Keep Calm and Stay Smart
01:04
Co dělá zákon o zabezpečení open source softwaru a co mu chybí
Existuje minimálně jedna věc, na které se republikáni a demokraté mohou v americkém Senátu shodnout: na důležitosti open-source softwaru. Vážně.
Jak minulý týden řekl americký senátor Gary Peters (D-MI): „Open-source software je základem digitálního světa.“ Jeho partner přes uličku, Rob Portman (R-OH), souhlasil a řekl: „Počítače, telefony a webové stránky, které všichni používáme každý den, obsahují software s otevřeným zdrojovým kódem, který je zranitelný vůči kybernetickým útokům.“
Proto: „Oboustranný Zákon o zabezpečení softwaru s otevřeným zdrojovým kódem [PDF] zajistí, aby vláda USA předjímala a zmírňovala bezpečnostní zranitelnosti v softwaru s otevřeným zdrojovým kódem, aby chránila nejcitlivější data Američanů.“
Populární teď
Tento návrh zákona navrhuje, aby od r Zabezpečení Log4j výbuch v roce 2021 a jeho pokračující následné otřesy, ukázal, jak zranitelní jsme vůči útokům s otevřeným zdrojovým kódem Agentura pro zabezpečení kybernetické bezpečnosti a infrastruktury (CISA) musí pomoci „zajistit, aby byl software s otevřeným zdrojovým kódem používán bezpečně a bezpečně federální vládou, kritickou infrastrukturou a dalšími“.
Koneckonců, vládní zpráva z 22. září zavádějící legislativu dodala: „Naprostá většina počítačů na světě spoléhá na open-source kód.“ Není to zdaleka poprvé, co si federální vláda všimla toho, jak životně důležitým open source softwarem se stal každý. V lednu americká Federální obchodní komise varovala, že ano potrestat společnosti, které neopraví své bezpečnostní problémy Log4j.
Americká vláda dlouhodobě podporuje software s otevřeným zdrojovým kódem. Například již v roce 2000 pomáhala Národní bezpečnostní agentura vytvořit Security-Enhanced Linux (SELinux). A v roce 2016 tehdejší ředitel informací USA Tony Scott navrhl politiku pro-open source kódování, která vyžadovala, aby jakýkoli „nový software vyvinutý speciálně pro federální vládu nebo federální vládou byl zpřístupněn pro sdílení a opětovné použití mezi federálními agenturami. Zahrnuje také pilotní program, jehož výsledkem bude zveřejnění části tohoto nového federálně financovaného vlastního kódu.
Také: XeroLinux by mohl být nejkrásnějším linuxovým desktopem na trhu
Zákon o zabezpečení softwaru s otevřeným zdrojovým kódem však posouvá open source z oblasti politik a regulačních rozhodnutí do federálního práva. Tento návrh zákona nařídí CISA, aby vyvinula rámec rizik pro hodnocení toho, jak federální vláda používá open source kód. CISA by také rozhodla o tom, jak by stejný rámec mohli používat vlastníci a provozovatelé kritické infrastruktury.
Populární teď
Podle Open Source Security Foundation (OpenSSF) ve své analýze zákona „CISA by vytvořila počáteční hodnotící rámec pro řešení rizika open source kódu, zahrnující vládní, průmyslové a open source komunitní rámce a osvědčené postupy v oblasti softwarového zabezpečení.“
Stručně řečeno, CISA by se nepokusila znovu vynalézt kolo, místo toho by použila to nejlepší ze stávajících open-source bezpečnostních technik. Jde ve stopách výkonného příkazu prezidenta Josepha Bidena o zlepšení kybernetické bezpečnosti národa, který uvádí, že vývojáři musí poskytnout „kupujícímu SBOM [Software Bill of Materials] pro každou aplikaci.
Zákon bude také vyžadovat, aby CISA určila způsoby, jak zmírnit rizika open source softwaru. Aby se tak stalo, vyžaduje CISA, aby najala vývojáře open source, aby řešili bezpečnostní problémy. Navrhuje také, aby začaly některé federální agentury Kanceláře programů s otevřeným zdrojovým kódem (OSPO). Nakonec bude vyžadovat, aby Úřad pro správu a rozpočet (OMB) financoval podvýbor pro softwarovou bezpečnost CISA a vydal federální pokyny, jak mohou uživatelé zabezpečit software s otevřeným zdrojovým kódem.
Lidé, kteří bedlivě sledují open-source zabezpečení, už o tom hodně slyšeli. Jak poznamenal OpenSSF: „Některé z myšlenek nám zní povědomě – například použití SBOM, důležitost bezpečnostních postupů při vývoji, sestavování a vydávání procesů) a výzva k vytvoření rámce pro hodnocení rizik [odpovídá] našemu Stream panelu hodnocení rizik z našeho Mobilizační plán. "
Návrh zákona ale překvapivě postrádá další body. Například veškerý software, nejen open source, by měl být zkontrolován z hlediska potenciálního rizika. Brad Arkin, SVP a hlavní bezpečnostní a důvěryhodný důstojník společnosti Cisco, dosvědčil Kongresu o Log4J: „Open-source software nezklamal, jak někteří navrhovali, a bylo by zavádějící tvrdit, že zranitelnost Log4j je důkazem jedinečné chyby nebo zvýšeného rizika u softwaru s otevřeným zdrojovým kódem. Pravdou je, že veškerý software obsahuje zranitelná místa kvůli přirozeným chybám lidského úsudku při navrhování, integraci a psaní softwaru.“
Populární teď
Také: Je čas přestat používat C a C++ pro nové projekty, říká technický ředitel Microsoft Azure
Přesto, jakkoli může být návrh zákona nedokonalý, OpenSSF říká, že je „odhodláno spolupracovat a pracovat jak upstream, tak se stávajícími komunitami, aby posílilo open source zabezpečení pro všechny. Těšíme se na spolupráci s tvůrci politik z celého světa na zlepšení zabezpečení softwaru, na kterém jsme všichni závislí.“
OpenSSF není jedinou skupinou, která je ochotna spolupracovat s vládou na zásadním zlepšení bezpečnosti open source, ale má také obavy. Open Source Initiative (OSI) Ředitelka pro politiku USA Deb Bryantová se obává, že Kongres „buduje rámec, jehož cílem je zacházet s otevřeným zdrojovým kódem jako se speciální třídou softwaru, místo aby jej řešil pro veškerý software“.
Heather Meeker, známá open-source právnička a OSS Capital generální partner optimističtěji dodal: „Je dobré vidět snahu obou stran zlepšit správu bezpečnosti v softwarové infrastruktuře – včetně softwaru s otevřeným zdrojovým kódem. Soukromý trh již dlouho volá po tomto vylepšení prostřednictvím požadavků zákazníků a očekávání dodavatelů softwaru a cloudových služeb. Vládní dohled však může pomoci urychlit úsilí o zlepšení mimo ujednání komerčních dodavatelů nebo v situacích, kdy tržní síla prodejců umožňuje prodejcům zatlačit proti požadavkům zákazníků.“
To, že se zákon dostane do Kongresu, samozřejmě neznamená, že se stane zákonem. Přesto jeho výbor předložil návrh zákona do Senátu 29. září. To je velmi rychlé pro jakýkoli účet v jakékoli záležitosti. Pokud to projde Kongresem, není pochyb o tom, že to Biden podepíše. S trochou štěstí se zabezpečení open-source softwaru stane zákonem země v roce 2023.
Populární teď
Související články:
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba