Keep Calm and Stay Smart
01:04
Lo que hace y lo que se pierde en la Ley de seguridad del software de código abierto
Hay al menos una cosa en la que los republicanos y los demócratas pueden estar de acuerdo en el Senado de los EE. UU.: la importancia del software de fuente abierta. En serio.
Como dijo la semana pasada el senador estadounidense Gary Peters (D-MI), “El software de código abierto es la base del mundo digital.Su socio al otro lado del pasillo, Rob Portman (R-OH), estuvo de acuerdo y dijo: “Las computadoras, los teléfonos y los sitios web que todos usamos todos los días contienen software de código abierto que es vulnerable a los ataques cibernéticos”.
Por lo tanto, “El bipartidismo Ley de protección del software de código abierto [PDF] garantizará que el gobierno de EE. UU. anticipe y mitigue las vulnerabilidades de seguridad en el software de código abierto para proteger los datos más confidenciales de los estadounidenses”.
Populares ahora
Este proyecto de ley propone que a partir de la seguridad log4j explosión en 2021, y su réplicas continuas, mostró cuán vulnerables somos a los ataques de código fuente abierto, el Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) debe ayudar a “garantizar que el gobierno federal, la infraestructura crítica y otros utilicen el software de código abierto de manera segura”.
Después de todo, el comunicado del gobierno del 22 de septiembre que presentó la legislación agregó: "La gran mayoría de las computadoras en el mundo se basan en código abierto". Esta no es la primera vez que el gobierno federal toma nota de cuán vital se ha vuelto el software de código abierto para todos. En enero, la Comisión Federal de Comercio de EE. UU. advirtió que castigar a las empresas que no solucionen sus problemas de seguridad de Log4j.
El gobierno de los EE. UU. ha apoyado durante mucho tiempo el software de código abierto. Por ejemplo, allá por el año 2000, la Agencia de Seguridad Nacional ayudó a crear Security-Enhanced Linux (SELinux). Y, en 2016, el entonces director de información de EE. UU., Tony Scott, propuso una política de codificación de fuente abierta que requería que cualquier “nuevo software desarrollado específicamente para el gobierno federal o por el gobierno federal estuviera disponible para compartir y reutilizar entre las agencias federales. También incluye un programa piloto que dará como resultado que una parte de ese nuevo código personalizado financiado con fondos federales se publique al público”.
También: XeroLinux podría ser el escritorio Linux más hermoso del mercado
Sin embargo, la Ley de seguridad del software de código abierto traslada el código abierto del ámbito de las decisiones de política y regulación a la ley federal. Este proyecto de ley ordenará a la CISA que desarrolle un marco de riesgo para evaluar cómo el gobierno federal utiliza el código fuente abierto. La CISA también decidiría cómo los propietarios y operadores de infraestructura crítica podrían utilizar el mismo marco.
Populares ahora
Según la Fundación de seguridad de código abierto (OpenSSF) en su análisis de la Ley, el “CISA produciría un marco de evaluación inicial para manejar el riesgo del código fuente abierto, incorporando marcos comunitarios gubernamentales, industriales y de código abierto y las mejores prácticas de seguridad del software”.
En resumen, CISA no intentaría reinventar la rueda, sino que utilizaría las mejores técnicas de seguridad de código abierto existentes. Esto sigue los pasos de la Orden ejecutiva del presidente Joseph Biden sobre la mejora de la seguridad cibernética de la nación, que establece que los desarrolladores deben proporcionar "al comprador una SBOM [Lista de materiales de software] para cada aplicación".
La Ley también requerirá que la CISA identifique formas de mitigar los riesgos del software de código abierto. Para que eso suceda, requiere que CISA contrate desarrolladores de código abierto para abordar los problemas de seguridad. También propone que algunas agencias federales comiencen Oficinas del programa de código abierto (OSPO). Finalmente, requerirá que la Oficina de Administración y Presupuesto (OMB, por sus siglas en inglés) financie un subcomité de seguridad de software de CISA y emita una guía federal sobre cómo los usuarios pueden proteger el software de fuente abierta.
Las personas que siguen de cerca la seguridad de código abierto han oído hablar mucho de esto antes. Como señaló OpenSSF, "Algunas de las ideas nos suenan familiares, por ejemplo, el uso de SBOM, la importancia de las prácticas de seguridad de los procesos de desarrollo, construcción y lanzamiento) y un llamado a un marco de evaluación de riesgos [eco] nuestro Flujo del panel de evaluación de riesgos de nuestro Plan de Movilización."
Pero, sorprendentemente, el proyecto de ley pasa por alto otros puntos. Por ejemplo, todo el software, no solo el de código abierto, debe verificarse en busca de riesgos potenciales. Como Brad Arkin, vicepresidente sénior y director de seguridad y confianza de Cisco, testificó ante el Congreso sobre Log4J: “El software de código abierto no falló, como algunos han sugerido, y sería un error sugerir que la vulnerabilidad de Log4j es evidencia de una falla única o un mayor riesgo con el software de código abierto. La verdad es que todo software contiene vulnerabilidades debido a fallas inherentes del juicio humano al diseñar, integrar y escribir software”.
Populares ahora
También: Es hora de dejar de usar C y C++ para nuevos proyectos, dice Microsoft Azure CTO
Aún así, por imperfecto que sea el proyecto de ley, OpenSSF dice que está “comprometido a colaborar y trabajar tanto con las comunidades existentes como con las anteriores para promover la seguridad de código abierto para todos. Esperamos colaborar con los legisladores de todo el mundo para mejorar la seguridad del software del que todos dependemos”.
OpenSSF no es el único grupo que está dispuesto a trabajar con el gobierno para mejorar fundamentalmente la seguridad de código abierto, pero también tiene preocupaciones. Iniciativa de código abierto (OSI) A la directora de políticas de EE. UU., Deb Bryant, le preocupa que el Congreso esté "construyendo un marco que tiene como objetivo tratar el código abierto como una clase especial de software en lugar de resolverlo para todo el software".
Heather Meeker, una conocida abogada de código abierto y capital de OSS socio general, añadió con más optimismo: “Es bueno ver un esfuerzo bipartidista para mejorar la gestión de la seguridad en la infraestructura de software, incluido el software de código abierto. El mercado privado ha clamado durante mucho tiempo por esta mejora, a través de las demandas y expectativas de los clientes para los proveedores de software y servicios en la nube. Pero la supervisión del gobierno puede ayudar a acelerar los esfuerzos de mejora fuera de los acuerdos de proveedores comerciales, o en situaciones en las que el poder de mercado de los proveedores les permite rechazar las demandas de los clientes”.
Por supuesto, el hecho de que un proyecto de ley llegue al Congreso no significa que se convertirá en ley. Aún así, es comisión avanzó el proyecto de ley al pleno del Senado el 29 de septiembre. Eso es muy rápido para cualquier proyecto de ley sobre cualquier tema. Si pasa por el Congreso, no parece haber duda de que Biden lo convertirá en ley. Con suerte, asegurar el software de código abierto se convertirá en la ley del país en 2023.
Populares ahora
DOCUMENTOS RELACIONADOS:
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba