Was das Open-Source-Software-Sicherungsgesetz tut und was es vermisst

Auf mindestens eines können sich Republikaner und Demokraten im US-Senat einigen: die Bedeutung von Open-Source-Software. Ernsthaft. 

Wie US-Senator Gary Peters (D-MI) letzte Woche sagte: „Open-Source-Software ist das Fundament der digitalen Welt.“ Sein Partner auf der anderen Seite des Ganges, Rob Portman (R-OH), stimmte zu und sagte: „Die Computer, Telefone und Websites, die wir alle täglich verwenden, enthalten Open-Source-Software, die anfällig für Cyberangriffe ist.“ 

Deshalb „Die überparteiliche Gesetz zur Sicherung von Open-Source-Software [PDF] wird sicherstellen, dass die US-Regierung Sicherheitslücken in Open-Source-Software antizipiert und mindert, um die sensibelsten Daten der Amerikaner zu schützen.“

Dieser Gesetzentwurf schlägt vor, dass seit dem Log4j-Sicherheit Explosion im Jahr 2021, und seine anhaltende Nachbeben, zeigte, wie anfällig wir für Open-Source-Code-Angriffe sind, die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) muss dazu beitragen, „sicherzustellen, dass Open-Source-Software von der Bundesregierung, kritischen Infrastrukturen und anderen sicher und geschützt verwendet wird“.

Schließlich fügte die Regierungsmitteilung vom 22. September zur Einführung der Gesetzgebung hinzu: „Die überwältigende Mehrheit der Computer auf der Welt verlässt sich auf Open-Source-Code.“ Dies ist bei weitem nicht das erste Mal, dass die Bundesregierung zur Kenntnis nimmt, wie wichtig Open-Source-Software für alle geworden ist. Im Januar warnte die US Federal Trade Commission davor Unternehmen bestrafen, die ihre Log4j-Sicherheitsprobleme nicht beheben.

Die US-Regierung unterstützt seit langem Open-Source-Software. Beispielsweise hat die National Security Agency bereits im Jahr 2000 an der Entwicklung von Security-Enhanced Linux (SELinux) mitgewirkt. Und im Jahr 2016 schlug der damalige US Chief Information Officer Tony Scott eine Pro-Open-Source-Codierungsrichtlinie vor, die vorschrieb, dass jede „neue Software, die speziell für oder von der Bundesregierung entwickelt wurde, für die gemeinsame Nutzung und Wiederverwendung durch Bundesbehörden verfügbar gemacht werden muss. Es beinhaltet auch ein Pilotprogramm, das dazu führen wird, dass ein Teil dieses neuen, vom Bund finanzierten benutzerdefinierten Codes der Öffentlichkeit zugänglich gemacht wird.“

Außerdem: XeroLinux könnte der schönste Linux-Desktop auf dem Markt sein

Das Gesetz zur Sicherung von Open-Source-Software verlagert Open Source jedoch aus dem Bereich der Richtlinien- und Regulierungsentscheidungen in das Bundesrecht. Dieser Gesetzentwurf wird die CISA anweisen, einen Risikorahmen zu entwickeln, um zu bewerten, wie Open-Source-Code von der Bundesregierung verwendet wird. Der CISA würde auch darüber entscheiden, wie derselbe Rahmen von Eigentümern und Betreibern kritischer Infrastrukturen genutzt werden könnte.

Nach Angaben des Open Source Security Foundation (OpenSSF) in seiner Analyse des Gesetzes, die „CISA würde einen ersten Bewertungsrahmen für den Umgang mit Open-Source-Code-Risiken erstellen, die Regierungs-, Industrie- und Open-Source-Community-Frameworks und Best Practices aus der Softwaresicherheit enthält.“ 

Kurz gesagt, die CISA würde nicht versuchen, das Rad neu zu erfinden, sondern stattdessen die besten vorhandenen Open-Source-Sicherheitstechniken verwenden. Dies tritt in die Fußstapfen der Executive Order von Präsident Joseph Biden zur Verbesserung der Cybersicherheit der Nation, die besagt, dass Entwickler „einem Käufer eine SBOM [Software Bill of Materials] für jede Anwendung zur Verfügung stellen müssen“.

Das Gesetz wird die CISA auch dazu verpflichten, Wege zu finden, um die Risiken von Open-Source-Software zu mindern. Um dies zu erreichen, muss die CISA Open-Source-Entwickler einstellen, um Sicherheitsprobleme anzugehen. Es schlägt auch vor, dass einige Bundesbehörden beginnen Open-Source-Programmbüros (OSPO). Schließlich muss das Office of Management and Budget (OMB) einen CISA-Unterausschuss für Softwaresicherheit finanzieren und Bundesrichtlinien herausgeben, wie Benutzer Open-Source-Software sichern können.

Leute, die Open-Source-Sicherheit genau verfolgen, haben schon viel davon gehört. Wie OpenSSF feststellte: „Einige der Ideen kommen uns bekannt vor – zum Beispiel die Verwendung von SBOMs, die Bedeutung von Sicherheitspraktiken bei Entwicklungs-, Build- und Release-Prozessen) und die Forderung nach einem Risikobewertungs-Framework [echo] unser Risikobewertungs-Dashboard-Stream von unserem Mobilisierungsplan"

Aber überraschenderweise verfehlt der Gesetzentwurf andere Punkte. Beispielsweise sollte jede Software, nicht nur Open Source, auf potenzielle Risiken überprüft werden. Wie Brad Arkin, SVP und Chief Security and Trust Officer von Cisco, gegenüber dem Kongress über Log4J aussagte: „Open-Source-Software ist nicht gescheitert, wie einige angedeutet haben, und es wäre fehlgeleitet zu behaupten, dass die Log4j-Schwachstelle ein Beweis für einen einzigartigen Fehler oder ein erhöhtes Risiko bei Open-Source-Software ist. Die Wahrheit ist, dass jede Software Schwachstellen enthält, die auf inhärente Fehler des menschlichen Urteilsvermögens beim Entwerfen, Integrieren und Schreiben von Software zurückzuführen sind.“

Außerdem: Es ist an der Zeit, C und C++ für neue Projekte nicht mehr zu verwenden, sagt Microsoft Azure CTO

So unvollkommen der Gesetzentwurf auch sein mag, die OpenSSF sagt, sie sei „der Zusammenarbeit und Zusammenarbeit sowohl im Upstream als auch mit bestehenden Gemeinschaften verpflichtet, um die Open-Source-Sicherheit für alle voranzubringen. Wir freuen uns auf die Zusammenarbeit mit politischen Entscheidungsträgern auf der ganzen Welt, um die Sicherheit der Software zu verbessern, auf die wir alle angewiesen sind.“

Die OpenSSF ist nicht die einzige Gruppe, die bereit ist, mit der Regierung zusammenzuarbeiten, um die Open-Source-Sicherheit grundlegend zu verbessern, aber auch Bedenken hat. Open-Source-Initiative (OSI) US-Politikdirektorin Deb Bryant befürchtet, dass der Kongress „ein Rahmenwerk aufbaut, das darauf abzielt, Open Source als eine spezielle Klasse von Software zu behandeln, anstatt es für die gesamte Software zu lösen“.

Heather Meeker, eine bekannte Open-Source-Anwältin und OSS-Kapital General Partner fügte optimistischer hinzu: „Es ist gut zu sehen, dass sich beide Parteien bemühen, das Sicherheitsmanagement in der Softwareinfrastruktur zu verbessern – einschließlich Open-Source-Software. Der private Markt fordert diese Verbesserung seit langem über Kundenanforderungen und Erwartungen an Anbieter von Software und Cloud-Diensten. Aber die staatliche Aufsicht kann dazu beitragen, Verbesserungsbemühungen außerhalb kommerzieller Vereinbarungen mit Anbietern zu beschleunigen, oder in Situationen, in denen die Marktmacht von Anbietern es Anbietern ermöglicht, sich gegen Kundenanforderungen zu wehren.“

Nur weil ein Gesetz den Kongress erreicht, bedeutet das natürlich nicht, dass es Gesetz wird. Trotzdem ist es Der Ausschuss hat den Gesetzentwurf dem Senat vorgelegt am 29. September. Das ist sehr schnell für jede Rechnung zu jedem Thema. Wenn es durch den Kongress kommt, scheint es keinen Zweifel daran zu geben, dass Biden es als Gesetz unterzeichnen wird. Mit etwas Glück wird die Sicherung von Open-Source-Software im Jahr 2023 zum Gesetz des Landes. 

Weitere Artikel: