В США представили закон об усилении безопасности свободного ПО

В США представили закон об усилении безопасности свободного ПО

США делают ставку на повышение качества и безопасности open source

сенаторы США Гэри Питерс и Роб Портман, председатель и старший член Комитета по внутренней безопасности и делам правительства, ввел двухпартийное законодательство в защитить федеральные системы и критически важную инфраструктуру с помощью усиление безопасности свободного программного обеспечения.

С законом о безопасности открытого исходного кода (Securing Open Source Software Act) CISA будет направлено на разработку системы управления рисками Чтобы оценить, как федеральное правительство использует программное обеспечение с открытым исходным кодом, оно также оценит, как эта же структура может добровольно использоваться владельцами и операторами критически важной инфраструктуры.

Это позволит определить пути снижения рисков в системах с открытым исходным кодом. законодательство это также заставляет CISA нанимать профессионалов с опытом разработки программного обеспечения с открытым исходным кодом. чтобы гарантировать, что правительство и сообщество работают рука об руку и готовы к устранению таких инцидентов, как уязвимость Log4j. Кроме того, законодательство требует от Административно-бюджетного управления (OMB) предоставления указаний федеральным агентствам по безопасному использованию программного обеспечения с открытым исходным кодом и создает подкомитет по безопасности программного обеспечения в Консультативном комитете по кибербезопасности CISA.

Законодательство следует за слушанием ведут Питерс и Портман об инциденте с Log4j ранее в этом году и потребует от Агентства по кибербезопасности и безопасности инфраструктуры (CISA) обеспечения безопасного использования бесплатного программного обеспечения федеральным правительством, критической инфраструктурой и другими сторонами.

И дело в том, что уязвимость Log4j затронула миллионы компьютеров по всему миру, включая критически важную инфраструктуру и федеральные системы. Это побудило ведущих экспертов по кибербезопасности рассказать об одной из самых серьезных и широко распространенных уязвимостей кибербезопасности, которые когда-либо встречались.

Команда Google, занимающаяся открытым исходным кодом, заявила, что проанализировала Maven Central, крупнейший репозиторий пакетов Java, и обнаружила, что 35,863 4 пакета Java используют уязвимые версии библиотеки Apache Log4j. Сюда входят пакеты Java, в которых используются версии Log4j, уязвимые для оригинального эксплойта Log2021Shell (CVE-44228-4), и вторая ошибка удаленного выполнения кода, обнаруженная в патче Log2021Shell (CVE-45046-XNUMX). Уязвимость была охарактеризована Tenable как «крупнейшая и наиболее критическая уязвимость за последнее десятилетие».

«Свободное программное обеспечение — это основа цифрового мира, и уязвимость Log4j показала, насколько мы зависим от него. Этот инцидент представляет собой серьезную угрозу для федеральных систем и объектов критической инфраструктуры, включая банки, больницы и коммунальные службы, от которых американцы зависят каждый день в плане основных услуг», — сказал сенатор Питерс. «Это двухпартийное законодательство, основанное на здравом смысле, поможет защитить бесплатное программное обеспечение и еще больше укрепит нашу защиту от киберпреступников и иностранных злоумышленников, совершающих безжалостные атаки на сети по всей стране. »

«Как мы видели на примере уязвимости log4shell, компьютеры, телефоны и веб-сайты, которые мы все используем каждый день, содержат программное обеспечение с открытым исходным кодом, уязвимое для кибератак», — сказал сенатор Портман. «Двухпартийный Закон о безопасности программного обеспечения с открытым исходным кодом гарантирует, что правительство США предвидит и устраняет уязвимости безопасности в программном обеспечении с открытым исходным кодом для защиты наиболее конфиденциальных данных американцев. »

Сенаторы отмечают, что имеет большой вес, тот самый, который подавляющее большинство компьютеров в мире так или иначе имеют ПО с открытым исходным кодом, помимо что упоминается, что федеральное правительство, которое является одним из крупнейших в мире пользователей свободного программного обеспечения, она должна быть в состоянии управлять своими собственными рисками и способствовать безопасности свободного программного обеспечения в частном и остальной части государственного сектора.

Кроме того, законодательство требует от Административно-бюджетного управления выпускать инструкции для федеральных агентств по безопасному использованию бесплатного программного обеспечения и создавать подкомитет по безопасности программного обеспечения в рамках Консультативного комитета по кибербезопасности CISA.

Питерс и Портман предприняли ряд усилий по укреплению кибербезопасности нашей страны. Его историческое двухпартийное положение, требующее от владельцев и операторов критической инфраструктуры сообщать в CISA, если они подвергаются серьезной кибератаке или совершают платеж с помощью программы-вымогателя, было подписано законом.

Также был подписан закон сенаторов об усилении кибербезопасности для правительств штатов и местных органов власти. Также следует отметить, что законопроекты Питерса и Портмана о защите федеральных сетей и обеспечении того, чтобы правительство могло безопасно внедрять облачные технологии, также были единогласно приняты Сенатом.

В конце концов Если вам интересно узнать об этом больше, вы можете проконсультироваться подробности по следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.