США делают ставку на повышение качества и безопасности open source
сенаторы США Гэри Питерс и Роб Портман, председатель и старший член Комитета по внутренней безопасности и делам правительства, ввел двухпартийное законодательство в защитить федеральные системы и критически важную инфраструктуру с помощью усиление безопасности свободного программного обеспечения.
С законом о безопасности открытого исходного кода (Securing Open Source Software Act) CISA будет направлено на разработку системы управления рисками Чтобы оценить, как федеральное правительство использует программное обеспечение с открытым исходным кодом, оно также оценит, как эта же структура может добровольно использоваться владельцами и операторами критически важной инфраструктуры.
Это позволит определить пути снижения рисков в системах с открытым исходным кодом. законодательство это также заставляет CISA нанимать профессионалов с опытом разработки программного обеспечения с открытым исходным кодом. чтобы гарантировать, что правительство и сообщество работают рука об руку и готовы к устранению таких инцидентов, как уязвимость Log4j. Кроме того, законодательство требует от Административно-бюджетного управления (OMB) предоставления указаний федеральным агентствам по безопасному использованию программного обеспечения с открытым исходным кодом и создает подкомитет по безопасности программного обеспечения в Консультативном комитете по кибербезопасности CISA.
Законодательство следует за слушанием ведут Питерс и Портман об инциденте с Log4j ранее в этом году и потребует от Агентства по кибербезопасности и безопасности инфраструктуры (CISA) обеспечения безопасного использования бесплатного программного обеспечения федеральным правительством, критической инфраструктурой и другими сторонами.
И дело в том, что уязвимость Log4j затронула миллионы компьютеров по всему миру, включая критически важную инфраструктуру и федеральные системы. Это побудило ведущих экспертов по кибербезопасности рассказать об одной из самых серьезных и широко распространенных уязвимостей кибербезопасности, которые когда-либо встречались.
Команда Google, занимающаяся открытым исходным кодом, заявила, что проанализировала Maven Central, крупнейший репозиторий пакетов Java, и обнаружила, что 35,863 4 пакета Java используют уязвимые версии библиотеки Apache Log4j. Сюда входят пакеты Java, в которых используются версии Log4j, уязвимые для оригинального эксплойта Log2021Shell (CVE-44228-4), и вторая ошибка удаленного выполнения кода, обнаруженная в патче Log2021Shell (CVE-45046-XNUMX). Уязвимость была охарактеризована Tenable как «крупнейшая и наиболее критическая уязвимость за последнее десятилетие».
«Свободное программное обеспечение — это основа цифрового мира, и уязвимость Log4j показала, насколько мы зависим от него. Этот инцидент представляет собой серьезную угрозу для федеральных систем и объектов критической инфраструктуры, включая банки, больницы и коммунальные службы, от которых американцы зависят каждый день в плане основных услуг», — сказал сенатор Питерс. «Это двухпартийное законодательство, основанное на здравом смысле, поможет защитить бесплатное программное обеспечение и еще больше укрепит нашу защиту от киберпреступников и иностранных злоумышленников, совершающих безжалостные атаки на сети по всей стране. »
«Как мы видели на примере уязвимости log4shell, компьютеры, телефоны и веб-сайты, которые мы все используем каждый день, содержат программное обеспечение с открытым исходным кодом, уязвимое для кибератак», — сказал сенатор Портман. «Двухпартийный Закон о безопасности программного обеспечения с открытым исходным кодом гарантирует, что правительство США предвидит и устраняет уязвимости безопасности в программном обеспечении с открытым исходным кодом для защиты наиболее конфиденциальных данных американцев. »
Сенаторы отмечают, что имеет большой вес, тот самый, который подавляющее большинство компьютеров в мире так или иначе имеют ПО с открытым исходным кодом, помимо что упоминается, что федеральное правительство, которое является одним из крупнейших в мире пользователей свободного программного обеспечения, она должна быть в состоянии управлять своими собственными рисками и способствовать безопасности свободного программного обеспечения в частном и остальной части государственного сектора.
Кроме того, законодательство требует от Административно-бюджетного управления выпускать инструкции для федеральных агентств по безопасному использованию бесплатного программного обеспечения и создавать подкомитет по безопасности программного обеспечения в рамках Консультативного комитета по кибербезопасности CISA.
Питерс и Портман предприняли ряд усилий по укреплению кибербезопасности нашей страны. Его историческое двухпартийное положение, требующее от владельцев и операторов критической инфраструктуры сообщать в CISA, если они подвергаются серьезной кибератаке или совершают платеж с помощью программы-вымогателя, было подписано законом.
Также был подписан закон сенаторов об усилении кибербезопасности для правительств штатов и местных органов власти. Также следует отметить, что законопроекты Питерса и Портмана о защите федеральных сетей и обеспечении того, чтобы правительство могло безопасно внедрять облачные технологии, также были единогласно приняты Сенатом.
В конце концов Если вам интересно узнать об этом больше, вы можете проконсультироваться подробности по следующей ссылке.