美国押注提高开源的质量和安全性
MGI 美国参议员 加里·彼得斯(Gary Peters)和国土安全与政府事务委员会主席兼高级成员罗伯·波特曼(Rob Portman), 引入两党立法 通过保护联邦系统和关键基础设施 加强自由软件的安全性。
根据开源安全法(Securing Open Source Software Act) CISA 将被指示制定风险框架 为了评估联邦政府如何使用开源软件,它还将评估关键基础设施所有者和运营商如何自愿使用相同的框架。
这将确定减轻风险的方法 在使用开源软件的系统上。 立法 它还迫使 CISA 聘请具有开发开源软件经验的专业人员 确保政府和社区携手合作,并准备好应对 Log4j 漏洞等事件。 此外,该立法要求管理和预算办公室 (OMB) 就开源软件的安全使用向联邦机构提供指导,并在 CISA 的网络安全咨询委员会中设立软件安全小组委员会。
听证会后立法 由彼得斯和波特曼主持 关于 Log4j 事件 今年早些时候,将要求网络安全和基础设施安全局 (CISA) 确保联邦政府、关键基础设施和其他机构安全使用免费软件。
正是 Log4j 漏洞影响了数百万人 世界各地的计算机,包括关键基础设施和联邦系统。 这导致领先的网络安全专家公开谈论有史以来最严重和最广泛的网络安全漏洞之一。
谷歌的开源团队表示,他们分析了最大的 Java 包存储库 Maven Central,发现有 35,863 个 Java 包使用了易受攻击的 Apache Log4j 库版本。 这包括使用易受原始 Log4Shell 漏洞利用 (CVE-4-2021) 攻击的 Log44228j 版本的 Java 包和在 Log4Shell 补丁 (CVE-2021-45046) 中发现的第二个远程代码执行错误。 Tenable 将该漏洞描述为“过去十年中最大和最严重的漏洞”。
“免费软件是数字世界的基础,Log4j 漏洞显示了我们对它的依赖程度。 这一事件对联邦系统和关键基础设施企业构成了严重威胁,包括银行、医院和公用事业,美国人每天都依赖这些企业提供基本服务,”参议员彼得斯说。 “这项两党的常识性立法将有助于保护自由软件,并进一步加强我们的网络安全防御,以抵御网络犯罪分子和外国对手对全国网络发动无情攻击。 »
“正如我们在 log4shell 漏洞中看到的那样,我们每天使用的计算机、手机和网站都包含容易受到网络攻击的开源软件,”参议员 Portman 说。 “两党的开源软件安全法案将确保美国政府预测并减轻开源软件中的安全漏洞,以保护美国人最敏感的数据。 »
参议员们提到 有很大的分量,是绝大多数电脑的 在世界上 以一种或另一种方式拥有开源软件,除了 有人提到 联邦政府,它是世界上最大的自由软件用户之一,它必须能够管理自己的风险,并为私营部门和其他公共部门的自由软件的安全做出贡献。
此外,该立法要求管理和预算办公室向联邦机构发布关于安全使用自由软件的指导方针,并在 CISA 的网络安全咨询委员会内设立一个软件安全小组委员会。
彼得斯和波特曼领导了多项努力来加强我们国家的网络安全。 其历史性的两党规定要求关键基础设施的所有者和运营商在遭受重大网络攻击或进行勒索软件付款时向 CISA 报告,这已成为法律。
参议员为加强州和地方政府的网络安全而制定的立法也已签署成为法律。 另外值得注意的是,彼得斯和波特曼保护联邦网络并确保政府可以安全采用云技术的法案也在参议院获得一致通过。
最后 如果您有兴趣了解更多信息, 你可以咨询 以下链接中的详细信息。