Az Egyesült Államok a nyílt forráskód minőségének és biztonságának javítására fogad
sok amerikai szenátorok Gary Peters és Rob Portman, a belbiztonsági és kormányzati ügyek bizottságának elnöke és magas rangú tagja, kétpárti törvényt vezetett be keresztül védi a szövetségi rendszereket és a kritikus infrastruktúrát a szabad szoftverek biztonságának erősítése.
A nyílt forráskódú biztonsági törvénynek megfelelően (Securing Open Source Software Act) A CISA egy kockázati keretrendszer kidolgozására irányulna annak felmérésére, hogy a szövetségi kormány hogyan használ nyílt forráskódú szoftvereket, azt is felmérné, hogy a kritikus infrastruktúrák tulajdonosai és üzemeltetői hogyan használhatnák önkéntesen ugyanazt a keretrendszert.
Ez meghatározza a kockázatok csökkentésének módjait nyílt forráskódú szoftvert használó rendszereken. jogszabályokat arra is kényszeríti a CISA-t, hogy nyílt forráskódú szoftverek fejlesztésében tapasztalattal rendelkező szakembereket alkalmazzon annak biztosítása, hogy a kormány és a közösség kéz a kézben működjenek, és készek legyenek kezelni az olyan incidenseket, mint például a Log4j sebezhetősége. Ezen túlmenően a jogszabály előírja, hogy az Irányítási és Költségvetési Hivatal (OMB) iránymutatást nyújtson a szövetségi ügynökségeknek a nyílt forráskódú szoftverek biztonságos használatáról, és a CISA Kiberbiztonsági Tanácsadó Bizottságában szoftverbiztonsági albizottságot hoz létre.
Törvényalkotás meghallgatást követ házigazdája Peters és Portman a Log4j incidensről ez év elején, és megkövetelné a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségtől (CISA) annak biztosítását, hogy a szövetségi kormány, a kritikus infrastruktúra és mások biztonságosan használják a szabad szoftvereket.
És ez az, hogy a Log4j sebezhetősége milliókat érintett számítógépek világszerte, beleértve a kritikus infrastruktúrát és a szövetségi rendszereket. Ez arra késztette a vezető kiberbiztonsági szakértőket, hogy a valaha látott egyik legsúlyosabb és legelterjedtebb kiberbiztonsági sebezhetőségről beszéljenek.
A Google nyílt forráskódú csapata azt közölte, hogy elemezte a Maven Centralt, a legnagyobb Java-csomagok tárházát, és megállapította, hogy 35,863 4 Java-csomag használja az Apache Log4j könyvtár sebezhető verzióit. Ide tartoznak azok a Java-csomagok, amelyek a Log4j eredeti Log2021Shell-exploitjának (CVE-44228-4) és a Log2021Shell javításban felfedezett második távoli kódfuttatási hibájának (CVE-45046-XNUMX) sérülékeny verzióit használják. A sebezhetőséget a Tenable "az elmúlt évtized legnagyobb és legkritikusabb sebezhetőségeként" jellemezte.
„Az ingyenes szoftver a digitális világ alapja, és a Log4j sebezhetősége megmutatta, mennyire függünk tőle. Ez az incidens komoly fenyegetést jelentett a szövetségi rendszerekre és a kritikus infrastruktúrával foglalkozó vállalkozásokra, beleértve a bankokat, kórházakat és közműveket, amelyektől az amerikaiak nap mint nap támaszkodnak alapvető szolgáltatásokra” – mondta Peters szenátor. „Ez a kétpárti, józan észnek megfelelő jogszabály segít megvédeni a szabad szoftvereket, és tovább erősíti kiberbiztonsági védelmünket a kiberbűnözők és a hálózatok ellen országszerte kíméletlen támadásokat indító külföldi ellenfelekkel szemben. »
"Amint láttuk a log4shell sebezhetőségénél, a mindennap használt számítógépek, telefonok és webhelyek olyan nyílt forráskódú szoftvereket tartalmaznak, amelyek sebezhetőek a kibertámadásokkal szemben" - mondta Portman szenátor. „A kétoldalú nyílt forráskódú szoftverbiztonsági törvény biztosítja, hogy az Egyesült Államok kormánya előre jelezze és mérsékelje a nyílt forráskódú szoftverek biztonsági réseit, hogy megvédje az amerikaiak legérzékenyebb adatait. »
A szenátorok megemlítik ezt nagy súlya van, mint a számítógépek túlnyomó többségének a világon ilyen vagy olyan módon van nyílt forráskódú szoftverük, emellett hogy szó van arról a szövetségi kormány, amely a világ egyik legnagyobb szabad szoftver felhasználója, képesnek kell lennie saját kockázatainak kezelésére, és hozzá kell járulnia a szabad szoftverek biztonságához a magánszektorban és a közszféra többi részében.
Ezen túlmenően a jogszabály előírja, hogy a Kezelői és Költségvetési Hivatal iránymutatásokat adjon ki a szövetségi ügynökségeknek a szabad szoftverek biztonságos használatáról, és hozzon létre egy Szoftverbiztonsági albizottságot a CISA Kiberbiztonsági Tanácsadó Bizottságán belül.
Peters és Portman számos erőfeszítést vezetett nemzetünk kiberbiztonságának megerősítésére. Törvénybe iktatták annak történelmi, kétpárti rendelkezését, amely megköveteli a kritikus infrastruktúrák tulajdonosaitól és üzemeltetőitől, hogy jelentsék a CISA-t, ha jelentős kibertámadást tapasztalnak vagy zsarolóvírus-fizetést hajtanak végre.
A szenátorok olyan jogszabályt is aláírtak, amely megerősíti az állami és a helyi önkormányzatok kiberbiztonságát. Szintén figyelemre méltó, hogy a Szenátus egyhangúlag elfogadta a szövetségi hálózatok védelmét és a felhőtechnológia kormány általi biztonságos alkalmazását célzó Peters és Portman törvényjavaslatokat.
Végül Ha érdekel, hogy többet tudjon meg róla, konzultálhat a részleteket a következő linken.