Amerika Birleşik Devletleri, açık kaynağın kalitesini ve güvenliğini artırmaya bahse giriyor
Jardines de Viveros ABD senatörleri İç Güvenlik ve Devlet İşleri Komitesi Başkanı ve Kıdemli Üyesi Gary Peters ve Rob Portman, iki partili yasa çıkardı aracılığıyla federal sistemleri ve kritik altyapıyı korumak özgür yazılımın güvenliğini güçlendirmek.
Açık kaynak güvenliği yasası ile (Açık Kaynak Yazılımının Güvenliğini Sağlama Yasası) CISA bir risk çerçevesi geliştirmeye yönlendirilecek federal hükümetin açık kaynaklı yazılımı nasıl kullandığını değerlendirmek için, aynı çerçevenin kritik altyapı sahipleri ve operatörler tarafından gönüllü olarak nasıl kullanılabileceğini de değerlendirecektir.
Bu, riskleri azaltmanın yollarını belirleyecektir. açık kaynaklı yazılım kullanan sistemlerde. mevzuat ayrıca CISA'yı açık kaynaklı yazılım geliştirme konusunda deneyimli profesyonelleri işe almaya zorlar. hükümetin ve toplumun el ele çalışmasını ve Log4j güvenlik açığı gibi olayları ele almaya hazır olmasını sağlamak. Ayrıca mevzuat, Yönetim ve Bütçe Ofisi'nin (OMB) federal kurumlara açık kaynaklı yazılımların güvenli kullanımı konusunda rehberlik etmesini şart koşuyor ve CISA'nın Siber Güvenlik Danışma Komitesi'nde yazılım güvenliği konusunda bir alt komite oluşturuyor.
Mevzuat Duruşmayı İzler Peters ve Portman'ın ev sahipliğinde Log4j olayı hakkında Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) federal hükümetin, kritik altyapının ve diğerlerinin özgür yazılımı güvenli bir şekilde kullanmasını sağlamasını gerektirecek.
Log4j güvenlik açığı milyonları etkiledi kritik altyapı ve federal sistemler de dahil olmak üzere dünya çapındaki bilgisayarların Bu, önde gelen siber güvenlik uzmanlarının şimdiye kadar görülen en ciddi ve yaygın siber güvenlik açıklarından biri hakkında konuşmalarına yol açtı.
Google'ın açık kaynak ekibi, en büyük Java paketi deposu olan Maven Central'ı analiz ettiğini ve 35,863 Java paketinin Apache Log4j kitaplığının savunmasız sürümlerini kullandığını tespit ettiğini söyledi. Bu, orijinal Log4Shell istismarına (CVE-4-2021) karşı savunmasız olan Log44228j sürümlerini kullanan Java paketlerini ve Log4Shell yamasında (CVE-2021-45046) bulunan ikinci bir uzaktan kod yürütme hatasını içerir. Güvenlik açığı Tenable tarafından "son on yılın en büyük ve en kritik güvenlik açığı" olarak nitelendirildi.
“Özgür yazılım, dijital dünyanın temelidir ve Log4j güvenlik açığı, ona ne kadar bağımlı olduğumuzu gösterdi. Bu olay, Amerikalıların temel hizmetler için her gün bağımlı olduğu bankalar, hastaneler ve kamu hizmetleri de dahil olmak üzere federal sistemler ve kritik altyapı işletmeleri için ciddi bir tehdit oluşturuyor” dedi. “Bu iki taraflı, sağduyulu yasa, özgür yazılımı korumaya yardımcı olacak ve ülke genelinde ağlara amansız saldırılar düzenleyen siber suçlulara ve yabancı düşmanlara karşı siber güvenlik savunmamızı daha da güçlendirecek. »
Senatör Portman, "log4shell güvenlik açığında gördüğümüz gibi, her gün kullandığımız bilgisayarlar, telefonlar ve web siteleri, siber saldırılara karşı savunmasız olan açık kaynaklı yazılımlar içeriyor" dedi. “İki taraflı Açık Kaynak Yazılım Güvenliği Yasası, ABD hükümetinin Amerikalıların en hassas verilerini korumak için açık kaynaklı yazılımlardaki güvenlik açıklarını öngörmesini ve azaltmasını sağlayacaktır. »
Senatörler bundan bahsediyor bilgisayarların büyük çoğunluğunun sahip olduğu büyük bir ağırlığa sahiptir. dünyada şu veya bu şekilde açık kaynaklı yazılıma sahip olmak, buna ek olarak bundan bahsedildiği dünyanın en büyük özgür yazılım kullanıcılarından biri olan federal hükümet, kendi risklerini yönetebilmeli ve özel sektörde ve kamu sektörünün geri kalanında özgür yazılımın güvenliğine katkıda bulunabilmelidir.
Ek olarak, mevzuat, Yönetim ve Bütçe Ofisinin, özgür yazılımın güvenli kullanımı hakkında federal kurumlara yönergeler yayınlamasını ve CISA'nın Siber Güvenlik Danışma Komitesi bünyesinde bir Yazılım Güvenliği Alt Komitesi oluşturmasını şart koşuyor.
Peters ve Portman, ulusumuzun siber güvenliğini güçlendirmek için çeşitli çabalara öncülük etti. Kritik altyapı sahiplerinin ve operatörlerinin, önemli bir siber saldırı yaşamaları veya fidye yazılımı ödemesi yapmaları durumunda CISA'ya rapor vermelerini gerektiren tarihi iki taraflı hükmü, yasayla imzalandı.
Senatörlerin eyalet ve yerel yönetimler için siber güvenliği güçlendirmeye yönelik düzenlemeleri de yasalaştı. Ayrıca, Peters ve Portman'ın federal ağları korumaya ve hükümetin bulut teknolojisini güvenli bir şekilde benimsemesini sağlamaya yönelik yasa tasarılarının da Senato'da oybirliğiyle kabul edilmesi dikkat çekicidir.
Nihayet Bununla ilgili daha fazla bilgi edinmek istiyorsanız, danışabilirsin aşağıdaki bağlantıdaki ayrıntılar.