Amerika Serikat bertaruh untuk meningkatkan kualitas dan keamanan sumber terbuka
Los senator AS Gary Peters dan Rob Portman, Ketua dan Anggota Senior Komite Keamanan Dalam Negeri dan Urusan Pemerintah, memperkenalkan undang-undang bipartisan untuk melindungi sistem federal dan infrastruktur penting melalui memperkuat keamanan perangkat lunak bebas.
Dengan hukum Keamanan sumber terbuka (Securing Open Source Software Act) CISA akan diarahkan untuk mengembangkan kerangka kerja risiko untuk menilai bagaimana pemerintah federal menggunakan perangkat lunak sumber terbuka, itu juga akan menilai bagaimana kerangka kerja yang sama dapat digunakan secara sukarela oleh pemilik dan operator infrastruktur penting.
Ini akan mengidentifikasi cara untuk mengurangi risiko pada sistem yang menggunakan perangkat lunak open source. peraturan perundang-undangan itu juga memaksa CISA untuk mempekerjakan profesional dengan pengalaman dalam mengembangkan perangkat lunak sumber terbuka untuk memastikan bahwa pemerintah dan masyarakat bekerja bahu membahu dan siap untuk menangani insiden seperti kerentanan Log4j. Selain itu, undang-undang mengharuskan Kantor Manajemen dan Anggaran (OMB) untuk memberikan panduan kepada lembaga federal tentang penggunaan perangkat lunak sumber terbuka yang aman dan membentuk subkomite keamanan perangkat lunak di Komite Penasihat Keamanan Siber CISA.
Perundang-undangan Mengikuti Audiensi dilayani oleh Peters and Portman tentang insiden Log4j awal tahun ini, dan akan membutuhkan Cybersecurity and Infrastructure Security Agency (CISA) untuk memastikan bahwa pemerintah federal, infrastruktur kritis, dan lainnya menggunakan perangkat lunak bebas dengan aman.
Dan kerentanan Log4j telah mempengaruhi jutaan orang komputer di seluruh dunia, termasuk infrastruktur kritis dan sistem federal. Hal ini membuat para pakar keamanan siber terkemuka angkat bicara tentang salah satu kerentanan keamanan siber paling serius dan tersebar luas yang pernah ada.
Tim open source Google mengatakan telah menganalisis Maven Central, repositori paket Java terbesar, dan menemukan bahwa 35,863 paket Java menggunakan versi rentan dari pustaka Apache Log4j. Ini termasuk paket Java yang menggunakan versi Log4j yang rentan terhadap eksploitasi Log4Shell asli (CVE-2021-44228) dan bug eksekusi kode jarak jauh kedua yang ditemukan di patch Log4Shell (CVE-2021-45046). Kerentanan telah ditandai oleh Tenable sebagai "kerentanan terbesar dan paling kritis dalam dekade terakhir."
“Perangkat lunak bebas adalah fondasi dunia digital dan kerentanan Log4j telah menunjukkan seberapa besar kita bergantung padanya. Insiden ini merupakan ancaman serius bagi sistem federal dan bisnis infrastruktur penting, termasuk bank, rumah sakit, dan utilitas, yang diandalkan orang Amerika setiap hari untuk layanan penting,” kata Senator Peters. “Undang-undang bipartisan yang masuk akal ini akan membantu melindungi perangkat lunak bebas dan semakin memperkuat pertahanan keamanan siber kami terhadap penjahat dunia maya dan musuh asing yang meluncurkan serangan tanpa henti ke jaringan di seluruh negeri. »
"Seperti yang kita lihat dengan kerentanan log4shell, komputer, ponsel, dan situs web yang kita semua gunakan setiap hari berisi perangkat lunak open source yang rentan terhadap serangan dunia maya," kata Senator Portman. “Undang-Undang Keamanan Perangkat Lunak Sumber Terbuka bipartisan akan memastikan bahwa pemerintah AS mengantisipasi dan mengurangi kerentanan keamanan dalam perangkat lunak sumber terbuka untuk melindungi data Amerika yang paling sensitif. »
Para senator menyebutkan bahwa memiliki bobot yang besar, yang sebagian besar komputer di dunia dalam satu atau lain cara memiliki perangkat lunak sumber terbuka, selain bahwa disebutkan bahwa pemerintah federal, yang merupakan salah satu pengguna perangkat lunak bebas terbesar di dunia, ia harus mampu mengelola risikonya sendiri dan berkontribusi pada keamanan perangkat lunak bebas di sektor swasta dan sektor publik lainnya.
Selain itu, undang-undang mengharuskan Kantor Manajemen dan Anggaran untuk mengeluarkan pedoman kepada agen federal tentang penggunaan yang aman dari perangkat lunak bebas dan membuat Subkomite Keamanan Perangkat Lunak dalam Komite Penasihat Keamanan Siber CISA.
Peters dan Portman telah memimpin beberapa upaya untuk memperkuat keamanan dunia maya negara kita. Ketentuan bipartisan bersejarahnya yang mengharuskan pemilik dan operator infrastruktur penting untuk melapor ke CISA jika mereka mengalami serangan siber yang signifikan atau melakukan pembayaran ransomware telah ditandatangani menjadi undang-undang.
Legislasi oleh para senator untuk memperkuat keamanan siber bagi pemerintah negara bagian dan lokal juga ditandatangani menjadi undang-undang. Yang juga perlu diperhatikan adalah bahwa undang-undang Peters dan Portman untuk melindungi jaringan federal dan memastikan bahwa pemerintah dapat dengan aman mengadopsi teknologi cloud juga disahkan dengan suara bulat di Senat.
Akhirnya Jika Anda tertarik untuk mengetahui lebih banyak tentang itu, Anda bisa berkonsultasi detailnya di tautan berikut.