Mitä avoimen lähdekoodin ohjelmistolaki tekee ja mitä siitä puuttuu

On ainakin yksi asia, josta republikaanit ja demokraatit voivat olla yhtä mieltä Yhdysvaltain senaatissa: avoimen lähdekoodin ohjelmistojen tärkeys. Vakavasti. 

Kuten Yhdysvaltain senaattori Gary Peters (D-MI) sanoi viime viikolla, "Avoimen lähdekoodin ohjelmistot ovat digitaalisen maailman perusta.Hänen kumppaninsa käytävän toisella puolella, Rob Portman (R-OH), oli samaa mieltä sanoen: "Joka päivä käyttämämme tietokoneet, puhelimet ja verkkosivustot sisältävät avoimen lähdekoodin ohjelmistoja, jotka ovat alttiina kyberhyökkäyksille." 

Siksi "kahden puolueen Securing Open Source Software Act [PDF] varmistaa, että Yhdysvaltain hallitus ennakoi ja lieventää avoimen lähdekoodin ohjelmistojen tietoturva-aukkoja suojellakseen amerikkalaisten arkaluontoisia tietoja."

Tässä lakiehdotuksessa ehdotetaan, että vuodesta Log4j-suojaus räjäytys vuonna 2021 ja sen jatkuvat jälkijäristykset, osoitti kuinka alttiita olemme avoimen lähdekoodin hyökkäyksille Kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) on autettava "varmistamaan, että liittovaltion hallitus, kriittinen infrastruktuuri ja muut käyttävät avoimen lähdekoodin ohjelmistoja turvallisesti."

Syyskuun 22. päivänä julkaistussa hallituksen tiedotteessa, joka esitteli lain, lisättiin loppujen lopuksi: "Suurin osa maailman tietokoneista luottaa avoimeen lähdekoodiin." Tämä ei ole suinkaan ensimmäinen kerta, kun liittovaltion hallitus on pannut merkille, kuinka tärkeä avoimen lähdekoodin ohjelmisto on tullut kaikille. Yhdysvaltain liittovaltion kauppakomissio varoitti tammikuussa niin rankaisemaan yrityksiä, jotka eivät korjaa Log4j-tietoturvaongelmiaan.

Yhdysvaltain hallitus on pitkään tukenut avoimen lähdekoodin ohjelmistoja. Esimerkiksi aina vuonna 2000 National Security Agency auttoi luomaan Security-Enhanced Linuxin (SELinux). Ja vuonna 2016 Yhdysvaltain silloinen tiedotuspäällikkö Tony Scott ehdotti avoimen lähdekoodin koodauspolitiikkaa, joka edellytti, että kaikki "uudet ohjelmistot, jotka on erityisesti kehitetty liittovaltion hallitukselle tai ovat kehittäneet sen, on asetettava saataville jaettavaksi ja käytettäväksi liittovaltion virastojen välillä. Se sisältää myös pilottiohjelman, jonka tuloksena osa uudesta liittovaltion rahoittamasta mukautetusta koodista julkaistaan.

Myös: XeroLinux voisi olla markkinoiden kaunein Linux-työpöytä

Securing Open Source Software Act kuitenkin siirtää avoimen lähdekoodin politiikan ja sääntelypäätösten alueelta liittovaltion lakiin. Tämä lakiehdotus ohjaa CISA:n kehittämään riskikehyksen arvioimaan, kuinka liittovaltion hallitus käyttää avoimen lähdekoodin koodia. CISA päättäisi myös siitä, kuinka kriittisten infrastruktuurien omistajat ja operaattorit voisivat käyttää samaa viitekehystä.

Mukaan Open Source Security -säätiö (OpenSSF) Lakia koskevassa analyysissaan "CISA tuottaisi alustavan arviointikehyksen avoimen lähdekoodin riskien hallintaan, joka sisältää hallinnon, teollisuuden ja avoimen lähdekoodin yhteisökehykset ja ohjelmistoturvallisuuden parhaat käytännöt." 

Lyhyesti sanottuna CISA ei yrittäisi keksiä pyörää uudelleen, vaan käyttäisi parhaita avoimen lähdekoodin tietoturvatekniikoita. Tämä seuraa presidentti Joseph Bidenin kansakunnan kyberturvallisuuden parantamista koskevan toimeenpanomääräyksen jalanjälkiä, jossa todettiin, että kehittäjien on toimitettava "ostajalle SBOM [Software Bill of Materials] jokaista sovellusta varten".

Laki edellyttää myös, että CISA tunnistaa tapoja lieventää avoimen lähdekoodin ohjelmistoriskejä. Jotta tämä tapahtuisi, CISA vaatii avoimen lähdekoodin kehittäjien palkkaamista tietoturvaongelmien ratkaisemiseksi. Se ehdottaa myös joidenkin liittovaltion virastojen aloittamista Avoimen lähdekoodin ohjelmatoimistot (OSPO). Lopuksi se edellyttää, että Office of Management and Budget (OMB) rahoittaa CISA-ohjelmiston tietoturva-alakomitean ja antaa liittovaltion ohjeita siitä, kuinka käyttäjät voivat suojata avoimen lähdekoodin ohjelmistoja.

Ihmiset, jotka seuraavat avoimen lähdekoodin tietoturvaa tarkasti, ovat kuulleet tästä paljon aiemmin. Kuten OpenSSF totesi, "jotkut ideat kuulostavat meille tutuilta - esimerkiksi SBOM:ien käyttö, kehitys-, rakentamis- ja julkaisuprosessien turvallisuuskäytäntöjen merkitys) ja vaatimus riskinarviointikehyksestä [kaiku] Riskinarvioinnin hallintapaneelin stream meiltä Mobilisointisuunnitelma"

Mutta yllättävää kyllä, laskusta puuttuu muita kohtia. Esimerkiksi kaikki ohjelmistot, ei vain avoimen lähdekoodin, tulisi tarkistaa mahdollisten riskien varalta. Kuten Brad Arkin, Ciscon SVP ja turvallisuus- ja luottamuspäällikkö, todisti kongressille Log4J:stä: "Avoimen lähdekoodin ohjelmisto ei epäonnistunut, kuten jotkut ovat ehdottaneet, ja olisi harhaanjohtavaa väittää, että Log4j-haavoittuvuus on todiste avoimen lähdekoodin ohjelmiston ainutlaatuisesta puutteesta tai lisääntyneestä riskistä. Totuus on, että kaikki ohjelmistot sisältävät haavoittuvuuksia, jotka johtuvat ihmisen harkintakykyyn liittyvistä puutteista ohjelmistojen suunnittelussa, integroinnissa ja kirjoittamisessa."

Myös: On aika lopettaa C:n ja C++:n käyttö uusissa projekteissa, Microsoft Azure CTO sanoo

Vaikka lasku onkin epätäydellinen, OpenSSF sanoo olevansa "sitoutunut yhteistyöhön ja työskentelyyn sekä alkuvaiheessa että olemassa olevien yhteisöjen kanssa edistääkseen avoimen lähdekoodin turvallisuutta kaikille. Odotamme innolla yhteistyötä poliittisten päättäjien kanssa ympäri maailmaa parantaaksemme ohjelmistojen turvallisuutta, joista me kaikki olemme riippuvaisia."

OpenSSF ei ole ainoa ryhmä, joka on valmis työskentelemään hallituksen kanssa parantaakseen avoimen lähdekoodin turvallisuutta perusteellisesti, mutta sillä on myös huolenaiheita. Avoimen lähdekoodin aloite (OSI) Yhdysvaltain politiikan johtaja Deb Bryant on huolissaan, että kongressi "rakentelee puitteita, jotka on kohdistettu käsittelemään avointa lähdekoodia ohjelmistojen erikoisluokkana sen sijaan, että se ratkaisisi sen kaikille ohjelmistoille".

Heather Meeker, tunnettu avoimen lähdekoodin lakimies ja OSS Capital pääkumppani, lisäsi optimistisemmin: "On hyvä nähdä molempien osapuolien pyrkimys parantaa tietoturvan hallintaa ohjelmistoinfrastruktuurissa - mukaan lukien avoimen lähdekoodin ohjelmistot. Yksityiset markkinat ovat jo pitkään vaatineet tätä parannusta asiakkaiden vaatimusten ja ohjelmisto- ja pilvipalvelutoimittajia koskevien odotusten kautta. Mutta valtion valvonta voi auttaa nopeuttamaan parannuspyrkimyksiä kaupallisten toimittajajärjestelyjen ulkopuolella tai tilanteissa, joissa myyjän markkinavoima antaa myyjien vastustaa asiakkaiden vaatimuksia."

Tietenkin vain siksi, että lakiesitys saapuu kongressiin, ei tarkoita, että siitä tulee laki. Silti sen Valiokunta siirsi lakiesityksen senaatin käsittelyyn 29. syyskuuta. Se on erittäin nopea laskulle mistä tahansa asiasta. Jos se selviää kongressin läpi, ei ole epäilystäkään siitä, että Biden allekirjoittaa sen laiksi. Onneksi avoimen lähdekoodin ohjelmistojen turvaamisesta tulee maan laki vuonna 2023. 

Aiheeseen liittyviä artikkeleita: