Сполучені Штати роблять ставку на підвищення якості та безпеки відкритого коду
L сенатори США Гері Пітерс і Роб Портман, голова та старший член комітету з внутрішньої безпеки та урядових справ, запровадив двопартійне законодавство захистити федеральні системи та критичну інфраструктуру посилення безпеки вільного програмного забезпечення.
З законом про безпеку відкритого коду (Закон про безпеку програмного забезпечення з відкритим кодом) CISA буде спрямовано на розробку системи ризиків щоб оцінити, як федеральний уряд використовує програмне забезпечення з відкритим кодом, він також мав би оцінити, як ту саму структуру можуть добровільно використовувати власники та оператори критичної інфраструктури.
Це дозволить визначити шляхи зменшення ризиків на системах з відкритим кодом. законодавство це також змушує CISA наймати професіоналів з досвідом розробки програмного забезпечення з відкритим кодом гарантувати, що уряд і громада працюють пліч-о-пліч і готові до вирішення таких інцидентів, як уразливість Log4j. Крім того, законодавство вимагає від Управління та бюджету (OMB) надавати вказівки федеральним агентствам щодо безпечного використання програмного забезпечення з відкритим кодом і створює підкомітет із безпеки програмного забезпечення в Консультативному комітеті з кібербезпеки CISA.
Законодавство після слухання організований Пітерсом і Портманом про інцидент Log4j на початку цього року, і вимагатиме від Агентства кібербезпеки та безпеки інфраструктури (CISA) забезпечити безпечне використання безкоштовних програм федеральним урядом, критичною інфраструктурою та іншими.
І це те, що вразливість Log4j вразила мільйони комп’ютерів у всьому світі, включаючи критичну інфраструктуру та федеральні системи. Це змусило провідних експертів з кібербезпеки заговорити про одну з найсерйозніших і найпоширеніших уразливостей кібербезпеки, яку коли-небудь бачили.
Команда Google із відкритим кодом заявила, що проаналізувала Maven Central, найбільше сховище пакетів Java, і виявила, що 35,863 4 пакети Java використовують уразливі версії бібліотеки Apache Log4j. Це включає пакети Java, які використовують версії Log4j, вразливі до оригінального експлойту Log2021Shell (CVE-44228-4), і другу помилку віддаленого виконання коду, виявлену в патчі Log2021Shell (CVE-45046-XNUMX). Tenable охарактеризував цю вразливість як «найбільшу та найбільш критичну вразливість за останнє десятиліття».
«Вільне програмне забезпечення є основою цифрового світу, і вразливість Log4j показала, наскільки ми залежимо від неї. Цей інцидент створив серйозну загрозу для федеральних систем і підприємств критичної інфраструктури, включно з банками, лікарнями та комунальними службами, від яких американці щодня залежать у наданні основних послуг», — сказав сенатор Пітерс. «Це двопартійне законодавче рішення, яке базується на здоровому глузді, допоможе захистити вільне програмне забезпечення та ще більше зміцнить захист нашої кібербезпеки від кіберзлочинців та іноземних ворогів, які здійснюють невпинні атаки на мережі по всій країні. »
«Як ми бачили з уразливістю log4shell, комп’ютери, телефони та веб-сайти, якими ми всі користуємося щодня, містять програмне забезпечення з відкритим кодом, яке є вразливим до кібератак», — сказав сенатор Портман. «Двопартійний Закон про безпеку програмного забезпечення з відкритим кодом забезпечить, щоб уряд США передбачав і пом’якшував вразливі місця в програмному забезпеченні з відкритим кодом для захисту найбільш конфіденційних даних американців. »
Про це зазначають сенатори має велику вагу, ту, яку переважна більшість комп'ютерів у світі так чи інакше мати програмне забезпечення з відкритим кодом, на додаток до що згадується, що федеральний уряд, який є одним із найбільших у світі користувачів вільного програмного забезпечення, він повинен бути в змозі керувати власними ризиками та сприяти безпеці вільного програмного забезпечення в приватному та решті державного секторів.
Крім того, законодавство вимагає від Адміністративно-бюджетного управління видати вказівки для федеральних агентств щодо безпечного використання безкоштовного програмного забезпечення та створити підкомітет з безпеки програмного забезпечення в Консультативному комітеті з кібербезпеки CISA.
Пітерс і Портман очолили кілька заходів, спрямованих на посилення кібербезпеки нашої країни. Його історичне двопартійне положення, яке вимагає від власників і операторів критичної інфраструктури повідомляти CISA, якщо вони зазнають значної кібератаки або здійснюють платіж за програмне забезпечення-вимагач, було підписано законом.
Законодавство сенаторів щодо посилення кібербезпеки для державних і місцевих органів влади також було підписано. Також варто відзначити, що законопроекти Пітерса та Портмана про захист федеральних мереж і забезпечення того, щоб уряд міг безпечно запроваджувати хмарні технології, також були одноголосно прийняті в Сенаті.
В кінці кінців Якщо вам цікаво дізнатись більше про це, ви можете проконсультуватися деталі у наступному посиланні.