Yhdysvalloissa he esittivät lainsäädäntöä vapaiden ohjelmistojen turvallisuuden vahvistamiseksi

Yhdysvalloissa he esittivät lainsäädäntöä vapaiden ohjelmistojen turvallisuuden vahvistamiseksi

Yhdysvallat panostaa avoimen lähdekoodin laadun ja turvallisuuden parantamiseen

Los Yhdysvaltain senaattorit Gary Peters ja Rob Portman, kotimaan turvallisuus- ja hallitusasioiden valiokunnan puheenjohtaja ja vanhempi jäsen, otti käyttöön kahden puolueen lainsäädännön suojella liittovaltion järjestelmiä ja kriittistä infrastruktuuria vahvistaa ilmaisten ohjelmistojen turvallisuutta.

Avoimen lähdekoodin tietoturvalain mukaisesti (Securing Open Source Software Act) CISA ohjattaisiin kehittämään riskikehystä arvioidakseen, kuinka liittovaltion hallitus käyttää avoimen lähdekoodin ohjelmistoja, se arvioi myös, kuinka kriittisen infrastruktuurin omistajat ja operaattorit voisivat käyttää samaa viitekehystä vapaaehtoisesti.

Tämä tunnistaa tapoja vähentää riskejä järjestelmissä, joissa käytetään avoimen lähdekoodin ohjelmistoja. lainsäädäntöä se myös pakottaa CISAn palkkaamaan ammattilaisia, joilla on kokemusta avoimen lähdekoodin ohjelmistojen kehittämisestä varmistaa, että hallitus ja yhteisö työskentelevät käsi kädessä ja ovat valmiita puuttumaan tapauksiin, kuten Log4j-haavoittuvuuteen. Lisäksi lainsäädäntö edellyttää, että Office of Management and Budget (OMB) antaa liittovaltion virastoille ohjeita avoimen lähdekoodin ohjelmistojen turvallisesta käytöstä ja perustaa CISA:n kyberturvallisuuden neuvoa-antavaan komiteaan ohjelmistoturvallisuutta käsittelevän alakomitean.

Lainsäädäntö seuraa kuulemista isännöi Peters ja Portman Log4j-tapauksesta aiemmin tänä vuonna, ja vaatisi Cybersecurity and Infrastructure Security Agencyn (CISA) varmistamaan, että liittovaltion hallitus, kriittinen infrastruktuuri ja muut käyttävät ilmaisia ​​ohjelmistoja turvallisesti.

Ja se on, että Log4j-haavoittuvuus on vaikuttanut miljooniin tietokoneista ympäri maailmaa, mukaan lukien kriittinen infrastruktuuri ja liittovaltion järjestelmät. Tämä on saanut johtavat kyberturvallisuusasiantuntijat puhumaan yhdestä vakavimmista ja laajimmasta kyberturvallisuuden haavoittuvuudesta koskaan.

Googlen avoimen lähdekoodin tiimi kertoi analysoineensa Maven Centralia, suurinta Java-pakettivarastoa, ja totesi, että 35,863 4 Java-pakettia käyttää haavoittuvia versioita Apache Log4j -kirjastosta. Tämä sisältää Java-paketit, jotka käyttävät Log4j:n versioita, jotka ovat haavoittuvia alkuperäiselle Log2021Shell-hyödynnälle (CVE-44228-4), ja toista etäkoodin suoritusvirhettä, joka löydettiin Log2021Shell-korjauksesta (CVE-45046-XNUMX). Tenable on luonnehtinut haavoittuvuutta "viime vuosikymmenen suurimmaksi ja kriittisimmäksi haavoittuvuudeksi".

”Ilmaiset ohjelmistot ovat digitaalisen maailman perusta, ja Log4j-haavoittuvuus on osoittanut, kuinka paljon olemme niistä riippuvaisia. Tämä tapaus aiheutti vakavan uhan liittovaltion järjestelmille ja kriittisen infrastruktuurin yrityksille, mukaan lukien pankeille, sairaaloille ja yleishyödyllisille palveluille, joista amerikkalaiset ovat joka päivä riippuvaisia ​​tärkeistä palveluista", sanoi senaattori Peters. "Tämä molemminpuolinen, tervettä järkeä koskeva lainsäädäntö auttaa suojaamaan vapaita ohjelmistoja ja vahvistamaan edelleen kyberturvallisuuttamme kyberrikollisia ja ulkomaisia ​​vastustajia vastaan, jotka hyökkäävät jatkuvasti verkkoja vastaan ​​eri puolilla maata. »

"Kuten näimme log4shell-haavoittuvuuden yhteydessä, tietokoneet, puhelimet ja verkkosivustot, joita käytämme joka päivä, sisältävät avoimen lähdekoodin ohjelmistoja, jotka ovat alttiina kyberhyökkäyksille", sanoi senaattori Portman. "Kahden osapuolen välinen avoimen lähdekoodin ohjelmistojen turvalaki varmistaa, että Yhdysvaltain hallitus ennakoi ja lieventää avoimen lähdekoodin ohjelmistojen tietoturva-aukkoja suojellakseen amerikkalaisten arkaluontoisia tietoja. »

Senaattorit mainitsevat sen on suuri paino, joka suurin osa tietokoneista maailmassa jollakin tavalla on avoimen lähdekoodin ohjelmistoja että se mainitaan liittovaltion hallitus, joka on yksi maailman suurimmista ilmaisten ohjelmistojen käyttäjistä, sen on kyettävä hallitsemaan omat riskinsä ja myötävaikuttamaan vapaiden ohjelmistojen turvallisuuteen yksityisellä sektorilla ja muulla julkisella sektorilla.

Lisäksi lainsäädäntö edellyttää, että Office of Management and Budget antaa liittovaltion virastoille ohjeita ilmaisten ohjelmistojen turvallisesta käytöstä ja perustaa CISA:n kyberturvallisuuden neuvoa-antavaan komiteaan ohjelmistoturvallisuuden alikomitean.

Peters ja Portman ovat johtaneet useita ponnisteluja maamme kyberturvallisuuden vahvistamiseksi. Sen historiallinen molemminpuolinen säännös, joka vaatii kriittisen infrastruktuurin omistajia ja ylläpitäjiä raportoimaan CISA:lle, jos he kohtaavat merkittävän kyberhyökkäyksen tai suorittavat lunnasohjelmamaksun, on allekirjoitettu laiksi.

Myös senaattorien lainsäädäntö valtion ja kuntien kyberturvallisuuden vahvistamiseksi allekirjoitettiin laiksi. Huomionarvoista on myös se, että senaatissa hyväksyttiin myös Petersin ja Portmanin esitykset liittovaltion verkkojen suojelemiseksi ja sen varmistamiseksi, että hallitus voi turvallisesti ottaa pilviteknologian käyttöön.

Vihdoin Jos haluat tietää enemmän siitä, voit kuulla yksityiskohdat seuraavassa linkissä.


Ole ensimmäinen kommentti

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.