Statele Unite pariază pe îmbunătățirea calității și securității surselor deschise
L senatori americani Gary Peters și Rob Portman, președinte și membru senior al Comitetului pentru securitate internă și afaceri guvernamentale, a introdus o legislație bipartizană la proteja sistemele federale și infrastructura critică prin consolidarea securității software-ului liber.
Cu legea securității surselor deschise (Securing Open Source Software Act) CISA ar urma să dezvolte un cadru de risc pentru a evalua modul în care guvernul federal folosește software-ul open source, ar evalua și modul în care același cadru ar putea fi utilizat în mod voluntar de proprietarii și operatorii de infrastructură critică.
Acest lucru va identifica modalități de atenuare a riscurilor pe sisteme care utilizează software open source. legislație de asemenea, obligă CISA să angajeze profesioniști cu experiență în dezvoltarea de software open source pentru a se asigura că guvernul și comunitatea lucrează mână în mână și sunt pregătite să abordeze incidente precum vulnerabilitatea Log4j. În plus, legislația cere Oficiului de Management și Buget (OMB) să ofere îndrumări agențiilor federale cu privire la utilizarea în siguranță a software-ului open source și înființează un subcomitet pentru securitatea software-ului în Comitetul consultativ de securitate cibernetică al CISA.
Legislația urmează o audiere găzduit de Peters și Portman despre incidentul Log4j la începutul acestui an și ar cere Agenției pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) să se asigure că guvernul federal, infrastructura critică și alții folosesc software-ul gratuit în siguranță.
Și este că vulnerabilitatea Log4j a afectat milioane de oameni de calculatoare din întreaga lume, inclusiv infrastructura critică și sistemele federale. Acest lucru i-a determinat pe experți de top în securitate cibernetică să vorbească despre una dintre cele mai grave și mai răspândite vulnerabilități de securitate cibernetică văzute vreodată.
Echipa open source a Google a declarat că a analizat Maven Central, cel mai mare depozit de pachete Java, și a constatat că 35,863 de pachete Java folosesc versiuni vulnerabile ale bibliotecii Apache Log4j. Acestea includ pachete Java care utilizează versiuni ale Log4j vulnerabile la exploit-ul original Log4Shell (CVE-2021-44228) și o a doua eroare de execuție a codului de la distanță descoperită în patch-ul Log4Shell (CVE-2021-45046). Vulnerabilitatea a fost caracterizată de Tenable drept „cea mai mare și cea mai critică vulnerabilitate din ultimul deceniu”.
„Software-ul gratuit este fundamentul lumii digitale, iar vulnerabilitatea Log4j a arătat cât de mult depindem de el. Acest incident a reprezentat o amenințare serioasă pentru sistemele federale și întreprinderile cu infrastructură critică, inclusiv bănci, spitale și utilități, de care americanii depind în fiecare zi pentru servicii esențiale”, a spus senatorul Peters. „Această legislație bipartizană, de bun simț, va ajuta la protejarea software-ului gratuit și la consolidarea în continuare a apărării noastre de securitate cibernetică împotriva infractorilor cibernetici și a adversarilor străini care lansează atacuri necruțătoare asupra rețelelor din întreaga țară. »
„După cum am văzut cu vulnerabilitatea log4shell, computerele, telefoanele și site-urile web pe care le folosim cu toții în fiecare zi conțin software open source care este vulnerabil la atacurile cibernetice”, a spus senatorul Portman. „Legea bipartizană privind securitatea software-ului cu sursă deschisă va asigura că guvernul SUA anticipează și atenuează vulnerabilitățile de securitate din software-ul open source pentru a proteja datele cele mai sensibile ale americanilor. »
Senatorii menționează că are o greutate mare, cea pe care marea majoritate a calculatoarelor în lume într-un fel sau altul au software open source, pe lângă ca se mentioneaza ca guvernul federal, care este unul dintre cei mai mari utilizatori de software liber din lume, trebuie să fie capabil să-și gestioneze propriile riscuri și să contribuie la securitatea software-ului liber în sectorul privat și în restul sectorului public.
În plus, legislația cere Oficiului de Management și Buget să emită orientări agențiilor federale cu privire la utilizarea în siguranță a software-ului gratuit și să creeze un Subcomitet de securitate a software-ului în cadrul Comitetului consultativ de securitate cibernetică al CISA.
Peters și Portman au condus mai multe eforturi pentru a consolida securitatea cibernetică a națiunii noastre. Dispoziția sa istorică bipartizană care cere proprietarilor și operatorilor de infrastructură critică să raporteze la CISA dacă se confruntă cu un atac cibernetic semnificativ sau efectuează o plată de tip ransomware a fost semnată în lege.
Legislația senatorilor pentru a consolida securitatea cibernetică pentru guvernele de stat și locale a fost, de asemenea, semnată în lege. De asemenea, este de remarcat faptul că proiectele de lege Peters și Portman pentru a proteja rețelele federale și pentru a se asigura că guvernul poate adopta în siguranță tehnologia cloud, de asemenea, adoptate în unanimitate de Senat.
În cele din urmă Dacă sunteți interesat să aflați mai multe despre asta, puteți consulta detaliile din următorul link.