Hoa Kỳ đang đặt cược vào việc cải thiện chất lượng và bảo mật của nguồn mở
Các Thượng nghị sĩ Hoa Kỳ Gary Peters và Rob Portman, Chủ tịch và Thành viên Cấp cao của Ủy ban An ninh Nội địa và Các vấn đề Chính phủ, giới thiệu luật lưỡng đảng cho bảo vệ các hệ thống liên bang và cơ sở hạ tầng quan trọng thông qua tăng cường bảo mật cho phần mềm miễn phí.
Với luật Bảo mật nguồn mở (Đạo luật về bảo mật phần mềm nguồn mở) CISA sẽ được định hướng để phát triển một khung rủi ro để đánh giá cách chính phủ liên bang sử dụng phần mềm nguồn mở, nó cũng sẽ đánh giá cách thức mà cùng một khuôn khổ có thể được sử dụng một cách tự nguyện bởi các chủ sở hữu và nhà khai thác cơ sở hạ tầng quan trọng.
Điều này sẽ xác định các cách để giảm thiểu rủi ro trên các hệ thống sử dụng phần mềm mã nguồn mở. pháp luật nó cũng buộc CISA phải thuê các chuyên gia có kinh nghiệm trong việc phát triển phần mềm nguồn mở để đảm bảo rằng chính phủ và cộng đồng cùng làm việc và chuẩn bị sẵn sàng để giải quyết các sự cố như lỗ hổng Log4j. Ngoài ra, luật yêu cầu Văn phòng Quản lý và Ngân sách (OMB) cung cấp hướng dẫn cho các cơ quan liên bang về việc sử dụng an toàn phần mềm nguồn mở và thành lập một tiểu ban về bảo mật phần mềm trong Ủy ban Cố vấn An ninh mạng của CISA.
Pháp luật tuân theo một phiên điều trần do Peters và Portman tổ chức về sự cố Log4j đầu năm nay và sẽ yêu cầu Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đảm bảo rằng chính phủ liên bang, cơ sở hạ tầng quan trọng và những người khác sử dụng phần mềm miễn phí một cách an toàn.
Và đó là lỗ hổng Log4j đã ảnh hưởng đến hàng triệu của máy tính trên khắp thế giới, bao gồm cơ sở hạ tầng quan trọng và hệ thống liên bang. Điều này đã khiến các chuyên gia hàng đầu về an ninh mạng phải lên tiếng về một trong những lỗ hổng an ninh mạng phổ biến và nghiêm trọng nhất từng thấy.
Nhóm nguồn mở của Google cho biết họ đã phân tích Maven Central, kho lưu trữ gói Java lớn nhất và phát hiện ra rằng 35,863 gói Java sử dụng các phiên bản dễ bị tấn công của thư viện Apache Log4j. Điều này bao gồm các gói Java sử dụng các phiên bản Log4j dễ bị khai thác Log4Shell gốc (CVE-2021-44228) và một lỗi thực thi mã từ xa thứ hai được phát hiện trong bản vá Log4Shell (CVE-2021-45046). Lỗ hổng bảo mật đã được Tenable mô tả là "lỗ hổng lớn nhất và nghiêm trọng nhất trong thập kỷ qua."
“Phần mềm miễn phí là nền tảng của thế giới kỹ thuật số và lỗ hổng Log4j đã cho thấy mức độ chúng ta phụ thuộc vào nó. Sự cố này gây ra một mối đe dọa nghiêm trọng đối với các hệ thống liên bang và các doanh nghiệp cơ sở hạ tầng quan trọng, bao gồm ngân hàng, bệnh viện và tiện ích, mà người Mỹ phụ thuộc hàng ngày để có các dịch vụ thiết yếu ”, Thượng nghị sĩ Peters nói. “Đạo luật lưỡng đảng, thông thường này sẽ giúp bảo vệ phần mềm miễn phí và tăng cường hơn nữa khả năng phòng thủ an ninh mạng của chúng tôi chống lại tội phạm mạng và các đối thủ nước ngoài đang phát động các cuộc tấn công không ngừng vào các mạng trên khắp đất nước. »
Thượng nghị sĩ Portman cho biết: “Như chúng ta đã thấy với lỗ hổng log4shell, các máy tính, điện thoại và trang web mà chúng ta sử dụng hàng ngày đều chứa phần mềm mã nguồn mở dễ bị tấn công mạng”. “Đạo luật Bảo mật Phần mềm Nguồn mở lưỡng đảng sẽ đảm bảo rằng chính phủ Hoa Kỳ dự đoán và giảm thiểu các lỗ hổng bảo mật trong phần mềm nguồn mở để bảo vệ dữ liệu nhạy cảm nhất của người Mỹ. »
Các thượng nghị sĩ đề cập rằng có trọng lượng lớn, trọng lượng mà phần lớn các máy tính trên thế giới bằng cách này hay cách khác có phần mềm nguồn mở, ngoài rằng nó được đề cập rằng chính phủ liên bang, là một trong những nước sử dụng phần mềm miễn phí lớn nhất thế giới, nó phải có khả năng quản lý rủi ro của chính mình và đóng góp vào bảo mật của phần mềm miễn phí trong khu vực tư nhân và phần còn lại của khu vực công.
Ngoài ra, luật yêu cầu Văn phòng Quản lý và Ngân sách ban hành hướng dẫn cho các cơ quan liên bang về việc sử dụng an toàn phần mềm miễn phí và thành lập Tiểu ban Bảo mật Phần mềm trong Ủy ban Cố vấn An ninh Mạng của CISA.
Peters và Portman đã dẫn đầu một số nỗ lực nhằm tăng cường an ninh mạng của quốc gia chúng ta. Điều khoản lưỡng đảng lịch sử của nó yêu cầu chủ sở hữu và nhà điều hành cơ sở hạ tầng quan trọng phải báo cáo với CISA nếu họ gặp phải một cuộc tấn công mạng đáng kể hoặc thực hiện thanh toán ransomware đã được ký thành luật.
Các đạo luật của các thượng nghị sĩ nhằm tăng cường an ninh mạng cho các chính quyền tiểu bang và địa phương cũng đã được ký thành luật. Cũng đáng chú ý là các dự luật của Peters và Portman nhằm bảo vệ các mạng liên bang và đảm bảo rằng chính phủ có thể áp dụng công nghệ đám mây một cách an toàn cũng đã được thông qua nhất trí tại Thượng viện.
Cuối cùng Nếu bạn muốn biết thêm về nó, bạn có thể tham khảo các chi tiết trong liên kết sau đây.