vulnerabilidades de seguridad en el software de código abierto para proteger los datos más confidenciales de los estadounidenses. »
Los senadores mencionan que tiene un gran peso, el que la gran mayoría de las computadoras en el mundo de una u otra forma cuenten con software de código abierto, ademas de que se menciona que el gobierno federal, que es uno de los mayores usuarios de software libre del mundo, debe ser capaz de gestionar sus propios riesgos y contribuir a la seguridad del software libre en el sector privado y el resto del sector público.
Además, la legislación requiere que la Oficina de Administración y Presupuesto emita lineamientos para las agencias federales sobre el uso seguro de software libre y cree un Subcomité de Seguridad de Software dentro del Comité Asesor sobre Ciberseguridad de CISA.
Peters y Portman han liderado varios esfuerzos para reforzar la seguridad cibernética de nuestra nación. Su histórica disposición bipartidista de exigir a los propietarios y operadores de infraestructura crítica que informen a CISA si experimentan un ciberataque significativo o realizan un pago de ransomware se convirtió en ley.
La legislación de los senadores para reforzar la seguridad cibernética de los gobiernos estatales y locales también se convirtió en ley. Ademas cabe mencionar que los proyectos de ley de Peters y Portman para proteger las redes federales y garantizar que el gobierno pueda adoptar la tecnología de la nube de manera segura también fueron aprobados por unanimidad en el Senado.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.