ZDA stavijo na izboljšanje kakovosti in varnosti odprte kode
P ameriški senatorji Gary Peters in Rob Portman, predsednik in višji član odbora za domovinsko varnost in vladne zadeve, uvedel dvostrankarsko zakonodajo za zaščititi zvezne sisteme in kritično infrastrukturo krepitev varnosti brezplačne programske opreme.
Z zakonom o varnosti odprtokodne programske opreme (Securing Open Source Software Act) CISA naj bi razvila okvir tveganja da bi ocenila, kako zvezna vlada uporablja odprtokodno programsko opremo, bi ocenila tudi, kako bi isti okvir lahko prostovoljno uporabljali lastniki in upravljavci kritične infrastrukture.
To bo opredelilo načine za zmanjšanje tveganj na sistemih, ki uporabljajo odprtokodno programsko opremo. legalizacija prav tako prisili CISA, da najame strokovnjake z izkušnjami pri razvoju odprtokodne programske opreme zagotoviti, da vlada in skupnost sodelujeta z roko v roki in sta pripravljeni obravnavati incidente, kot je ranljivost Log4j. Poleg tega zakonodaja od Urada za upravljanje in proračun (OMB) zahteva, da zagotovi smernice zveznim agencijam o varni uporabi odprtokodne programske opreme in ustanovi pododbor za varnost programske opreme v Svetovalnem odboru za kibernetsko varnost CISA.
Zakonodaja sledi obravnavi gostita Peters in Portman o incidentu Log4j v začetku tega leta in bi zahteval, da Agencija za kibernetsko varnost in varnost infrastrukture (CISA) zagotovi, da zvezna vlada, kritična infrastruktura in drugi varno uporabljajo brezplačno programsko opremo.
In to je, da je ranljivost Log4j prizadela milijone računalnikov po vsem svetu, vključno s kritično infrastrukturo in zveznimi sistemi. Zaradi tega so vodilni strokovnjaki za kibernetsko varnost spregovorili o eni najresnejših in najbolj razširjenih ranljivosti kibernetske varnosti, ki so jih kdaj videli.
Googlova odprtokodna ekipa je povedala, da je analizirala Maven Central, največje skladišče paketov Java, in ugotovila, da 35,863 paketov Java uporablja ranljive različice knjižnice Apache Log4j. To vključuje pakete Java, ki uporabljajo različice Log4j, ranljive za izvirno izkoriščanje Log4Shell (CVE-2021-44228), in drugo napako pri oddaljenem izvajanju kode, odkrito v popravku Log4Shell (CVE-2021-45046). Tenable je to ranljivost označil za "največjo in najbolj kritično ranljivost v zadnjem desetletju."
»Brezplačna programska oprema je temelj digitalnega sveta in ranljivost Log4j je pokazala, kako zelo smo odvisni od nje. Ta incident je resno ogrozil zvezne sisteme in kritična infrastrukturna podjetja, vključno z bankami, bolnišnicami in komunalnimi službami, od katerih so Američani vsak dan odvisni pri bistvenih storitvah,« je dejal senator Peters. »Ta dvostranska zdravorazumska zakonodaja bo pomagala zaščititi brezplačno programsko opremo in dodatno okrepiti našo kibernetsko varnost pred kibernetskimi kriminalci in tujimi nasprotniki, ki izvajajo neusmiljene napade na omrežja po vsej državi. »
"Kot smo videli pri ranljivosti log4shell, računalniki, telefoni in spletna mesta, ki jih uporabljamo vsak dan, vsebujejo odprtokodno programsko opremo, ki je ranljiva za kibernetske napade," je dejal senator Portman. »Dvostranski zakon o varnosti odprtokodne programske opreme bo zagotovil, da vlada ZDA predvidi in zmanjša varnostne ranljivosti v odprtokodni programski opremi, da zaščiti najbolj občutljive podatke Američanov. »
Senatorji to omenjajo ima veliko težo, tisto, ki jo ima velika večina računalnikov na svetu na tak ali drugačen način imajo poleg odprtokodne programske opreme da se omenja, da zvezna vlada, ki je eden največjih uporabnikov brezplačne programske opreme na svetu, mora biti sposoben obvladovati lastna tveganja in prispevati k varnosti brezplačne programske opreme v zasebnem in preostalem javnem sektorju.
Poleg tega zakonodaja od urada za upravljanje in proračun zahteva, da zveznim agencijam izda smernice o varni uporabi brezplačne programske opreme in ustanovi pododbor za varnost programske opreme v okviru svetovalnega odbora za kibernetsko varnost CISA.
Peters in Portman sta vodila več prizadevanj za krepitev kibernetske varnosti naše države. Njegova zgodovinska dvostranska določba, ki od lastnikov in upravljavcev kritične infrastrukture zahteva, da poročajo CISA, če doživijo pomemben kibernetski napad ali izvedejo plačilo z izsiljevalsko programsko opremo, je bila podpisana kot zakon.
Zakonodaja senatorjev za krepitev kibernetske varnosti za državne in lokalne vlade je bila prav tako podpisana kot zakon. Omeniti velja tudi, da je zakon Petersa in Portmana za zaščito zveznih omrežij in zagotovitev, da lahko vlada varno sprejme tehnologijo v oblaku, prav tako soglasno sprejet v senatu.
Končno Če vas zanima več o tem, lahko se posvetujete podrobnosti na naslednji povezavi.