Os Estados Unidos apostam na melhoria da qualidade e segurança do código aberto
Os senadores dos EUA Gary Peters e Rob Portman, Presidente e Membro Sênior do Comitê de Segurança Interna e Assuntos Governamentais, introduziu legislação bipartidária para proteger sistemas federais e infraestrutura crítica por meio de fortalecer a segurança do software livre.
Com a lei de segurança do código aberto (Securing Open Source Software Act) A CISA seria direcionada para desenvolver uma estrutura de risco para avaliar como o governo federal usa software de código aberto, também avaliaria como a mesma estrutura poderia ser usada voluntariamente por proprietários e operadores de infraestrutura crítica.
Isso identificará maneiras de mitigar os riscos em sistemas usando software de código aberto. legislação também obriga a CISA a contratar profissionais com experiência no desenvolvimento de software de código aberto para garantir que o governo e a comunidade trabalhem de mãos dadas e estejam preparados para lidar com incidentes como a vulnerabilidade do Log4j. Além disso, a legislação exige que o Escritório de Gestão e Orçamento (OMB) forneça orientação aos órgãos federais sobre o uso seguro de software de código aberto e estabelece um subcomitê de segurança de software no Comitê Consultivo de Segurança Cibernética. da CISA.
A legislação segue uma audiência hospedado por Peters e Portman sobre o incidente Log4j no início deste ano, e exigiria que a Agência de Segurança Cibernética e Infraestrutura (CISA) garantisse que o governo federal, infraestrutura crítica e outros usem software livre com segurança.
E é que a vulnerabilidade do Log4j afetou milhões de computadores em todo o mundo, incluindo infraestrutura crítica e sistemas federais. Isso levou os principais especialistas em segurança cibernética a falar sobre uma das vulnerabilidades de segurança cibernética mais sérias e difundidas já vistas.
A equipe de código aberto do Google disse que analisou o Maven Central, o maior repositório de pacotes Java, e descobriu que 35,863 pacotes Java usam versões vulneráveis da biblioteca Apache Log4j. Isso inclui pacotes Java que usam versões do Log4j vulneráveis à exploração original do Log4Shell (CVE-2021-44228) e um segundo bug de execução remota de código descoberto no patch do Log4Shell (CVE-2021-45046). A vulnerabilidade foi caracterizada pela Tenable como "a maior e mais crítica vulnerabilidade da última década".
“O software livre é a base do mundo digital e a vulnerabilidade do Log4j mostrou o quanto dependemos dele. Este incidente representou uma séria ameaça aos sistemas federais e negócios de infraestrutura crítica, incluindo bancos, hospitais e serviços públicos, dos quais os americanos dependem todos os dias para serviços essenciais”, disse o senador Peters. “Esta legislação bipartidária e de bom senso ajudará a proteger o software livre e fortalecer ainda mais nossas defesas de segurança cibernética contra cibercriminosos e adversários estrangeiros que lançam ataques implacáveis em redes em todo o país. »
"Como vimos com a vulnerabilidade do log4shell, os computadores, telefones e sites que usamos todos os dias contêm software de código aberto vulnerável a ataques cibernéticos", disse o senador Portman. “A Lei de Segurança de Software de Código Aberto bipartidário garantirá que o governo dos EUA antecipe e mitigue as vulnerabilidades de segurança em software de código aberto para proteger os dados mais confidenciais dos americanos. »
Os senadores mencionam que tem um grande peso, aquele que a grande maioria dos computadores no mundo de uma forma ou de outra têm software de código aberto, além de que se mencione que o governo federal, que é um dos maiores usuários de software livre do mundo, deve ser capaz de gerenciar seus próprios riscos e contribuir para a segurança do software livre no setor privado e no restante do setor público.
Além disso, a legislação exige que o Escritório de Administração e Orçamento emita diretrizes para agências federais sobre o uso seguro de software livre e crie um Subcomitê de Segurança de Software dentro do Comitê Consultivo de Segurança Cibernética da CISA.
Peters e Portman lideraram vários esforços para fortalecer a segurança cibernética de nossa nação. Sua disposição bipartidária histórica exigindo que proprietários e operadores de infraestrutura crítica relatem à CISA se sofrerem um ataque cibernético significativo ou fizerem um pagamento de ransomware foi assinado em lei.
A legislação dos senadores para fortalecer a segurança cibernética para governos estaduais e municipais também foi sancionada. Também digno de nota é que os projetos de lei de Peters e Portman para proteger as redes federais e garantir que o governo possa adotar com segurança a tecnologia de nuvem também foram aprovados por unanimidade no Senado.
Finalmente Se você estiver interessado em saber mais sobre isso, você pode consultar os detalhes no link a seguir.