Gli Stati Uniti scommettono sul miglioramento della qualità e della sicurezza dell'open source
I senatori americani Gary Peters e Rob Portman, presidente e membro senior della commissione per la sicurezza interna e gli affari governativi, introdotto la legislazione bipartisan a proteggere i sistemi federali e le infrastrutture critiche attraverso rafforzare la sicurezza del software libero.
Con la legge della Sicurezza dell'open source (Securing Open Source Software Act) La CISA sarebbe diretta a sviluppare un quadro di rischio per valutare in che modo il governo federale utilizza il software open source, valuterebbe anche come lo stesso framework potrebbe essere utilizzato volontariamente dai proprietari e dagli operatori di infrastrutture critiche.
Questo identificherà i modi per mitigare i rischi su sistemi che utilizzano software open source. legislazione costringe inoltre CISA ad assumere professionisti con esperienza nello sviluppo di software open source per garantire che il governo e la comunità lavorino di pari passo e siano preparati ad affrontare incidenti come la vulnerabilità di Log4j. Inoltre, la legislazione richiede all'Office of Management and Budget (OMB) di fornire una guida alle agenzie federali sull'uso sicuro del software open source e istituisce un sottocomitato sulla sicurezza del software nel Cybersecurity Advisory Committee della CISA.
La legislazione segue un'udienza ospitato da Peters e Portman sull'incidente Log4j all'inizio di quest'anno e richiederebbe alla Cybersecurity and Infrastructure Security Agency (CISA) di garantire che il governo federale, le infrastrutture critiche e altri utilizzino il software libero in modo sicuro.
Ed è che la vulnerabilità di Log4j ha colpito milioni di persone di computer in tutto il mondo, comprese le infrastrutture critiche e i sistemi federali. Ciò ha portato i principali esperti di sicurezza informatica a parlare di una delle vulnerabilità della sicurezza informatica più gravi e diffuse mai viste.
Il team open source di Google ha affermato di aver analizzato Maven Central, il più grande repository di pacchetti Java, e di aver scoperto che 35,863 pacchetti Java utilizzano versioni vulnerabili della libreria Apache Log4j. Ciò include i pacchetti Java che utilizzano versioni di Log4j vulnerabili all'exploit Log4Shell originale (CVE-2021-44228) e un secondo bug di esecuzione di codice remoto scoperto nella patch Log4Shell (CVE-2021-45046). La vulnerabilità è stata caratterizzata da Tenable come "la più grande e critica vulnerabilità dell'ultimo decennio".
“Il software libero è la base del mondo digitale e la vulnerabilità di Log4j ha dimostrato quanto dipendiamo da esso. Questo incidente ha rappresentato una seria minaccia per i sistemi federali e le attività di infrastrutture critiche, comprese banche, ospedali e servizi pubblici, da cui gli americani dipendono ogni giorno per i servizi essenziali", ha affermato il senatore Peters. “Questa legislazione bipartisan di buon senso aiuterà a proteggere il software libero e rafforzerà ulteriormente le nostre difese di sicurezza informatica contro i criminali informatici e gli avversari stranieri che lanciano attacchi implacabili alle reti in tutto il paese. »
"Come abbiamo visto con la vulnerabilità log4shell, i computer, i telefoni e i siti Web che tutti utilizziamo ogni giorno contengono software open source vulnerabile agli attacchi informatici", ha affermato il senatore Portman. “Il bipartisan Open Source Software Security Act garantirà che il governo degli Stati Uniti anticipi e mitighi le vulnerabilità di sicurezza nel software open source per proteggere i dati più sensibili degli americani. »
Lo dicono i senatori ha un grande peso, quello che la stragrande maggioranza dei computer nel mondo in un modo o nell'altro hanno software open source, oltre a che se ne parla il governo federale, che è uno dei maggiori utilizzatori mondiali di software libero, deve essere in grado di gestire i propri rischi e contribuire alla sicurezza del software libero nel settore privato e nel resto del settore pubblico.
Inoltre, la legislazione richiede che l'Office of Management and Budget emetta linee guida alle agenzie federali sull'uso sicuro del software libero e crei un sottocomitato per la sicurezza del software all'interno del comitato consultivo per la sicurezza informatica della CISA.
Peters e Portman hanno condotto diversi sforzi per rafforzare la sicurezza informatica della nostra nazione. La sua storica disposizione bipartisan che richiede ai proprietari e agli operatori di infrastrutture critiche di segnalare alla CISA se subiscono un attacco informatico significativo o effettuano un pagamento di ransomware è stata firmata in legge.
È stata anche firmata la legge dei senatori per rafforzare la sicurezza informatica per i governi statali e locali. Degno di nota è anche che i disegni di legge Peters e Portman per proteggere le reti federali e garantire che il governo possa adottare in sicurezza la tecnologia cloud anche approvati all'unanimità al Senato.
Infine Se sei interessato a saperne di più, puoi consultare i dettagli nel seguente link.