Sjedinjene Države se klade na poboljšanje kvalitete i sigurnosti otvorenog koda
The američki senatori Gary Peters i Rob Portman, predsjednik i viši član Odbora za domovinsku sigurnost i vladine poslove, uveo dvostranačko zakonodavstvo u zaštiti federalne sustave i kritičnu infrastrukturu kroz jačanje sigurnosti slobodnog softvera.
Sa zakonom o sigurnosti otvorenog koda (Securing Open Source Software Act) CISA bi bila usmjerena na razvoj okvira rizika da bi procijenila kako savezna vlada koristi softver otvorenog koda, također bi procijenila kako bi isti okvir mogli dobrovoljno koristiti vlasnici i operateri kritične infrastrukture.
To će identificirati načine za ublažavanje rizika na sustavima koji koriste softver otvorenog koda. zakonodavstvo također prisiljava CISA da zaposli profesionalce s iskustvom u razvoju softvera otvorenog koda kako bi se osiguralo da vlada i zajednica rade ruku pod ruku i da su spremni riješiti incidente kao što je ranjivost Log4j. Osim toga, zakon zahtijeva od Ureda za upravljanje i proračun (OMB) da saveznim agencijama pruži smjernice o sigurnoj upotrebi softvera otvorenog koda i uspostavlja pododbor za sigurnost softvera u Savjetodavnom odboru za kibernetičku sigurnost CISA-e.
Zakonodavstvo slijedi nakon saslušanja domaćini Peters i Portman o incidentu Log4j ranije ove godine, te bi zahtijevao od Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA) da osigura da savezna vlada, kritična infrastruktura i drugi sigurno koriste besplatni softver.
A to je da je ranjivost Log4j utjecala na milijune računala diljem svijeta, uključujući kritičnu infrastrukturu i federalne sustave. To je navelo vodeće stručnjake za kibernetičku sigurnost da progovore o jednoj od najozbiljnijih i najraširenijih ranjivosti kibernetičke sigurnosti ikada viđenih.
Googleov tim za otvoreni kod rekao je da je analizirao Maven Central, najveće spremište Java paketa, i otkrio da 35,863 Java paketa koristi ranjive verzije Apache Log4j biblioteke. To uključuje Java pakete koji koriste verzije Log4j ranjive na izvornu eksploataciju Log4Shell (CVE-2021-44228) i drugu grešku u daljinskom izvršavanju koda otkrivenu u zakrpi Log4Shell (CVE-2021-45046). Tenable je ovu ranjivost okarakterizirao kao "najveću i najkritičniju ranjivost u posljednjem desetljeću".
“Slobodni softver temelj je digitalnog svijeta, a ranjivost Log4j pokazala je koliko ovisimo o njoj. Ovaj je incident predstavljao ozbiljnu prijetnju federalnim sustavima i ključnim infrastrukturnim poslovima, uključujući banke, bolnice i komunalna poduzeća, o kojima Amerikanci svakodnevno ovise za osnovne usluge,” rekao je senator Peters. “Ovaj dvostranački, zdravorazumski zakon pomoći će u zaštiti slobodnog softvera i dodatno ojačati našu kibersigurnosnu obranu od kibernetičkih kriminalaca i stranih protivnika koji pokreću nemilosrdne napade na mreže diljem zemlje. »
"Kao što smo vidjeli s ranjivošću log4shell, računala, telefoni i web stranice koje svi svakodnevno koristimo sadrže softver otvorenog koda koji je ranjiv na cyber napade", rekao je senator Portman. “Dvostranački Zakon o sigurnosti softvera otvorenog koda osigurat će da vlada SAD-a predvidi i ublaži sigurnosne propuste u softveru otvorenog koda kako bi zaštitila najosjetljivije podatke Amerikanaca. »
Senatori to spominju ima veliku težinu, onu koju ima velika većina računala u svijetu na ovaj ili onaj način imaju open source softver, osim toga da se spominje da savezna vlada, koja je jedan od najvećih svjetskih korisnika besplatnog softvera, mora moći upravljati vlastitim rizicima i pridonijeti sigurnosti slobodnog softvera u privatnom sektoru i ostatku javnog sektora.
Osim toga, zakon zahtijeva od Ureda za upravljanje i proračun izdavanje smjernica saveznim agencijama o sigurnoj upotrebi besplatnog softvera i osnivanje Pododbora za sigurnost softvera unutar Savjetodavnog odbora za kibernetičku sigurnost CISA-e.
Peters i Portman predvodili su nekoliko napora za jačanje kibernetičke sigurnosti naše zemlje. Njegova povijesna dvostranačka odredba koja od vlasnika i operatera kritične infrastrukture zahtijeva da prijave CISA-i ako dožive značajan kibernetički napad ili izvrše plaćanje ransomwareom, potpisana je kao zakon.
Zakoni senatora za jačanje kibernetičke sigurnosti državnih i lokalnih vlasti također su potpisani kao zakon. Također je važno spomenuti da su prijedlozi zakona Petersa i Portmana za zaštitu federalnih mreža i osiguranje da vlada može sigurno usvojiti tehnologiju oblaka također jednoglasno usvojeni u Senatu.
Konačno Ako vas zanima više o tome, možete se posavjetovati pojedinosti na sljedećem linku.