ما يفعله قانون تأمين البرمجيات مفتوحة المصدر وما ينقصه

هناك شيء واحد على الأقل يمكن أن يتفق عليه الجمهوريون والديمقراطيون في مجلس الشيوخ الأمريكي: أهمية البرمجيات مفتوحة المصدر. بشكل جاد. 

كما قال السناتور الأمريكي غاري بيترز (ديمقراطي عن ولاية ميشيغان) الأسبوع الماضي ، "البرمجيات مفتوحة المصدر هي حجر الأساس للعالم الرقمي.وافقه شريكه عبر الممر ، روب بورتمان (R-OH) ، قائلاً: "تحتوي أجهزة الكمبيوتر والهواتف والمواقع الإلكترونية التي نستخدمها جميعًا يوميًا على برامج مفتوحة المصدر معرضة للهجمات الإلكترونية." 

لذلك ، "إن الحزبين قانون تأمين البرمجيات مفتوحة المصدر سيضمن [PDF] أن الحكومة الأمريكية تتوقع وتقلل من نقاط الضعف الأمنية في البرامج مفتوحة المصدر لحماية بيانات الأمريكيين الأكثر حساسية ".

يقترح مشروع القانون هذا منذ أمن Log4j تفجير في عام 2021 ، و استمرار توابع الزلزال، أظهر مدى تعرضنا لهجمات التعليمات البرمجية مفتوحة المصدر ، فإن وكالة الأمن السيبراني وأمن البنية التحتية (CISA) يجب أن تساعد في "ضمان استخدام البرامج مفتوحة المصدر بأمان وأمان من قبل الحكومة الفيدرالية والبنية التحتية الحيوية وغيرها".

بعد كل شيء ، أضاف البيان الحكومي الصادر في 22 سبتمبر الذي قدم التشريع ، "الغالبية العظمى من أجهزة الكمبيوتر في العالم تعتمد على كود مفتوح المصدر." هذه ليست المرة الأولى التي تلاحظ فيها الحكومة الفيدرالية مدى أهمية البرمجيات مفتوحة المصدر للجميع. في يناير ، حذرت لجنة التجارة الفيدرالية الأمريكية من أنها ستفعل ذلك معاقبة الشركات التي لا تصلح مشكلات أمان Log4j.

لطالما دعمت حكومة الولايات المتحدة البرمجيات مفتوحة المصدر. على سبيل المثال ، في عام 2000 ، ساعدت وكالة الأمن القومي في إنشاء نظام Linux معزز للأمان (SELinux). وفي عام 2016 ، اقترح رئيس قسم المعلومات في الولايات المتحدة آنذاك توني سكوت سياسة ترميز مؤيدة للمصدر المفتوح تتطلب إتاحة أي "برنامج جديد تم تطويره خصيصًا للحكومة الفيدرالية أو بواسطة الحكومة الفيدرالية للمشاركة وإعادة الاستخدام عبر الوكالات الفيدرالية. ويتضمن أيضًا برنامجًا تجريبيًا سينتج عنه إصدار جزء من هذا الرمز المخصص الجديد الممول اتحاديًا للجمهور ".

أيضا: يمكن أن يكون XeroLinux هو أجمل سطح مكتب Linux في السوق

ومع ذلك ، فإن قانون تأمين البرمجيات مفتوحة المصدر ينقل المصدر المفتوح من مجال قرارات السياسة والتنظيم إلى القانون الفيدرالي. سيوجه مشروع القانون CISA لتطوير إطار عمل مخاطر لتقييم كيفية استخدام كود المصدر المفتوح من قبل الحكومة الفيدرالية. سيقرر المجلس الهندي لأمريكا الجنوبية (CISA) أيضًا كيفية استخدام نفس الإطار من قبل مالكي ومشغلي البنية التحتية الحيوية.

وفقًا مؤسسة الأمن مفتوحة المصدر (OpenSSF) في تحليله للقانون ، "سوف ينتج CISA إطار تقييم أولي للتعامل مع مخاطر التعليمات البرمجية مفتوحة المصدر، مع دمج الأطر الحكومية والصناعية والمجتمعية مفتوحة المصدر وأفضل الممارسات من أمان البرامج. " 

باختصار ، لن تحاول CISA إعادة اختراع العجلة ، بدلاً من استخدام أفضل تقنيات الأمان مفتوحة المصدر الحالية. يسير هذا على خطى الأمر التنفيذي للرئيس جوزيف بايدن بشأن تحسين الأمن السيبراني للأمة ، والذي نص على أنه يجب على المطورين تزويد المشتري بـ SBOM [قائمة مواد البرمجيات] لكل تطبيق.

سيتطلب القانون أيضًا من CISA تحديد طرق التخفيف من مخاطر البرامج مفتوحة المصدر. لتحقيق ذلك ، يتطلب الأمر من CISA توظيف مطورين مفتوح المصدر لمعالجة مشكلات الأمان. كما يقترح أن تبدأ بعض الوكالات الفيدرالية مكاتب البرامج مفتوحة المصدر (OSPO). أخيرًا ، سيتطلب الأمر من مكتب الإدارة والميزانية (OMB) تمويل لجنة فرعية لأمن برمجيات CISA وإصدار توجيهات فيدرالية حول كيفية تأمين المستخدمين للبرامج مفتوحة المصدر.

لقد سمع الأشخاص الذين يتابعون أمان المصادر المفتوحة عن كثب الكثير من هذا من قبل. كما أشار OpenSSF ، "بعض الأفكار تبدو مألوفة لنا - على سبيل المثال ، استخدام SBOMs ، وأهمية الممارسات الأمنية لعمليات التطوير والبناء والإصدار) ، والدعوة إلى إطار تقييم المخاطر [صدى] دفق لوحة معلومات تقييم المخاطر من خطة التعبئة".

لكن من المدهش أن مشروع القانون فاته نقاط أخرى. على سبيل المثال ، يجب فحص جميع البرامج ، وليس فقط المصدر المفتوح ، بحثًا عن مخاطر محتملة. كما شهد براد أركين ، نائب الرئيس الأول لشركة Cisco وكبير مسؤولي الأمن والثقة ، أمام الكونجرس حول Log4J: "لم تفشل البرمجيات مفتوحة المصدر، كما اقترح البعض ، سيكون من الخطأ الإشارة إلى أن ثغرة Log4j هي ​​دليل على وجود عيب فريد أو مخاطر متزايدة في البرامج مفتوحة المصدر. الحقيقة هي أن جميع البرامج تحتوي على ثغرات ناتجة عن عيوب متأصلة في الحكم البشري في تصميم البرامج ودمجها وكتابتها ".

أيضا: حان الوقت للتوقف عن استخدام C و C ++ للمشاريع الجديدة ، كما يقول Microsoft Azure CTO

ومع ذلك ، بالرغم من أن مشروع القانون قد يكون غير كامل ، يقول OpenSSF إنه "ملتزم بالتعاون والعمل مع كل من المنبع والمجتمعات الحالية لتعزيز أمن المصدر المفتوح للجميع. نتطلع إلى التعاون مع صانعي السياسات في جميع أنحاء العالم لتحسين أمان البرنامج الذي نعتمد عليه جميعًا ".

إن OpenSSF ليست المجموعة الوحيدة التي ترغب في العمل مع الحكومة لتحسين أمن المصادر المفتوحة بشكل أساسي ولكن لديها مخاوف أيضًا. مبادرة المصدر المفتوح (OSI) تخشى مديرة السياسة الأمريكية ، ديب براينت ، أن يقوم الكونجرس "ببناء إطار عمل يستهدف التعامل مع المصدر المفتوح كفئة خاصة من البرامج بدلاً من حلها لجميع البرامج".

هيذر ميكر ، محامية معروفة مفتوحة المصدر و OSS كابيتال الشريك العام ، وأضاف بشكل أكثر تفاؤلاً ، "من الجيد أن نرى جهدًا من الحزبين لتحسين إدارة الأمن في البنية التحتية للبرامج - بما في ذلك البرامج مفتوحة المصدر. لطالما طالب السوق الخاص بهذا التحسين ، من خلال طلبات العملاء وتوقعاتهم لبائعي البرمجيات والخدمات السحابية. لكن الإشراف الحكومي قد يساعد في تسريع جهود التحسين خارج ترتيبات البائعين التجاريين ، أو في الحالات التي تسمح فيها قوة السوق للبائعين للبائعين بالتراجع عن طلبات العملاء ".

بالطبع ، مجرد وصول مشروع قانون إلى الكونجرس لا يعني أنه سيصبح قانونًا. لا يزال ، لها تقدمت اللجنة بمشروع القانون إلى قاعة مجلس الشيوخ في 29 سبتمبر. هذا سريع جدًا لأي فاتورة بشأن أي قضية. إذا نجح في تمريره من خلال الكونغرس ، فلا شك في أن بايدن سيوقعه ليصبح قانونًا. مع الحظ ، سيصبح تأمين البرامج مفتوحة المصدر قانون الأرض في عام 2023. 

قصص ذات الصلة: