De Verenigde Staten zetten in op verbetering van de kwaliteit en veiligheid van open source
De Amerikaanse senatoren Gary Peters en Rob Portman, voorzitter en senior lid van de commissie Homeland Security and Governmental Affairs, tweeledige wetgeving ingevoerd om federale systemen en kritieke infrastructuur beschermen door middel van: versterking van de beveiliging van vrije software.
Met de wet van Beveiliging van de open source (Securing Open Source Software Act) CISA zou worden opgedragen om een risicokader te ontwikkelen om te beoordelen hoe de federale overheid open source-software gebruikt, zou ze ook beoordelen hoe hetzelfde raamwerk vrijwillig zou kunnen worden gebruikt door eigenaren en exploitanten van kritieke infrastructuur.
Dit zal manieren identificeren om risico's te beperken op systemen die open source software gebruiken. wetgeving het dwingt CISA ook om professionals in te huren met ervaring in het ontwikkelen van open source software om ervoor te zorgen dat de overheid en de gemeenschap hand in hand werken en bereid zijn om incidenten zoals de Log4j-kwetsbaarheid aan te pakken. Bovendien vereist de wetgeving dat het Office of Management and Budget (OMB) richtlijnen geeft aan federale agentschappen over het veilige gebruik van open source software en stelt het een subcommissie voor softwarebeveiliging in de Cybersecurity Advisory Committee van CISA in.
Wetgeving volgt een hoorzitting gehost door Peters en Portman over het Log4j-incident eerder dit jaar, en zou het Cybersecurity and Infrastructure Security Agency (CISA) nodig hebben om ervoor te zorgen dat de federale overheid, kritieke infrastructuur en anderen gratis software veilig gebruiken.
En het is dat de Log4j-kwetsbaarheid miljoenen heeft getroffen van computers over de hele wereld, inclusief kritieke infrastructuur en federale systemen. Dit heeft ertoe geleid dat vooraanstaande cyberbeveiligingsexperts zich uitspreken over een van de meest ernstige en wijdverbreide cyberbeveiligingskwetsbaarheden die ooit zijn gezien.
Het open source-team van Google zei dat het Maven Central, de grootste opslagplaats voor Java-pakketten, analyseerde en ontdekte dat 35,863 Java-pakketten kwetsbare versies van de Apache Log4j-bibliotheek gebruiken. Dit omvat Java-pakketten die versies van Log4j gebruiken die kwetsbaar zijn voor de oorspronkelijke Log4Shell-exploit (CVE-2021-44228) en een tweede fout bij het uitvoeren van externe code die is ontdekt in de Log4Shell-patch (CVE-2021-45046). De kwetsbaarheid is door Tenable gekarakteriseerd als "de grootste en meest kritieke kwetsbaarheid van het afgelopen decennium".
“Gratis software is de basis van de digitale wereld en de Log4j-kwetsbaarheid heeft laten zien hoezeer we ervan afhankelijk zijn. Dit incident vormde een ernstige bedreiging voor federale systemen en bedrijven met kritieke infrastructuur, waaronder banken, ziekenhuizen en nutsbedrijven, waarvan Amerikanen elke dag afhankelijk zijn voor essentiële diensten”, aldus senator Peters. “Deze tweeledige, gezond verstand wetgeving zal helpen bij het beschermen van vrije software en het verder versterken van onze cyberbeveiliging tegen cybercriminelen en buitenlandse tegenstanders die meedogenloze aanvallen lanceren op netwerken in het hele land. »
"Zoals we zagen met de log4shell-kwetsbaarheid, bevatten de computers, telefoons en websites die we allemaal elke dag gebruiken open source-software die kwetsbaar is voor cyberaanvallen", zegt senator Portman. “De tweeledige Open Source Software Security Act zal ervoor zorgen dat de Amerikaanse regering anticipeert op beveiligingsproblemen in open source software en deze vermindert om de meest gevoelige gegevens van Amerikanen te beschermen. »
De senatoren vermelden dat heeft een groot gewicht, het gewicht dat de overgrote meerderheid van computers in de wereld op de een of andere manier open source software hebben, naast: dat wordt vermeld dat de federale overheid, een van 's werelds grootste gebruikers van gratis software, moet het in staat zijn zijn eigen risico's te beheersen en bij te dragen aan de beveiliging van vrije software in de particuliere sector en de rest van de publieke sector.
Bovendien vereist de wetgeving dat het Office of Management and Budget richtlijnen geeft aan federale agentschappen over het veilige gebruik van gratis software en een subcommissie voor softwarebeveiliging opricht binnen de Cybersecurity Advisory Committee van CISA.
Peters en Portman hebben verschillende inspanningen geleverd om de cyberbeveiliging van ons land te versterken. De historische tweeledige bepaling die eigenaren en exploitanten van kritieke infrastructuur verplicht om aan CISA te rapporteren als ze een significante cyberaanval ervaren of een ransomware-betaling doen, is wettelijk ondertekend.
Wetgeving door de senatoren om de cyberbeveiliging voor staats- en lokale overheden te versterken, werd ook wettelijk ondertekend. Ook opmerkelijk is dat de Peters en Portman-wetten om federale netwerken te beschermen en ervoor te zorgen dat de overheid cloudtechnologie veilig kan adopteren ook unaniem in de Senaat zijn aangenomen.
Eindelijk Als u er meer over wilt weten, u kunt raadplegen de details in de volgende link.