Les États-Unis misent sur l'amélioration de la qualité et de la sécurité de l'open source
Les Sénateurs américains Gary Peters et Rob Portman, président et membre principal du comité de la sécurité intérieure et des affaires gouvernementales, introduit une législation bipartite pour protéger les systèmes fédéraux et les infrastructures essentielles en renforcer la sécurité des logiciels libres.
Avec la loi de Sécurité de l'open source (Securing Open Source Software Act) La CISA serait chargée d'élaborer un cadre de risque pour évaluer comment le gouvernement fédéral utilise les logiciels libres, il évaluerait également comment le même cadre pourrait être utilisé volontairement par les propriétaires et les exploitants d'infrastructures essentielles.
Cela permettra d'identifier les moyens d'atténuer les risques sur des systèmes utilisant des logiciels open source. législation cela oblige également CISA à embaucher des professionnels expérimentés dans le développement de logiciels open source pour s'assurer que le gouvernement et la communauté travaillent main dans la main et sont prêts à faire face à des incidents tels que la vulnérabilité Log4j. En outre, la législation oblige le Bureau de la gestion et du budget (OMB) à fournir des conseils aux agences fédérales sur l'utilisation sûre des logiciels open source et établit un sous-comité sur la sécurité des logiciels au sein du Comité consultatif sur la cybersécurité de la CISA.
La législation suit une audience hébergé par Peters et Portman à propos de l'incident Log4j plus tôt cette année, et exigerait que la Cybersecurity and Infrastructure Security Agency (CISA) s'assure que le gouvernement fédéral, les infrastructures critiques et autres utilisent les logiciels libres en toute sécurité.
Et c'est que la vulnérabilité Log4j a affecté des millions d'ordinateurs dans le monde, y compris les infrastructures critiques et les systèmes fédéraux. Cela a conduit les principaux experts en cybersécurité à parler de l'une des vulnérabilités de cybersécurité les plus graves et les plus répandues jamais vues.
L'équipe open source de Google a déclaré avoir analysé Maven Central, le plus grand référentiel de packages Java, et a constaté que 35,863 4 packages Java utilisent des versions vulnérables de la bibliothèque Apache Log4j. Cela inclut les packages Java qui utilisent des versions de Log4j vulnérables à l'exploit Log2021Shell d'origine (CVE-44228-4) et un deuxième bogue d'exécution de code à distance découvert dans le correctif Log2021Shell (CVE-45046-XNUMX). La vulnérabilité a été caractérisée par Tenable comme "la vulnérabilité la plus importante et la plus critique de la dernière décennie".
« Le logiciel libre est le fondement du monde numérique et la vulnérabilité Log4j a montré à quel point nous en dépendons. Cet incident a constitué une menace sérieuse pour les systèmes fédéraux et les entreprises d'infrastructures critiques, y compris les banques, les hôpitaux et les services publics, dont les Américains dépendent chaque jour pour les services essentiels », a déclaré le sénateur Peters. « Cette législation bipartite et de bon sens contribuera à protéger les logiciels libres et à renforcer davantage nos défenses en matière de cybersécurité contre les cybercriminels et les adversaires étrangers lançant des attaques incessantes sur les réseaux à travers le pays. »
"Comme nous l'avons vu avec la vulnérabilité log4shell, les ordinateurs, les téléphones et les sites Web que nous utilisons tous au quotidien contiennent des logiciels open source vulnérables aux cyberattaques", a déclaré le sénateur Portman. « La loi bipartisane Open Source Software Security Act garantira que le gouvernement américain anticipe et atténue les vulnérabilités de sécurité dans les logiciels open source afin de protéger les données les plus sensibles des Américains. »
Les sénateurs mentionnent que a un grand poids, celui que la grande majorité des ordinateurs dans le monde d'une manière ou d'une autre ont des logiciels open source, en plus de qu'il est mentionné que le gouvernement fédéral, qui est l'un des plus grands utilisateurs de logiciels libres au monde, il doit pouvoir gérer ses propres risques et contribuer à la sécurité du logiciel libre dans le secteur privé et le reste du secteur public.
De plus, la législation exige que le Bureau de la gestion et du budget publie des directives aux agences fédérales sur l'utilisation sûre des logiciels libres et crée un sous-comité de sécurité des logiciels au sein du comité consultatif sur la cybersécurité de la CISA.
Peters et Portman ont mené plusieurs efforts pour renforcer la cybersécurité de notre pays. Sa disposition bipartite historique obligeant les propriétaires et les exploitants d'infrastructures critiques à signaler à la CISA s'ils subissent une cyberattaque importante ou effectuent un paiement de ransomware a été promulguée.
La législation des sénateurs visant à renforcer la cybersécurité des États et des gouvernements locaux a également été promulguée. Il convient également de noter que les projets de loi Peters et Portman visant à protéger les réseaux fédéraux et à garantir que le gouvernement peut adopter en toute sécurité la technologie cloud ont également été adoptés à l'unanimité au Sénat.
Enfin Si vous souhaitez en savoir plus, vous pouvez consulter les détails dans le lien suivant.