米国では、フリーソフトウェアのセキュリティを強化する法律を提出しました。

Darkcrizt

4分

米国では、フリーソフトウェアのセキュリティを強化する法律を提出しました。

米国はオープンソースの品質とセキュリティの向上に賭けています

たくさん 米国上院議員 ゲイリー・ピーターズとロブ・ポートマン、国土安全保障および政府問題委員会の会長兼上級委員、 ~に超党派法を導入した 連邦システムと重要なインフラストラクチャを保護する フリーソフトウェアのセキュリティ強化。

オープンソースのセキュリティに関する法律(Securing Open Source Software Act)とは CISA は、リスク フレームワークを開発するように指示されます。 連邦政府がオープン ソース ソフトウェアをどのように使用しているかを評価するために、重要なインフラストラクチャの所有者と運用者が同じフレームワークを自発的に使用する方法も評価します。

これにより、リスクを軽減する方法が特定されます オープンソース ソフトウェアを使用するシステム上。 立法 また、CISA はオープン ソース ソフトウェアの開発経験を持つ専門家を雇う必要があります。 政府とコミュニティが協力し、Log4j の脆弱性などのインシデントに対処する準備が整っていることを確認します。 さらに、この法律では、行政管理予算局 (OMB) が、オープンソース ソフトウェアの安全な使用について連邦政府機関にガイダンスを提供することを義務付けており、CISA のサイバーセキュリティ諮問委員会にソフトウェア セキュリティに関する小委員会を設置しています。

立法は公聴会に従う ピーターズとポートマンが主催 Log4j事件について 今年初めに、連邦政府、重要なインフラストラクチャー、その他がフリーソフトウェアを安全に使用することを保証するために、Cyber​​security and Infrastructure Security Agency (CISA) を要求します。

そして、Log4j の脆弱性が何百万もの人々に影響を与えているということです 重要なインフラストラクチャや連邦システムを含む、世界中のコンピューターの数。 これにより、主要なサイバーセキュリティの専門家が、これまでに見られた中で最も深刻で蔓延しているサイバーセキュリティの脆弱性の XNUMX つについて発言するようになりました。

Google のオープンソース チームは、最大の Java パッケージ リポジトリである Maven Central を分析したところ、35,863 個の Java パッケージが脆弱なバージョンの Apache Log4j ライブラリを使用していることを発見したと述べています。 これには、元の Log4Shell エクスプロイト (CVE-4-2021) に対して脆弱なバージョンの Log44228j を使用する Java パッケージと、Log4Shell パッチで発見された 2021 つ目のリモート コード実行バグ (CVE-45046-XNUMX) が含まれます。 Tenable は、この脆弱性を「過去 XNUMX 年間で最大かつ最も重大な脆弱性」と評価しています。

「フリー ソフトウェアはデジタル世界の基盤であり、Log4j の脆弱性は、私たちがそれにどれだけ依存しているかを示しています。 この事件は、アメリカ人が不可欠なサービスのために毎日依存している銀行、病院、公益事業など、連邦政府のシステムと重要なインフラストラクチャ ビジネスに深刻な脅威をもたらしました」とピーターズ上院議員は述べました。 「この超党派的で常識的な法律は、フリーソフトウェアを保護し、サイバー犯罪者や国中のネットワークに執拗な攻撃を仕掛ける外国の敵対者に対するサイバーセキュリティ防御をさらに強化するのに役立ちます。 »

ポートマン上院議員は、「log4shell の脆弱性で見たように、私たちが毎日使用しているコンピューター、電話、および Web サイトには、サイバー攻撃に対して脆弱なオープン ソース ソフトウェアが含まれています。 「超党派のオープン ソース ソフトウェア セキュリティ法は、米国政府がオープン ソース ソフトウェアのセキュリティの脆弱性を予測して緩和し、アメリカ人の最も機密性の高いデータを保護することを保証します。 »

上院議員は、 大多数のコンピューターが 世界で 何らかの形でオープンソースソフトウェアを持っていることに加えて、 それが言及されていること フリーソフトウェアの世界最大のユーザーの XNUMX つである連邦政府、それ自体のリスクを管理し、民間部門およびその他の公共部門におけるフリーソフトウェアのセキュリティに貢献できなければなりません。

さらに、この法律では、管理予算局が連邦政府機関にフリー ソフトウェアの安全な使用に関するガイドラインを発行し、CISA のサイバーセキュリティ諮問委員会内にソフトウェア セキュリティ小委員会を設置することを義務付けています。

ピーターズとポートマンは、我が国のサイバー セキュリティを強化するためのいくつかの取り組みを主導してきました。 重大なサイバー攻撃を受けた場合、またはランサムウェアの支払いを行った場合、重要なインフラストラクチャの所有者と運用者が CISA に報告することを要求する、その歴史的な超党派の条項が法律に署名されました。

州および地方政府のサイバーセキュリティを強化する上院議員による法案も成立しました。 また、Peters と Portman が連邦ネットワークを保護し、政府がクラウド テクノロジを安全に採用できるようにするための法案が上院でも全会一致で可決されたことも注目に値します。

最後に あなたがそれについてもっと知りたいのなら、 あなたは相談することができます 詳細は次のリンクにあります。


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。