美國押注提高開源的質量和安全性
很多 美國參議員 加里·彼得斯(Gary Peters)和國土安全與政府事務委員會主席兼高級成員羅伯·波特曼(Rob Portman), 引入兩黨立法 通過保護聯邦系統和關鍵基礎設施 加強自由軟件的安全性。
根據開源安全法(Securing Open Source Software Act) CISA 將被指示制定風險框架 為了評估聯邦政府如何使用開源軟件,它還將評估關鍵基礎設施所有者和運營商如何自願使用相同的框架。
這將確定減輕風險的方法 在使用開源軟件的系統上。 立法 它還迫使 CISA 聘請具有開發開源軟件經驗的專業人員 確保政府和社區攜手合作,並準備好應對 Log4j 漏洞等事件。 此外,該立法要求管理和預算辦公室 (OMB) 就開源軟件的安全使用向聯邦機構提供指導,並在 CISA 的網絡安全諮詢委員會中設立軟件安全小組委員會。
聽證會後立法 由彼得斯和波特曼主持 關於 Log4j 事件 今年早些時候,將要求網絡安全和基礎設施安全局 (CISA) 確保聯邦政府、關鍵基礎設施和其他機構安全使用免費軟件。
正是 Log4j 漏洞影響了數百萬人 世界各地的計算機,包括關鍵基礎設施和聯邦系統。 這導致領先的網絡安全專家公開談論有史以來最嚴重和最廣泛的網絡安全漏洞之一。
谷歌的開源團隊表示,他們分析了最大的 Java 包存儲庫 Maven Central,發現有 35,863 個 Java 包使用了易受攻擊的 Apache Log4j 庫版本。 這包括使用易受原始 Log4Shell 漏洞利用 (CVE-4-2021) 和 Log44228Shell 補丁 (CVE-4-2021) 中發現的第二個遠程代碼執行漏洞的 Log45046j 版本的 Java 包。 Tenable 將該漏洞描述為“過去十年中最大和最嚴重的漏洞”。
“免費軟件是數字世界的基礎,Log4j 漏洞顯示了我們對它的依賴程度。 這一事件對聯邦系統和關鍵基礎設施企業構成了嚴重威脅,包括銀行、醫院和公用事業,美國人每天都依賴這些企業提供基本服務,”彼得斯參議員說。 “這項跨黨派的常識性立法將有助於保護自由軟件,並進一步加強我們的網絡安全防禦,以抵禦網絡犯罪分子和外國對手對全國網絡發起的無情攻擊。 »
“正如我們在 log4shell 漏洞中看到的那樣,我們每天使用的計算機、手機和網站都包含容易受到網絡攻擊的開源軟件,”參議員 Portman 說。 “兩黨的開源軟件安全法案將確保美國政府預測並減輕開源軟件中的安全漏洞,以保護美國人最敏感的數據。 »
參議員們提到 有很大的分量,是絕大多數電腦的 在世界上 以一種或另一種方式擁有開源軟件,除了 有人提到 聯邦政府,它是世界上最大的自由軟件用戶之一,它必須能夠管理自己的風險,並為私營部門和其他公共部門的自由軟件的安全做出貢獻。
此外,該立法要求管理和預算辦公室向聯邦機構發布關於安全使用免費軟件的指導方針,並在 CISA 的網絡安全諮詢委員會內設立一個軟件安全小組委員會。
彼得斯和波特曼領導了多項努力來加強我們國家的網絡安全。 其歷史性的兩黨規定要求關鍵基礎設施的所有者和運營商在遭受重大網絡攻擊或進行勒索軟件付款時向 CISA 報告,這已成為法律。
參議員為加強州和地方政府的網絡安全而製定的立法也已簽署成為法律。 另外值得注意的是,彼得斯和波特曼保護聯邦網絡並確保政府可以安全採用雲技術的法案也在參議院獲得一致通過。
終於 如果您有興趣了解更多信息, 你可以諮詢 以下鏈接中的詳細信息。