USA satser på å forbedre kvaliteten og sikkerheten til åpen kildekode
den amerikanske senatorer Gary Peters og Rob Portman, styreleder og seniormedlem i komiteen for hjemmesikkerhet og statlige anliggender, innført topartilovgivning til beskytte føderale systemer og kritisk infrastruktur gjennom styrke sikkerheten til fri programvare.
Med loven om sikkerhet for åpen kildekode (Securing Open Source Software Act) CISA vil bli instruert til å utvikle et risikorammeverk for å vurdere hvordan den føderale regjeringen bruker åpen kildekode-programvare, vil den også vurdere hvordan det samme rammeverket kan brukes frivillig av eiere og operatører av kritisk infrastruktur.
Dette vil identifisere måter å redusere risiko på systemer som bruker åpen kildekode-programvare. lovgivning det tvinger også CISA til å ansette fagfolk med erfaring i å utvikle åpen kildekode-programvare for å sikre at regjeringen og samfunnet jobber hånd i hånd og er forberedt på å ta tak i hendelser som Log4j-sårbarheten. I tillegg krever lovgivningen at Office of Management and Budget (OMB) skal gi veiledning til føderale byråer om sikker bruk av åpen kildekode-programvare og etablerer et underutvalg for programvaresikkerhet i Cybersecurity Advisory Committee i CISA.
Lovgivning følger en høring arrangert av Peters og Portman om Log4j-hendelsen tidligere i år, og vil kreve at Cybersecurity and Infrastructure Security Agency (CISA) sørger for at den føderale regjeringen, kritisk infrastruktur og andre bruker gratis programvare trygt.
Og det er at Log4j-sårbarheten har påvirket millioner av datamaskiner rundt om i verden, inkludert kritisk infrastruktur og føderale systemer. Dette har ført til at ledende cybersikkerhetseksperter har snakket ut om en av de mest alvorlige og utbredte cybersikkerhetssårbarhetene som noen gang er sett.
Googles åpen kildekode-team sa at de analyserte Maven Central, det største Java-pakkelageret, og fant at 35,863 4 Java-pakker bruker sårbare versjoner av Apache Log4j-biblioteket. Dette inkluderer Java-pakker som bruker versjoner av Log4j som er sårbare for den originale Log2021Shell-utnyttelsen (CVE-44228-4) og en andre feil for ekstern kjøring av kode oppdaget i Log2021Shell-oppdateringen (CVE-45046-XNUMX). Sårbarheten har blitt karakterisert av Tenable som «den største og mest kritiske sårbarheten det siste tiåret».
"Gratis programvare er grunnlaget for den digitale verden og Log4j-sårbarheten har vist hvor mye vi er avhengige av den. Denne hendelsen utgjorde en alvorlig trussel mot føderale systemer og virksomheter med kritisk infrastruktur, inkludert banker, sykehus og verktøy, som amerikanere er avhengige av hver dag for viktige tjenester, sa senator Peters. "Denne todelte, sunne fornuftslovgivningen vil bidra til å beskytte fri programvare og ytterligere styrke cybersikkerhetsforsvaret vårt mot cyberkriminelle og utenlandske motstandere som lanserer nådeløse angrep på nettverk over hele landet. »
"Som vi så med log4shell-sårbarheten, inneholder datamaskinene, telefonene og nettsidene som vi alle bruker hver dag åpen kildekode-programvare som er sårbar for cyberangrep," sa senator Portman. «Den todelte Open Source Software Security Act vil sikre at den amerikanske regjeringen forutser og reduserer sikkerhetssårbarheter i åpen kildekode-programvare for å beskytte amerikanernes mest sensitive data. »
Senatorene nevner det har en stor vekt, den som de aller fleste datamaskiner i verden på en eller annen måte ha åpen kildekode programvare, i tillegg til at det er nevnt at den føderale regjeringen, som er en av verdens største brukere av fri programvare, må den kunne styre sine egne risikoer og bidra til sikkerheten til fri programvare i privat sektor og resten av offentlig sektor.
I tillegg krever lovgivningen at Office of Management and Budget utsteder retningslinjer til føderale byråer om sikker bruk av gratis programvare og oppretter en Software Security Subcommittee i CISAs Cybersecurity Advisory Committee.
Peters og Portman har ledet flere anstrengelser for å styrke vår nasjons cybersikkerhet. Dens historiske tverrpolitiske bestemmelse som krever at eiere og operatører av kritisk infrastruktur skal rapportere til CISA hvis de opplever et betydelig nettangrep eller foretar en løsepengevarebetaling, er signert i loven.
Lovgivning fra senatorene for å styrke cybersikkerhet for statlige og lokale myndigheter ble også signert i lov. Det er også verdt å merke seg at Peters og Portmans lovforslag for å beskytte føderale nettverk og sikre at regjeringen trygt kan ta i bruk skyteknologi også vedtatt enstemmig i Senatet.
Endelig Hvis du er interessert i å vite mer om det, du kan konsultere detaljene i følgende lenke.