USA satsar på att förbättra kvaliteten och säkerheten för öppen källkod
mycket amerikanska senatorer Gary Peters och Rob Portman, ordförande och seniormedlem i utskottet för hemlandsäkerhet och statliga angelägenheter, infört tvåpartilagstiftning till skydda federala system och kritisk infrastruktur genom stärka säkerheten för fri programvara.
Med lagen om säkerhet för öppen källkod (Securing Open Source Software Act) CISA skulle få i uppdrag att utveckla ett riskramverk För att bedöma hur den federala regeringen använder programvara med öppen källkod skulle den också bedöma hur samma ramverk skulle kunna användas frivilligt av ägare och operatörer av kritisk infrastruktur.
Detta kommer att identifiera sätt att minska riskerna på system som använder programvara med öppen källkod. lagstiftning det tvingar också CISA att anställa proffs med erfarenhet av att utveckla programvara med öppen källkod för att säkerställa att regeringen och samhället arbetar hand i hand och är beredda att ta itu med incidenter som Log4j-sårbarheten. Dessutom kräver lagstiftningen att Office of Management and Budget (OMB) ska ge vägledning till federala myndigheter om säker användning av programvara med öppen källkod och inrättar en underkommitté för mjukvarusäkerhet i Cybersecurity Advisory Committee of CISA.
Lagstiftning följer en utfrågning värd av Peters och Portman om Log4j-incidenten tidigare i år, och skulle kräva att Cybersecurity and Infrastructure Security Agency (CISA) säkerställer att den federala regeringen, kritisk infrastruktur och andra använder fri programvara på ett säkert sätt.
Och det är att Log4j-sårbarheten har påverkat miljoner datorer runt om i världen, inklusive kritisk infrastruktur och federala system. Detta har fått ledande cybersäkerhetsexperter att tala ut om en av de allvarligaste och mest utbredda cybersäkerhetssårbarheterna som någonsin setts.
Googles team med öppen källkod sa att de analyserade Maven Central, det största Java-paketförrådet, och fann att 35,863 4 Java-paket använder sårbara versioner av Apache Log4j-biblioteket. Detta inkluderar Java-paket som använder versioner av Log4j som är sårbara för den ursprungliga Log2021Shell-exploateringen (CVE-44228-4) och en andra bugg för fjärrkörning av kod som upptäcktes i Log2021Shell-patchen (CVE-45046-XNUMX). Sårbarheten har karakteriserats av Tenable som "den största och mest kritiska sårbarheten under det senaste decenniet."
"Gratis programvara är grunden för den digitala världen och Log4j-sårbarheten har visat hur mycket vi är beroende av den. Denna incident utgjorde ett allvarligt hot mot federala system och kritiska infrastrukturföretag, inklusive banker, sjukhus och allmännyttiga företag, som amerikaner är beroende av varje dag för viktiga tjänster, säger senator Peters. "Denna tvåpartiska, sunt förnuftslagstiftning kommer att hjälpa till att skydda fri programvara och ytterligare stärka vårt cybersäkerhetsförsvar mot cyberbrottslingar och utländska motståndare som lanserar obevekliga attacker mot nätverk över hela landet. »
"Som vi såg med log4shell-sårbarheten innehåller de datorer, telefoner och webbplatser som vi alla använder varje dag programvara med öppen källkod som är sårbar för cyberattacker", säger senator Portman. "Den tvådelade Open Source Software Security Act kommer att säkerställa att den amerikanska regeringen förutser och mildrar säkerhetssårbarheter i programvara med öppen källkod för att skydda amerikanernas mest känsliga data. »
Senatorerna nämner det har en stor vikt, den som de allra flesta datorer i världen på ett eller annat sätt ha öppen källkod, förutom att det nämns att den federala regeringen, som är en av världens största användare av fri programvara, måste den kunna hantera sina egna risker och bidra till säkerheten för fri programvara i den privata sektorn och resten av den offentliga sektorn.
Dessutom kräver lagstiftningen att Office of Management and Budget utfärdar riktlinjer till federala myndigheter om säker användning av fri programvara och skapar en Software Security Subcommittee inom CISA:s rådgivande kommitté för cybersäkerhet.
Peters och Portman har lett flera ansträngningar för att stärka vår nations cybersäkerhet. Dess historiska tvåpartsbestämmelse som kräver att ägare och operatörer av kritisk infrastruktur ska rapportera till CISA om de upplever en betydande cyberattack eller gör en betalning med ransomware har undertecknats i lag.
Senatorernas lagstiftning för att stärka cybersäkerheten för statliga och lokala myndigheter undertecknades också i lag. Också anmärkningsvärt är att Peters och Portmans lagförslag för att skydda federala nätverk och säkerställa att regeringen säkert kan anta molnteknik också antogs enhälligt i senaten.
Slutligen Om du är intresserad av att veta mer om det, du kan rådfråga detaljerna i följande länk.