Amerikas Savienotās Valstis liek derības uz atvērtā koda kvalitātes un drošības uzlabošanu
L ASV senatori Gerijs Pīterss un Robs Portmens, Tēvzemes drošības un valdības lietu komitejas priekšsēdētājs un vecākais loceklis, ieviesa divpartiju tiesību aktus aizsargāt federālās sistēmas un kritisko infrastruktūru bezmaksas programmatūras drošības stiprināšana.
Saskaņā ar atklātā pirmkoda drošības likumu (Atvērtā pirmkoda programmatūras drošības likums) CISA būtu paredzēts izstrādāt riska sistēmu lai novērtētu, kā federālā valdība izmanto atvērtā pirmkoda programmatūru, tā arī novērtētu, kā kritiskās infrastruktūras īpašnieki un operatori varētu brīvprātīgi izmantot to pašu sistēmu.
Tas noteiks veidus, kā mazināt riskus sistēmās, kurās tiek izmantota atvērtā pirmkoda programmatūra. tiesību aktiem tas arī liek CISA nolīgt profesionāļus ar pieredzi atvērtā pirmkoda programmatūras izstrādē lai nodrošinātu, ka valdība un kopiena strādā roku rokā un ir gatavas risināt tādus incidentus kā Log4j ievainojamība. Turklāt tiesību akti nosaka, ka Pārvaldības un budžeta birojam (OMB) ir jāsniedz norādījumi federālajām aģentūrām par atvērtā pirmkoda programmatūras drošu izmantošanu, un CISA Kiberdrošības padomdevējā komitejā izveido programmatūras drošības apakškomiteju.
Tiesību akti seko uzklausīšanai vada Pīters un Portmane par Log4j incidentu šī gada sākumā, un tas prasītu Kiberdrošības un infrastruktūras drošības aģentūrai (CISA), lai nodrošinātu, ka federālā valdība, kritiskā infrastruktūra un citas valstis droši izmanto bezmaksas programmatūru.
Un tas ir tāds, ka Log4j ievainojamība ir skārusi miljonus datoru visā pasaulē, tostarp kritisko infrastruktūru un federālās sistēmas. Tas ir licis vadošajiem kiberdrošības ekspertiem runāt par vienu no nopietnākajām un izplatītākajām kiberdrošības ievainojamībām, kāda jebkad ir redzēta.
Google atvērtā pirmkoda komanda teica, ka tā ir analizējusi Maven Central, lielāko Java pakotņu krātuvi, un atklāja, ka 35,863 4 Java pakotnes izmanto neaizsargātas Apache Log4j bibliotēkas versijas. Tas ietver Java pakotnes, kurās tiek izmantotas Log4j versijas, kas ir neaizsargātas pret sākotnējo Log2021Shell izmantošanu (CVE-44228-4), un otru attālās koda izpildes kļūdu, kas atklāta Log2021Shell ielāpā (CVE-45046-XNUMX). Tenable šo ievainojamību raksturo kā "pēdējās desmitgades lielāko un kritiskāko ievainojamību".
“Bezmaksas programmatūra ir digitālās pasaules pamats, un Log4j ievainojamība ir parādījusi, cik ļoti mēs no tās atkarīgi. Šis incidents radīja nopietnus draudus federālajām sistēmām un kritiskās infrastruktūras uzņēmumiem, tostarp bankām, slimnīcām un komunālajiem pakalpojumiem, no kuriem amerikāņi katru dienu ir atkarīgi, lai sniegtu būtiskus pakalpojumus, ”sacīja senators Pīterss. “Šis divpusējais, veselā saprāta tiesību akts palīdzēs aizsargāt bezmaksas programmatūru un vēl vairāk nostiprinās mūsu kiberdrošības aizsardzību pret kibernoziedzniekiem un ārvalstu pretiniekiem, kas veic nerimstošus uzbrukumus tīkliem visā valstī. »
"Kā mēs redzējām ar log4shell ievainojamību, datoros, tālruņos un vietnēs, ko mēs visi lietojam katru dienu, ir atvērtā pirmkoda programmatūra, kas ir neaizsargāta pret kiberuzbrukumiem," sacīja senators Portmens. “Divpusējais atklātā pirmkoda programmatūras drošības likums nodrošinās, ka ASV valdība paredz un mazina atvērtā pirmkoda programmatūras drošības ievainojamības, lai aizsargātu amerikāņu sensitīvākos datus. »
Senatori to piemin ir liels svars, tāds, kāds ir lielākajai daļai datoru pasaulē vienā vai otrā veidā ir atvērtā pirmkoda programmatūra, papildus ka tas ir minēts federālā valdība, kas ir viena no pasaulē lielākajām bezmaksas programmatūras lietotājiem, tai jāspēj pārvaldīt savus riskus un dot ieguldījumu bezmaksas programmatūras drošībā privātajā sektorā un pārējā valsts sektorā.
Turklāt tiesību akti nosaka, ka Pārvaldības un budžeta birojam ir jāizdod federālajām aģentūrām vadlīnijas par drošu bezmaksas programmatūras izmantošanu un jāizveido Programmatūras drošības apakškomiteja CISA Kiberdrošības padomdevēja komitejā.
Pīters un Portmane ir vadījuši vairākus centienus stiprināt mūsu valsts kiberdrošību. Tās vēsturiskais divpusējais noteikums, kas pieprasa kritiskās infrastruktūras īpašniekiem un operatoriem ziņot CISA, ja viņi saskaras ar nozīmīgu kiberuzbrukumu vai veic maksājumu ar izspiedējvīrusu, ir parakstīts likumā.
Likumā tika parakstīti arī senatoru pieņemtie tiesību akti valsts un pašvaldību kiberdrošības stiprināšanai. Ievērības cienīgs ir arī tas, ka Senātā vienbalsīgi pieņēma arī Pītersa un Portmena likumprojektus, lai aizsargātu federālos tīklus un nodrošinātu, ka valdība var droši pieņemt mākoņtehnoloģiju.
Beidzot Ja jūs interesē uzzināt vairāk par to, jūs varat konsultēties sīkāku informāciju šajā saitē.