미국은 오픈 소스의 품질과 보안을 개선하는 데 베팅하고 있습니다.
롯 미국 상원의원 Gary Peters와 Rob Portman, 국토 안보 및 정부 업무 위원회 위원장 겸 선임 위원, 양당 법안을 도입했다. 통해 연방 시스템과 중요 인프라를 보호합니다. 자유 소프트웨어의 보안을 강화합니다.
오픈소스보안법(오픈소스소프트웨어보호법) CISA는 위험 프레임워크를 개발하도록 지시됩니다. 연방 정부가 오픈 소스 소프트웨어를 사용하는 방법을 평가하기 위해 중요한 인프라 소유자 및 운영자가 동일한 프레임워크를 자발적으로 사용할 수 있는 방법도 평가합니다.
이것은 위험을 완화하는 방법을 식별합니다 오픈 소스 소프트웨어를 사용하는 시스템에서. 법률 제정 또한 CISA는 오픈 소스 소프트웨어 개발 경험이 있는 전문가를 고용해야 합니다. 정부와 커뮤니티가 협력하여 Log4j 취약점과 같은 사건을 처리할 준비가 되어 있는지 확인합니다. 또한 이 법안은 OMB(Office of Management and Budget)가 연방 기관에 오픈 소스 소프트웨어의 안전한 사용에 대한 지침을 제공하고 CISA의 사이버 보안 자문 위원회(Cybersecurity Advisory Committee.)에 소프트웨어 보안에 대한 소위원회를 설치하도록 규정하고 있습니다.
청문회에 이어 입법화 Peters and Portman 주최 Log4j 사건에 대해 올해 초에는 사이버 보안 및 기반 시설 보안국(CISA)이 연방 정부, 주요 기반 시설 및 기타 기관에서 자유 소프트웨어를 안전하게 사용할 수 있도록 요구할 것입니다.
그리고 Log4j 취약점이 수백만 명에게 영향을 미쳤다는 것입니다. 중요 인프라 및 연방 시스템을 포함한 전 세계 컴퓨터의 이로 인해 주요 사이버 보안 전문가들은 지금까지 본 것 중 가장 심각하고 광범위한 사이버 보안 취약점 중 하나에 대해 이야기했습니다.
구글의 오픈 소스 팀은 가장 큰 자바 패키지 저장소인 메이븐 센트럴을 분석한 결과 35,863개의 자바 패키지가 Apache Log4j 라이브러리의 취약한 버전을 사용하는 것을 발견했다고 밝혔다. 여기에는 원래 Log4Shell 익스플로잇(CVE-4-2021)에 취약한 Log44228j 버전을 사용하는 Java 패키지와 Log4Shell 패치(CVE-2021-45046)에서 발견된 두 번째 원격 코드 실행 버그가 포함됩니다. 이 취약점은 Tenable에 의해 "지난 XNUMX년 동안 가장 크고 가장 치명적인 취약점"으로 특징 지어졌습니다.
“자유 소프트웨어는 디지털 세계의 기초이며 Log4j 취약점은 우리가 그것에 얼마나 의존하는지 보여주었습니다. 이 사건은 미국인들이 필수 서비스를 위해 매일 의존하는 은행, 병원, 유틸리티를 포함한 연방 시스템과 주요 기반 시설에 심각한 위협이 되었습니다”라고 Peters 상원의원은 말했습니다. “이 초당적이고 상식적인 법안은 무료 소프트웨어를 보호하고 사이버 범죄자와 미국 전역의 네트워크에 무자비한 공격을 가하는 외국의 적에 대한 사이버 보안 방어를 더욱 강화하는 데 도움이 될 것입니다. »
Portman 상원의원은 "log4shell 취약점에서 보았듯이 우리가 매일 사용하는 컴퓨터, 전화 및 웹사이트에는 사이버 공격에 취약한 오픈 소스 소프트웨어가 포함되어 있습니다."라고 말했습니다. “양당의 오픈 소스 소프트웨어 보안법은 미국 정부가 미국인의 가장 민감한 데이터를 보호하기 위해 오픈 소스 소프트웨어의 보안 취약성을 예상하고 완화하도록 할 것입니다. »
상원의원들은 다음과 같이 언급한다. 대부분의 컴퓨터가 차지하는 무게가 매우 큽니다. 세계에서 어떤 식 으로든 오픈 소스 소프트웨어를 보유하고 있습니다. 라고 언급되어있다. 세계 최대의 자유 소프트웨어 사용자 중 하나인 연방 정부, 자체 위험을 관리할 수 있어야 하고 민간 부문과 나머지 공공 부문에서 자유 소프트웨어의 보안에 기여할 수 있어야 합니다.
또한 이 법안은 관리예산실이 자유 소프트웨어의 안전한 사용에 대한 지침을 연방 기관에 발행하고 CISA의 사이버 보안 자문 위원회 내에 소프트웨어 보안 소위원회를 만들 것을 요구합니다.
Peters와 Portman은 미국의 사이버 보안을 강화하기 위한 여러 노력을 주도했습니다. 중요한 인프라의 소유자와 운영자가 심각한 사이버 공격을 경험하거나 랜섬웨어를 지불하는 경우 CISA에 보고하도록 요구하는 초당적 조항이 법적으로 서명되었습니다.
주 및 지방 정부를 위한 사이버 보안을 강화하기 위한 상원의 법안도 서명되었습니다. 또한 주목할만한 것은 Peters and Portman이 연방 네트워크를 보호하고 정부가 클라우드 기술을 안전하게 채택할 수 있도록 하는 법안이 상원에서도 만장일치로 통과되었다는 점입니다.
최종적으로 그것에 대해 더 많이 알고 싶다면 당신은 상담 할 수 있습니다 다음 링크의 세부 사항.