Какво прави Законът за защита на софтуера с отворен код и какво пропуска

Има поне едно нещо, за което републиканците и демократите могат да се споразумеят в Сената на САЩ: значението на софтуера с отворен код. Сериозно. 

Както американският сенатор Гари Питърс (D-MI) каза миналата седмица, „Софтуерът с отворен код е основата на дигиталния свят.” Неговият партньор от другата страна на пътеката, Роб Портман (R-OH), се съгласи, като каза: „Компютрите, телефоните и уебсайтовете, които всички използваме всеки ден, съдържат софтуер с отворен код, който е уязвим за кибератаки.“ 

Следователно „Двупартийният Закон за защита на софтуера с отворен код [PDF] ще гарантира, че правителството на САЩ предвижда и смекчава уязвимостите в сигурността на софтуера с отворен код, за да защити най-чувствителните данни на американците.

Този законопроект предлага, тъй като Log4j сигурност взрив през 2021 г. и нейното продължаващи вторични трусове, показа колко сме уязвими към атаки с отворен код, the Агенция за киберсигурност и сигурност на инфраструктурата (CISA) трябва да помогне „да се гарантира, че софтуерът с отворен код се използва безопасно и защитено от федералното правителство, критичната инфраструктура и други“.

В крайна сметка съобщението на правителството от 22 септември, въвеждащо законодателството, добави: „По-голямата част от компютрите в света разчитат на код с отворен код.“ Това далеч не е първият път, когато федералното правителство забелязва колко жизненоважен е станал софтуерът с отворен код за всички. През януари Федералната търговска комисия на САЩ предупреди, че ще го направи наказва компаниите, които не решават своите проблеми със сигурността на Log4j.

Правителството на САЩ отдавна подкрепя софтуера с отворен код. Например през цялата 2000 г. Агенцията за национална сигурност помогна за създаването на Linux с подобрена сигурност (SELinux). И през 2016 г. тогавашният главен информационен директор на САЩ Тони Скот предложи политика за програмиране с отворен код, която изисква всеки „нов софтуер, разработен специално за или от федералното правителство, да бъде предоставен за споделяне и повторна употреба във федералните агенции. Той също така включва пилотна програма, която ще доведе до пускане на част от този нов федерално финансиран персонализиран код за обществеността.

Също така: XeroLinux може да бъде най-красивият Linux работен плот на пазара

Законът за защита на софтуера с отворен код обаче премества отворения код от сферата на политиките и регулаторните решения във федералния закон. Този законопроект ще нареди на CISA да разработи рамка за риска, за да оцени как кодът с отворен код се използва от федералното правителство. CISA също така ще реши как същата рамка може да се използва от собствениците и операторите на критична инфраструктура.

Според Фондация за сигурност с отворен код (OpenSSF) в своя анализ на закона „CISA ще създаде рамка за първоначална оценка за справяне с риска от код с отворен код, включващ правителствени, индустриални и общностни рамки с отворен код и най-добри практики от софтуерната сигурност.“ 

Накратко, CISA няма да се опита да преоткрие колелото, вместо това да използва най-добрите от съществуващите техники за сигурност с отворен код. Това следва стъпките на изпълнителната заповед на президента Джоузеф Байдън за подобряване на киберсигурността на нацията, която гласи, че разработчиците трябва да предоставят на „купувача SBOM [Софтуерна спецификация] за всяко приложение.“

Законът също така ще изисква CISA да идентифицира начини за смекчаване на рисковете от софтуер с отворен код. За да се случи това, CISA изисква да наеме разработчици с отворен код за справяне с проблемите на сигурността. Той също така предлага някои федерални агенции да започнат Програмни офиси с отворен код (OSPO). И накрая, ще се изисква Службата за управление и бюджет (OMB) да финансира подкомитет за софтуерна сигурност на CISA и да издаде федерални насоки за това как потребителите могат да осигурят софтуер с отворен код.

Хората, които следят отблизо сигурността с отворен код, са чували много за това и преди. Както отбелязва OpenSSF, „Някои от идеите ни звучат познато – например използването на SBOM, важността на практиките за сигурност на процесите на разработка, изграждане и освобождаване) и призив за рамка за оценка на риска [ехо] нашата Поток на таблото за оценка на риска от нашия Мобилизационен план"

Но, изненадващо, законопроектът пропуска други точки. Например, целият софтуер, не само софтуерът с отворен код, трябва да бъде проверен за потенциален риск. Както Брад Аркин, старши вицепрезидент на Cisco и главен служител по сигурността и доверието, свидетелства пред Конгреса за Log4J: „Софтуерът с отворен код не се провали, както предполагат някои, и би било погрешно да се предполага, че уязвимостта на Log4j е доказателство за уникален недостатък или повишен риск при софтуер с отворен код. Истината е, че всеки софтуер съдържа уязвимости, дължащи се на присъщи недостатъци на човешката преценка при проектирането, интегрирането и писането на софтуер.

Също така: Време е да спрете да използвате C и C++ за нови проекти, казва техническият директор на Microsoft Azure

И все пак, колкото и несъвършен да е законопроектът, OpenSSF казва, че е „ангажиран да си сътрудничи и да работи както нагоре, така и със съществуващите общности, за да подобри сигурността с отворен код за всички. Очакваме с нетърпение да си сътрудничим с политиците по целия свят, за да подобрим сигурността на софтуера, от който всички ние зависим.“

OpenSSF не е единствената група, която желае да работи с правителството за фундаментално подобряване на сигурността с отворен код, но също така има опасения. Инициатива с отворен код (OSI) Политическият директор на САЩ Деб Брайънт се тревожи, че Конгресът „изгражда рамка, която е насочена да третира отворения код като специален клас софтуер, вместо да го решава за целия софтуер“.

Хедър Мийкър, известен адвокат по отворен код и OSS Capital генерален партньор, по-оптимистично добави: „Хубаво е да видим двупартийни усилия за подобряване на управлението на сигурността в софтуерната инфраструктура — включително софтуер с отворен код. Частният пазар отдавна настоява за това подобрение, чрез изискванията на клиентите и очакванията към доставчиците на софтуер и облачни услуги. Но правителственият надзор може да помогне за ускоряване на усилията за подобряване извън споразуменията с търговски доставчици или в ситуации, в които пазарната мощ на доставчиците позволява на доставчиците да се противопоставят на изискванията на клиентите.

Разбира се, фактът, че даден законопроект стига до Конгреса, не означава, че ще стане закон. Все пак е комисията внесе законопроекта в Сената на 29 септември. Това е много бързо за всеки законопроект по всеки въпрос. Ако стигне до Конгреса, изглежда няма съмнение, че Байдън ще го подпише като закон. С късмет осигуряването на софтуер с отворен код ще стане закон на страната през 2023 г. 

Още по темата: