USA panustab avatud lähtekoodiga tarkvara kvaliteedi ja turvalisuse parandamisele
osa USA senaatorid Gary Peters ja Rob Portman, sisejulgeoleku- ja valitsusasjade komisjoni esimees ja vanemliige, kehtestas kahepoolsed õigusaktid kaitsta föderaalsüsteeme ja kriitilist infrastruktuuri vaba tarkvara turvalisuse tugevdamine.
Avatud lähtekoodiga turvalisuse seadusega (Securing Open Source Software Act) CISA suunataks välja töötama riskiraamistikku et hinnata, kuidas föderaalvalitsus kasutab avatud lähtekoodiga tarkvara, hindaks ta ka seda, kuidas saaksid kriitilise infrastruktuuri omanikud ja operaatorid sama raamistikku vabatahtlikult kasutada.
See selgitab välja võimalused riskide maandamiseks avatud lähtekoodiga tarkvara kasutavates süsteemides. seadusandlus see sunnib ka CISAt palkama avatud lähtekoodiga tarkvara arendamise kogemusega spetsialiste tagamaks, et valitsus ja kogukond töötavad käsikäes ning on valmis tegelema selliste juhtumitega nagu Log4j haavatavus. Lisaks nõuavad õigusaktid, et haldus- ja eelarveamet (OMB) annaks föderaalasutustele juhiseid avatud lähtekoodiga tarkvara ohutu kasutamise kohta ning loob CISA küberturvalisuse nõuandekomitees tarkvaraturbe alamkomitee.
Seadusandlus järgneb ärakuulamisele võõrustajaks Peters ja Portman Log4j juhtumi kohta selle aasta alguses ning nõuaks, et küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) tagaks, et föderaalvalitsus, kriitiline infrastruktuur ja teised kasutavad tasuta tarkvara ohutult.
Ja Log4j haavatavus on mõjutanud miljoneid arvuteid üle maailma, sealhulgas kriitilist infrastruktuuri ja föderaalsüsteeme. See on pannud juhtivad küberturvalisuse eksperdid rääkima ühest kõige tõsisemast ja laiemalt levinud küberturvalisuse haavatavusest, mida eales nähtud.
Google'i avatud lähtekoodiga meeskond teatas, et analüüsis suurimat Java-pakettide hoidlat Maven Centralit ja leidis, et 35,863 4 Java paketti kasutavad Apache Log4j teegi haavatavaid versioone. See hõlmab Java-pakette, mis kasutavad Log4j versioone, mis on haavatavad algse Log2021Shelli ärakasutamise (CVE-44228-4) ja Log2021Shelli paigast (CVE-45046-XNUMX) avastatud teise koodi kaugkäitamise vea suhtes. Tenable on haavatavust iseloomustanud kui "viimase kümnendi suurimat ja kriitilisemat haavatavust".
„Tasuta tarkvara on digitaalmaailma vundament ja Log4j haavatavus on näidanud, kui palju me sellest sõltume. See juhtum kujutas tõsist ohtu föderaalsüsteemidele ja kriitilise infrastruktuuri ettevõtetele, sealhulgas pankadele, haiglatele ja kommunaalettevõtetele, millest ameeriklased iga päev oluliste teenuste osas sõltuvad,“ ütles senaator Peters. „See kahepoolne terve mõistuslik seadusandlus aitab kaitsta vaba tarkvara ja tugevdab veelgi meie küberjulgeoleku kaitset küberkurjategijate ja välismaiste vastaste vastu, kes alustavad lakkamatuid rünnakuid võrkude vastu kogu riigis. »
"Nagu nägime log4shelli haavatavuse puhul, sisaldavad meie kõigi igapäevaselt kasutatavad arvutid, telefonid ja veebisaidid avatud lähtekoodiga tarkvara, mis on küberrünnakute suhtes haavatav," ütles senaator Portman. „Kahepoolne avatud lähtekoodiga tarkvara turvaseadus tagab, et USA valitsus näeb ja leevendab avatud lähtekoodiga tarkvara turvaauke, et kaitsta ameeriklaste kõige tundlikumaid andmeid. »
Senaatorid mainivad seda sellel on suur kaal, nagu enamikul arvutitel maailmas ühel või teisel viisil on avatud lähtekoodiga tarkvara, lisaks et seda mainitakse föderaalvalitsus, mis on üks maailma suurimaid vaba tarkvara kasutajaid, peab ta suutma ise oma riske maandada ja panustada vaba tarkvara turvalisusesse erasektoris ja ülejäänud avalikus sektoris.
Lisaks nõuavad õigusaktid, et haldus- ja eelarveamet peab andma föderaalasutustele välja suunised vaba tarkvara ohutu kasutamise kohta ja looma CISA küberturvalisuse nõuandekomitee raames tarkvaraturbe allkomitee.
Peters ja Portman on teinud mitmeid jõupingutusi meie riigi küberjulgeoleku tugevdamiseks. Selle ajalooline kahepoolne säte, mis kohustab kriitilise infrastruktuuri omanikke ja haldajaid CISA-le aru andma, kui nad kogevad olulist küberrünnakut või maksavad lunavara, on allkirjastatud seadusega.
Samuti allkirjastati seaduseks senaatorite õigusaktid riigi ja kohalike omavalitsuste küberturvalisuse tugevdamiseks. Tähelepanuväärne on ka see, et Petersi ja Portmani seaduseelnõud föderaalvõrkude kaitsmiseks ja selle tagamiseks, et valitsus saaks pilvetehnoloogia turvaliselt kasutusele võtta, võeti senatis samuti ühehäälselt vastu.
Lõpuks Kui soovite sellest rohkem teada saada, saate nõu pidada üksikasjad järgmisel lingil.