Spojené štáty americké vsádzajú na zlepšenie kvality a bezpečnosti open source
undefined americkí senátori Gary Peters a Rob Portman, predseda a hlavný člen Výboru pre vnútornú bezpečnosť a vládne záležitosti, zaviedla dvojstrannú legislatívu do chrániť federálne systémy a kritickú infraštruktúru prostredníctvom posilnenie bezpečnosti slobodného softvéru.
So zákonom o bezpečnosti otvoreného zdroja (Securing Open Source Software Act) CISA by bola zameraná na vytvorenie rámca rizík na posúdenie toho, ako federálna vláda používa softvér s otvoreným zdrojovým kódom, by tiež posúdila, ako by ten istý rámec mohli dobrovoľne používať vlastníci a prevádzkovatelia kritickej infraštruktúry.
To bude identifikovať spôsoby, ako zmierniť riziká na systémoch využívajúcich open source softvér. legislatívy núti tiež CISA najať profesionálov so skúsenosťami s vývojom open source softvéru zabezpečiť, aby vláda a komunita pracovali ruka v ruke a boli pripravené riešiť incidenty, ako je napríklad zraniteľnosť Log4j. Okrem toho legislatíva vyžaduje, aby Úrad pre riadenie a rozpočet (OMB) poskytoval usmernenia federálnym agentúram o bezpečnom používaní softvéru s otvoreným zdrojovým kódom a zriaďuje podvýbor pre softvérovú bezpečnosť v Poradnom výbore pre kybernetickú bezpečnosť CISA.
Legislatíva nasleduje po vypočutí hostí Peters a Portman o incidente Log4j začiatkom tohto roka a bude vyžadovať, aby Agentúra pre kybernetickú bezpečnosť a bezpečnosť (CISA) zabezpečila, že federálna vláda, kritická infraštruktúra a iní budú bezpečne používať slobodný softvér.
A je to tak, že zraniteľnosť Log4j zasiahla milióny ľudí počítačov na celom svete vrátane kritickej infraštruktúry a federálnych systémov. To viedlo popredných odborníkov na kybernetickú bezpečnosť k tomu, aby hovorili o jednej z najzávažnejších a najrozšírenejších zraniteľností v oblasti kybernetickej bezpečnosti.
Tím spoločnosti Google s otvoreným zdrojom uviedol, že analyzoval Maven Central, najväčšie úložisko balíkov Java, a zistil, že 35,863 4 balíkov Java používa zraniteľné verzie knižnice Apache Log4j. Zahŕňa to balíky Java, ktoré používajú verzie Log4j zraniteľné voči pôvodnému zneužitiu Log2021Shell (CVE-44228-4) a druhú chybu spustenia vzdialeného kódu objavenú v oprave Log2021Shell (CVE-45046-XNUMX). Tenable túto zraniteľnosť charakterizoval ako „najväčšiu a najkritickejšiu zraniteľnosť za posledné desaťročie“.
„Slobodný softvér je základom digitálneho sveta a zraniteľnosť Log4j ukázala, ako veľmi sme na ňom závislí. Tento incident predstavoval vážnu hrozbu pre federálne systémy a podniky s kritickou infraštruktúrou, vrátane bánk, nemocníc a verejných služieb, od ktorých sú Američania každý deň závislí, pokiaľ ide o základné služby,“ povedal senátor Peters. „Táto dvojstranná legislatíva založená na zdravom rozume pomôže chrániť slobodný softvér a ďalej posilní našu kybernetickú bezpečnostnú obranu proti kyberzločincom a zahraničným protivníkom spúšťajúcim neúnavné útoky na siete v celej krajine. »
„Ako sme videli pri zraniteľnosti log4shell, počítače, telefóny a webové stránky, ktoré každý deň používame, obsahujú softvér s otvoreným zdrojovým kódom, ktorý je zraniteľný voči kybernetickým útokom,“ povedal senátor Portman. „Obojstranný zákon o bezpečnosti softvéru s otvoreným zdrojovým kódom zabezpečí, aby vláda USA predvídala a zmierňovala bezpečnostné slabiny v softvéri s otvoreným zdrojovým kódom, aby ochránila najcitlivejšie údaje Američanov. »
Senátori to spomínajú má veľkú váhu, akú má drvivá väčšina počítačov vo svete tak či onak mať navyše softvér s otvoreným zdrojovým kódom že sa to spomína federálna vláda, ktorá je jedným z najväčších svetových používateľov slobodného softvéru, musí byť schopný riadiť svoje vlastné riziká a prispievať k bezpečnosti slobodného softvéru v súkromnom sektore a vo zvyšku verejného sektora.
Okrem toho legislatíva vyžaduje, aby Úrad pre riadenie a rozpočet vydal usmernenia pre federálne agentúry o bezpečnom používaní slobodného softvéru a vytvoril podvýbor pre softvérovú bezpečnosť v rámci poradného výboru CISA pre kybernetickú bezpečnosť.
Peters a Portman viedli niekoľko snáh o posilnenie kybernetickej bezpečnosti našej krajiny. Jeho historické obojstranné ustanovenie, ktoré od vlastníkov a prevádzkovateľov kritickej infraštruktúry vyžaduje, aby hlásili CISA, ak zažijú významný kybernetický útok alebo zaplatia ransomvér, bolo podpísané.
Do zákona bola podpísaná aj legislatíva senátorov na posilnenie kybernetickej bezpečnosti pre štátne samosprávy a samosprávy. Za zmienku tiež stojí, že v Senáte jednomyseľne schválili aj návrhy zákonov Petersa a Portmana na ochranu federálnych sietí a zabezpečenie toho, aby vláda mohla bezpečne prijať cloudovú technológiu.
Konečne Ak máte záujem dozvedieť sa viac, môžete sa poradiť podrobnosti v nasledujúcom odkaze.